内外兼修丨高对抗攻防下,不可忽视的内网安全


 

背景

 

在网络攻防的大背景下,通俗的网络安防思想往往局限于网关级、边界级,如NGFW、AV、IDPS等,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的主机安全威胁却是众多安全管理人员所普遍反映的问题。

为保护内网安全,部分单位将内网与外网物理隔离,或将内部通过统一网关接入外网,并在网关处架设防火墙、IDPS等安全设备。尽管上述所示的各类安全措施都得到了实现,众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生,这就充分说明了在攻防对抗中内网安全防护的复杂性及重要性

 

主流技术

高对抗的攻防,有利于将被动防御机制演进为主动防御。保障内网安全,无疑是攻防对抗的关键举措。新网络安全时代,需要纵深部署、攻防对抗的思路。通过具备行为分析和快速响应的智能化技术,在第一时间发现内网失陷主机并清除威胁,是内网安全的核心要义。内网防护应更针对用户以及实体的行为进行分析,聚焦内部异常从而发现并消除大量高危风险,核心技术可以定位在基于流量解析、数据建模、模型匹配的机器学习维度以及高精度威胁判定视角

 

机器学习与数据建模

一方面对内网互访流量解析,同时建立数据行为模型,对个体行为从多个维度在时间序列和地点域进行分析,不仅仅分析个体,还要对群组行为分析,基于行为刻画和关联分析的数据,建立群组基线和个体基线;借助平均值、方差、相似度等,对个体和群组行为对比,识别出偏离正常基线的行为。

基于流量解析、数据建模以及模型匹配的结果通过机器学习对内网主机行为进行威胁判定,对正常流量学习,并进行基线调优。同时,对恶意流量样本进行预定义的反馈输入。比如在实验室环境中,工程师将百万级恶意软件行为解剖分析,拆成恶意外联、PE文件下载等几十种恶意行为分类,定为不同的行为族,再动态建立相对应行为模型。至此,内网中的失陷主机因为感染恶意软件,所爆发的行为特征,均可以被捕获到。

 

精准威胁判定

基于静态特征可以高效的对定性威胁做检测,基于模型学习可以快速对异构威胁做研判,除以上方式外,我们发现结合情报信息可以更大程度提升威胁判定的精准性。

 


如上图所示,圆心表示基于威胁情报收集并加工处理的已知恶意行为(预定义的负反馈),越接近圆心的点,就说明恶意程度越高。多种行为族的划分用以确定不同的安全风险和危害等级。这样,通过对流量与行为模型的匹配,就能够实现精准的威胁判定。

 

实际效果

 

山石智·感—智能内网威胁感知系统,聚焦于内网风险态势感知,致力于核心业务安全。

山石智·感重点监控核心资产服务器,检测发现已知及未知网络威胁,精准定位风险服务器和风险主机,完整的攻击链行为还原,使得内网安全可发现、可管理、可追溯、可信任

 


全局内网风险动态实时监控,透视内网主机及服务器的业务应用和互联流量,可视化管理内网全局威胁影响及互访关系;发现高度可确信的已知及未知网络攻击及网络行为异常,精准定位失陷主机、跳板主机、风险服务器。

 

 


通过网络威胁追踪、终端威胁溯源、威胁知识库、风险评估报表,全面掌握内网风险态势,为内网风险的判定、处置和预测提供信息支撑;弥补传统边界网络安全建设的漏洞,联动边界安全设备,形成边界+内网的整体网络安全解决方案。

 



安全产品设备实用内容大集锦,联动云安全产品、边界安全产品、安全运营产品、数据安全产品操作指南一起看,更高效!全方位、更清晰的产品实用讲解持续在路上,敬请期待!