产品概述
深信服安全感知SIP定位为客户的本地安全大脑,是一个集检测、可视、响应于一体的大数据分析平台和安全运营中心。通过采集全网流量和安全数据,以大数据分析为基础、全流量分析为核心,结合人工智能、机器学习、关联分析等技术,精准检测全网威胁,全局可视安全风险,高效处置安全问题,全面感知安全态势,实现安全架构从被动防御到主动防御的升级,全面保障业务的安全。
深信服安全感知广泛应用于政府、教育、企业、医疗、金融、运营商等各个行业,用户案例超过了1500多家,帮助这些用户构建全天候全方位态势感知能力,有效应对各类已知与未知安全威胁,提升整体网络安全防护水平。
功能特性
资产识别:
支持基于流量实时识别全网的资产,主动区分内外网,识别资产的操作系统、开放端口等,可基于业务、终端、分支、安全域等维度分类不同资产类型。
脆弱性识别:
支持对已识别的资产进行脆弱性分析,包括漏洞风险、配置风险、弱密码、Web明文传输等,帮助用户提前掌握自身网络的脆弱性因素,及时进行安全加固,降低业务系统遭受攻击的风险。
威胁分析:
支持外部威胁分析、横向威胁分析、外连威胁分析等维度全方位分析外到内、内到内、内到外的安全威胁,精准检测各类已知与未知安全威胁。
● 外部威胁分析可以有效发现黑客的绕过攻击行为,定位黑客攻击源、攻击目标、攻击类型等,指导用户在出口安全设备上封堵黑客ip或增加防护策略。
● 横向威胁分析可以对全网进行持续检测,发现潜伏在内网的病毒、木马,以及中毒主机的横向攻击和异常行为。
● 外连威胁分析可以对内网主机对外发起的攻击、异常访问、违规访问等进行检测,及时处置风险外连行为,避免被通报或影响内部网络稳定。
风险处置:
对于发现的安全威胁,平台可以以用户关注的业务、终端、安全域与安全事件的视角呈现出来,让用户一目了然,快速处置安全风险。
● 基于KillChain攻击阶段分布关联不同安全事件,并对安全事件详细的举证,让用户真正看懂安全风险,同时给出处置建议,并提供专杀工具。
● 基于大数据关联技术,展示威胁主机之间的访问关系,发现主机失陷以后对内外网带来的安全风险,从而看清整个威胁影响面。
● 提供黑客入口点溯源分析,提供基于时间线的攻击溯源,以回溯方式发现具体遭受的攻击、疑似入口点情况、失陷时间点,为驻点安全服务人员提供快速分析、追溯能力。
● 对于发现的安全威胁可以联动防火墙、EDR等安全组件进行阻断、病毒查杀、主机微隔离,对于复杂的安全风险我们还提供专业人工安全服务帮助溯源分析,安全加固等。
全局可视:
对于全网发现的安全风险,会在监控中心统一展示出来,通过对全网资产的安全状态进行关联分析,得出综合安全评级,让我们了解当前网络安全状况,同时支持大屏展示整体安全态势,通过综合安全态势,外部攻击态势、业务外连风险态势、业务资产脆弱性态势等维度对安全态势进行评价,帮助我们有效把握整体安全态势进行安全决策分析。
应用场景
高级威胁检测场景
需求分析:
● 传统防御体系无法应对高级威胁,比如0day、社工攻击等;
● 防御一旦被绕过,难以发现潜伏威胁,更无法看清威胁的影响面;
● 来自内部“熟门熟路” 的攻击,更加难以检测和发现,而且造成的威胁更严重。
解决方案:
● 通过机器学习、行为分析、人工智能等技术精准检测绕过防御的攻击行为、内部横向渗透行为与异常外连行为,提前发现潜在安全风险;
● 内置场景化异常检测模型,通过学习正常与异常业务流量行为基线,识别非法账号登录、
数据泄露、违规访问等,快速定位异常行为;
● 多维度的安全可视,帮助用户看懂风险,看清威胁影响面、辅助攻击溯源,简化安全运维;
全网安全监测场景
需求分析:
● 总部对分支的安全建设有监管职责,对安全建设的成果有展示需求;
● 分支安全成为组织网络安全薄弱点,容易成为黑客攻击的跳板;
● 无法从全局的视角看清全网安全状况,一旦出现问题,难以定位出是分支还是总部问题;
解决方案:
● 全网安全风险可视化,一旦发生安全事件,能够快速定位问题源头;
● 看清分支安全状况,提高分支安全意识,防止分支机构安全成为短板;
● 打造全网安全监测预警与处置体系,提升安全事件响应处置效率;