企业云安全解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在线报告
• 警报系统
NOVAnet MPLS VPN IPSec VPN
• 30分钟内初次响应 • 90分钟内初次建议 • 邮件、电话,微信 • 月报、季报,年咨询建议 • 7*24小时监控 • 7*24呼叫中心
• 监控 • 发现 • 关联 • 分析 • 处理 • 后续跟进
日志源
操作系统-Windows Linux Unix 服务器 安全产品-IDS\IPS\IDP服务器
所有安全厂家都在推销产品 安全人员的成本在提升 企业轻资产运营是趋势 设备有效利用率偏低
外企中让MSSP提供安全服务已经是一种常态
MSS服务包括SIMS、MWMS 、 Managed Firewall、Managed IDS/IPS、Managed UTM等
2014MSS市场就有79亿美元(约510 亿人民币),SIMS只是MSS中核心 的一部分服务。
口令暴力破解 帐号异常登陆 权限异常变更 僵尸账号启用 登录后无操作 病毒木马溯源 违规运维 非法外联
内容泄密类
帐号登陆行为异常 口令破解 运维帐号异地登陆 帐号权限异常变化
内容泄密类
敏感信息外发
邮件群发
海外异常下载
网页敏感信息发布
攻击者通过木马对主机进行远程控制,窃取信息,并对内网进行渗透攻击。 攻击者群发携带恶意附件和恶意 URL的邮件,用户点击后被植入木马 攻击者于海外地址登录邮箱账号,并窃取账号相关的邮件信息 攻击者对邮件账号进行暴力破解,并获取账号登录口令
第一象限中,除了IBM和Symantec ,其它都是运营商。
凌警™和凌卫™
• 凌警™ SIMS • 安全事件管理服务
• 各种日志源收集 • 云安全平台,超算机 房分析数据 • 及时发现避免损失 NOVACloud+™ SIMS
• 凌卫™ MWMS
• 可管理的网站监控 服务
• 企业网站健康检查 • 可用性,蠕虫、挂马、 黑链检测 NOVACloud+™ MWMS
避免误报; 3、每天的报警都控制在可查看数量内(平均每天几条到几十条的数量级); 4、每条规则都是根据客户真实环境中发生过的风险事件来编写。
威胁场景库(场景不断更新中。。。)
邮件类场景
邮件账号异常登录 口令暴力破解 伪造发件人 伪造附件 钓鱼邮件 邮件外发泄密
网站攻击类场景
网站攻击 网站DDoS
运维内控类
企业云安全解决方案
让安全变得可管理
目录
01
企业面临的安全问题
02
03
云安全服务凌警™和凌卫™
流程和服务
04
案例分析
数据安全迫在眉睫
• • 企业信息化程度越来越高 数据已经是企业命脉
• 2014年,在全球因黑客、木马、蠕虫等安全 事件已经造成企业损失超过千亿美金
•
莫让无妄之灾阻断公司业务
企业面临挑战
1
场景目标:监控到国外攻击者对邮件账号的暴力破解行为。
邮件 服务器
2
场景目标:监控邮件账号异常登录的情况 场景说明:结合公司邮件服务器的账号登录日志和IP地 址经纬度分析,发现账号登录异常(18:00北京登录— 19:30芝加哥登录)
工作服务区 Global Internet
数据防泄漏及 邮件安全网关
动态威胁库
威胁场景库 动态威胁库 知识库 服务梯队 动态威胁库: 1. 能根据攻击者的行为和风险严重性,实时更新威胁库。 2. 能关联分析时间跨度较大的持续性高级攻击事件(APT攻击)。 ①远程溢出攻击 ③发现木马连接
时间 目的IP地址 源IP地址 攻击方法 威胁级别
2015-5-8 16:01
。。。 2015-6-7 01:23
恶意网站
特征:邮件账号暴力破解成功 (被场景 捕捉) 4 13 特征:群发携带恶意内容的邮件(被场景 特征:执行恶意邮件附件。(被场景 捕捉) 捕捉) 特征:邮件账号异常登录 (被场景 2 捕捉) 结果:邮件由内到外流入流出 结果:执行恶意邮件附件,损失难以估量 结果:木马入侵,被劫持做肉鸡 结果:邮件由内到外流入流出
知识库
威胁场景库 动态威胁库 知识库 服务梯队
事件名称
FTP访问
可能设备的源类型
NIDS,HIDS,防火墙,VPN
描述
这类事件表示检测到对FTP或TFTP服务器的访问。这 类事件也包括与FTP访问相关的信息,如:通过FTP对 系统文件的访问、访问存在已知漏洞的FTP服务器。这 些都有可能会危及当前系统的安全。此外,部分与FTP 相关的非致命错误报警也包括在本类报警中。
服务梯队
威胁场景库 动态威胁库 知识库 服务梯队
解决方案
安全预警
人工电话支持
日志关联
日志监控
日志过滤
日志分析
事件监控
SIMS平台架构图
Web Portal
威胁 场景库 列表
SOC平台 系统规则 风险 场景
客户业务 场景
Case警报
攻击 判断
Case 规则
黑白名单 客户过滤器
攻击类型列表
攻击威胁基本列表 规则过滤器
192.168.37.2wk.baidu.com0
。。。 192.168.37.250
38.22.201.84
。。。 38.22.201.84
漏洞扫描
。。。 SQL注入
中
。。。 中
①黑客对服务器进行攻击 ②规则会自动记录该攻击 的相关信息 ③黑客在一段时间后进一 步攻击(默认14天) ④我们会把该攻击事件进 行升级,从而触发报警( 符合逻辑的攻击阶段)
防火墙\防病毒
网络产品-路由器 交换机 网关
通用应用程序-IIS\FTP\Oracle
3库一队-威胁场景库
威胁场景库 动态威胁库 知识库 服务梯队
企业人工管理
自动平台管理
NOVA SIMS
• 安全孤岛造成风险 报警和管理分散 • 误报率高、报警频 率高、准确率低 • 规则智能过滤 、归并、关联 不同源的风险 • 误报率低、报 场景库条件: 1、每个场景会包括多条规则; 警准确率高、 2、规则会根据不同设备日志记录的攻击行为特征和频率进行关联并确定结果, 精准度高
典型外网邮件攻击
云平台核心服务区群
3
场景目标: 监测邮件是否携带恶意的URL或邮件附件 场景说明:结合公司IDS告警日志和邮件服务器的账号登录 场景说明: 通过APT监测设备旁路检测邮件附件是否 日志(一定时间内同源 IP多次账号登录失败,如存在账号登录成 携带恶意代码,还原邮件正文并集合 恶意URL库判断是否 功日志,表明账号破解成功) 存在恶意的URL