以“人工智能+检察工作 网络安全发展新方向”为主题的检察大数据应用沙龙近日在广东佛山举行,来自全国检察院系统、专家学者等参加了本次沙龙。科来发表《全流量回溯,安全监测无死角》主题演讲,为检务网络安全新方向提供思路与方法。智慧检务依托大数据技术,不仅面临传统IT架构的各类威胁,而且由于大数据本身的集中,高价值等特性,会面临更大的安全威胁。需要智慧安全保驾护航,与智慧检务核心内涵一样,都是以大数据技术为基础,智慧检务是对检务大数据的分析和应用,而智慧安全也是利用大数据分析技术,实现全方位态势感知,特别是未知威胁的检测和分析。
全流量回溯是发现未知威胁的基础
智慧安全基于大数据分析,而大数据分析的对象就是网络全流量。再高级的攻击,都会留下网络痕迹,网络攻击者的行为和我们正常的员工在网上访问的数据行为是不一样的,因此,唯一万无一失的办法就是进行网络全流量分析。现在黑客突破防御边界进入我们的系统已经不是难事,但是,他们需要在网络里寻找对他有价值的数据,在他发现目标数据,并把数据拿走之前,如果能及时的发现入侵,就可以切断攻击,我们就仍然是安全的。因此我们需要对全方向网络流量进行分析,包括内网核心,安全域边界,而不仅仅只是边界。
全流量回溯是对网络数据的大数据分析,最大特点是对网络协议和网络应用进行识别,以异常检测为主的判断机制和原始流量的存储。有了网络协议和网络应用的鉴别,就能梳理网内的正常流量,发现异常数据类型和流量;有了异常检测方法,就能够通过对各类网络行为建模,实现对未知攻击行为的检测;有了原始流量的存储,就能够将当前检测到的攻击行为与历史流量进行关联,实现完整的攻击溯源和取证分析。
与传统的检测手段相比,全流量回溯最大的特点在于分析,传统安全靠检测发现已知问题,全流量回溯靠分析发现未知威胁,不仅补齐用户在未知威胁发现的短板,同时由于保留了全流量,全数据,在追踪溯源追踪定责取证方面发挥了重要的作用。
前期,能够帮助安全运维人员发现安全盲点。现如今快速灵活的业务模式要求IT系统快速新增和整体业务系统,这给安全运维带来一定的挑战,比如测试系统无人管理,比如业务部门赶进度仓促上线新的业务,再比如完成测试的系统没有做下线操作等,这些都数据安全监管盲点,黑客往往利用这些安全盲点进入网络,当做跳板进而威胁核心业务系统。网络回溯分析能通过对流量的识别和行为的识别,帮助管理员及时发现这里安全盲点,消除此类隐患。通过网络回溯能够检查安全措施和安全运维的有效性,特别是访问控制策略是否生效,比如发现异常的跨区防问,非法外联等。
中期,网络攻击是一个过程,通过全流量回溯分析我们能够找出内网已经失陷主机,及时止损。对于入侵检测系统告警,能够通过对原始数据包的分析能够判断告警的准确性,严重性。再比如通过数据包的分析确定是异常连接是暴库还是撞库,通过回包判断是否攻击成功,并采取对应处置措施;
后期,没有攻不破的系统,最怕的不是被黑,而是被黑了还不知道如何被黑的。由于网络回溯保留了全部网络流量。全流量回溯能够对处置的效果进行验证,比如对于wannacry勒索病毒的处置,各终端升级完补丁之后,通过网络回溯分析内网是否有勒索病毒传播的对应流量特征;再比如之前Apache Struts 2漏洞曝光,系统升级补丁之后,通过在全量历史数据包中回查该漏洞的攻击特征和攻击成功指标是否出现,查找是否在打补丁之前,该漏洞已被成功利用。
全流量回溯成为等级保护2.0时代的必备工具
等保2.0,三级系统应检查是否部署网络回溯,对新型网络攻击进行检测和分析,应检测是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。不知道风险,才是最大的风险,全天候全方位感知网络安全态势,其核心在于感知未知风险和威胁,就不能仅仅收集传统安全防御手段的日志进行分析,基于已知感知已知。全流量回溯是网络安全态势感知平台的基础技术。科来的解决方案通过在网络全方向部署全流量回溯分析设备,并在次基础上持续融合第三方安全数据融入大数据安全分析平台,帮助用户打造发现-分析-处置的安全运营闭环。
科来在检察体系,国家部委用户落地了众多安全感知平台,取得了良好的效果。在河南实施的基于全流量回溯分析的安全分析平台,实现省院、市院和基层院三级部署。在苏州检察工作展中得到了领导的高度认可。