开展网络安全等级保护是企业合规运营的基本要求,等保2.0标准的发布标志着网络安全的保护策略从被动防御转为主动防御,层面防御转为综合防御、纵深防御。
抗APT、网络回溯、威胁情报 —— 等保三级合规必备
科来在国内率先提出网络回溯概念,并推出了以全流量采集分析技术为基础的网络回溯产品。科来参与制定并由公安部发布的“等保2.0”,也明确提出等保三级中,网络回溯系统为入侵防范的测评对象。 在《基本要求》中明确规定,应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。在对应《测评要求》中要求部署抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件,并验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
相关等保要求
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 8.1.3.3 入侵防范(第三级安全通用要求) 本项要求包括: c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 8.1.3.3.3 测评单元(L3-ABS1-12) 该测评单元包括以下要求: a) 测评指标:应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; b) 测评对象:抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件; c) 测评实施包括以下内容:
1) 应核查是否部署相关系统或组件对新型网络攻击进行检测和分析; 2) 应测试验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
d) 单元判定:如果 1)- 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
科来为企业等保2.0合规建设提供产品
科来于2010年率先提出网络回溯概念,并推出了以全流量采集分析技术为基础的网络回溯产品。随着网络安全环境的复杂化,逐步将网络回溯分析、威胁情报等方面纳入到科来对于动态防御体系建设的产品体系中。 科来是等保2.0标准的起草单位之一,多款产品与等保测评要求中的测评对象逐一对应,帮助用户实现对网络攻击特别是新型网络攻击行为的分析。点击了解科来产品。
科来帮用户实现价值
“网络安全是动态的而不是静态的”,网络回溯能力是新环境下网络安全保护体系建设的重要组成部分,是在对网络流量进行实时分析和异常检测的基础上,对原始数据包的完整记录和保存,完成在事前、事中、事后全覆盖的主动威胁识别。
事前预防
“流量数据不会说谎”,基于科来全流量安全分析平台的网络流量可见性,安全运营人员可以透视核心业务系统的流量构成(开放了哪些服务?有哪些协议和应用?是否合规?等等)和访问关系(系统与系统之间的交互关系是怎样的?哪些用户在访问?是否合规?等等),并以此作为依据提出优化建议。 这有利于发现未在册资产,验证安全策略是否生效,理解攻击面和潜在的安全威胁,从而提前采取手段预防安全事件的发生。
事中检测响应
科来全流量安全分析平台解决方案融合了传统的基于规则的检测技术、深度网络行为分析、威胁情报关联与机器学习等技术,与现有安全设备(FW、IPS、WAF等)共同构成纵深检测和防御体系,以发现已知和未知的安全威胁。 另一方面,提供全面可用的数据和分析能力,验证各类安全工具警报的真实性,明确网络攻击的性质,分析其攻击手法和影响范围,帮助安全运营人员做出快速和正确有效的处置。
事后评估
没有攻不破的系统,最怕的不是被黑,而是被黑了还不知道是如何被黑的。对于已经确认的网络安全事件,可以实现完整的攻击过程回放,清晰界定责任。 此外,应急处置也是等保2.0和《网络安全法》要求的重要工作内容,对于已经处置的安全事件可以通过流量可视分析效果,进行验证评估。比如对于WannaCry勒索病毒的处置,各终端升级完补丁之后,可以通过网络回溯分析内网是否有勒索病毒传播的对应流量特征。