隨著數(shù)字業(yè)務(wù)的快速增長,企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險也在呈指數(shù)級增長。近一兩年來�����,網(wǎng)絡(luò)安全事件的頻發(fā)也為廣大企業(yè)敲響了警鐘���。在國家高度重視網(wǎng)絡(luò)空間安全的今天,越來越多的企業(yè)通過建立自己的網(wǎng)絡(luò)安全技術(shù)團(tuán)隊(duì)或委托專業(yè)安全服務(wù)團(tuán)隊(duì)��,來提高網(wǎng)絡(luò)安全防護(hù)能力��,著力防范化解風(fēng)險隱患�����,全力保障企業(yè)業(yè)務(wù)安全。
在這一趨勢下����,神琥科技企業(yè)級安全防護(hù)系列產(chǎn)品“銅墻鐵壁”,在軍工���、能源�����、金融��、通信等多個領(lǐng)域相繼落地���,為企業(yè)用戶提供專業(yè)有效的業(yè)務(wù)保障服務(wù)。
上一期�,我們圍繞銅墻產(chǎn)品展開了分享與探討(往期回顧:【產(chǎn)品丨神琥科技銅墻鐵壁產(chǎn)品答疑(上篇)】),本期我們將聚焦鐵壁產(chǎn)品與大家繼續(xù)交流�����。
鐵壁產(chǎn)品問答
▼
1.鐵壁可以識別網(wǎng)絡(luò)流量中的哪些內(nèi)容��?
答:鐵壁可以對企業(yè)所有網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行全流量抓包和存儲,通過深入解析數(shù)據(jù)包��,可以識別網(wǎng)絡(luò)指紋(包括IP�、域名、應(yīng)用協(xié)議����、HTTP信息等),發(fā)現(xiàn)網(wǎng)絡(luò)中的惡意軟件�、惡意文件,以及HTTP�、VPN、LDAP����、Teamviewer等外訪行為��,并提取流量中包含的文件����、郵件等。
2.鐵壁可以發(fā)現(xiàn)網(wǎng)絡(luò)外發(fā)的文件嗎���?怎么發(fā)現(xiàn)�?
答:鐵壁可以發(fā)現(xiàn)網(wǎng)絡(luò)流量中未經(jīng)通信加密的所有傳輸文件,包括網(wǎng)絡(luò)外發(fā)和接收文件�����。一方面�,鐵壁在捕獲數(shù)據(jù)流量的同時,會自動提取流量中的傳輸文件��;另一方面��,通過對系統(tǒng)發(fā)現(xiàn)的異常數(shù)據(jù)流量進(jìn)行回溯分析���,如果流量中存在文件則可以直接進(jìn)行提取��。
3.鐵壁如何發(fā)現(xiàn)網(wǎng)絡(luò)的境外訪問�����?
答:鐵壁系統(tǒng)可以發(fā)現(xiàn)境外IP對企業(yè)的網(wǎng)絡(luò)訪問��,以及企業(yè)內(nèi)部對境外IP的網(wǎng)絡(luò)訪問��。例如����,通過DNS分析可識別出境外域名,從而發(fā)現(xiàn)境外訪問���;利用網(wǎng)絡(luò)IP���、地理位置等多種信息進(jìn)行數(shù)據(jù)過濾和關(guān)聯(lián)分析,也能發(fā)現(xiàn)境外訪問的數(shù)據(jù)流量�����。
4.鐵壁系統(tǒng)的部署對操作系統(tǒng)和硬件配置有什么要求�?
答:鐵壁管理客戶端可安裝在WIN7/WIN10操作系統(tǒng)中,硬件配置上要求內(nèi)存不小于8G����,高性能CPU。完整安裝時���,本地單盤存儲空間不小于100G,分析的離線數(shù)據(jù)量每增加1T��,本地存儲空間需增加30G�����。
5.部署鐵壁時為什么要安裝數(shù)據(jù)庫?
答:通常選擇鐵壁客戶端的簡易安裝模式����,不需要安裝數(shù)據(jù)庫;選擇完整安裝模式���,可支持對本地數(shù)據(jù)流量文件的離線分析功能�����,則需要安裝數(shù)據(jù)庫�����。
6.安裝鐵壁系統(tǒng)后���,是否會對企業(yè)網(wǎng)絡(luò)產(chǎn)生影響?
答:鐵壁系統(tǒng)部署在用戶單位的網(wǎng)絡(luò)交換����、路由器或互聯(lián)網(wǎng)接入節(jié)點(diǎn)處,利用交換機(jī)等設(shè)備的端口鏡像功能�,將鏡像源端口的數(shù)據(jù)包,拷貝到指定的目的端口�。端口鏡像功能通過交換機(jī)的硬件芯片實(shí)現(xiàn)�,不會對網(wǎng)絡(luò)產(chǎn)生干擾�����。
7.鐵壁系統(tǒng)有何亮點(diǎn)特色���?
答:神琥科技專業(yè)從事電子數(shù)據(jù)取證行業(yè)十余年�����,在充分考慮網(wǎng)絡(luò)上可能遇到的各種風(fēng)險的同時�����,也將取證思維融入到了鐵壁產(chǎn)品的研發(fā)設(shè)計中��。
一是系統(tǒng)支持對企業(yè)網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行長期的實(shí)時采集與全流量存儲�,確保不漏掉企業(yè)網(wǎng)絡(luò)的任何異常情況����;
二是支持對異常的IP���、域名��、協(xié)議等進(jìn)行精準(zhǔn)定位��,并實(shí)時上報預(yù)警�,以便安全管理人員進(jìn)行風(fēng)險排查;
三是支持對木馬�����、端點(diǎn)�、應(yīng)用等十余種風(fēng)險項(xiàng)目進(jìn)行獨(dú)立分析或深度關(guān)聯(lián)分析,有效識別各類網(wǎng)絡(luò)威脅�����;
四是支持后臺實(shí)時提取原始文件數(shù)據(jù)���,且支持?jǐn)?shù)據(jù)的預(yù)覽和下載�����,便于及時發(fā)現(xiàn)網(wǎng)絡(luò)竊泄密行為����,追查路徑���;
五是支持?jǐn)?shù)據(jù)回溯分析�����,還原網(wǎng)絡(luò)安全事件的過程��,便于后續(xù)取證鑒定工作的快速開展��,為案件偵辦及司法訴訟提供證據(jù)支撐�����。
此外���,我們充分考慮用戶體驗(yàn)����,提供更加直觀的可視化分析和展示效果����,讓企業(yè)網(wǎng)絡(luò)安全管控更加簡單快捷。
8.鐵壁系統(tǒng)的應(yīng)用效果如何�?
答:鐵壁系統(tǒng)的應(yīng)用,可以實(shí)現(xiàn)對網(wǎng)絡(luò)安全的實(shí)時監(jiān)管,對網(wǎng)絡(luò)威脅的主動核查����,對流量風(fēng)險的全面分析�,以及對網(wǎng)絡(luò)攻擊的完整還原,確保為企業(yè)提供行之有效的網(wǎng)絡(luò)安全檢查方案��。
鐵壁系統(tǒng)自上線運(yùn)行以來��,已累計識別涉外訪問數(shù)萬次�����,發(fā)現(xiàn)���、記錄敏感文件近萬份����,為企業(yè)用戶發(fā)現(xiàn)諸如DDOS攻擊�、木馬病毒入侵、非授權(quán)訪問����、違規(guī)傳輸涉密文件等多種網(wǎng)絡(luò)安全威脅和隱患。
例如,某市一政法單位突然遭遇網(wǎng)絡(luò)卡頓����,無法正常瀏覽網(wǎng)頁,在排除路由器故障后依然無法正常連接互聯(lián)網(wǎng)�。隨后,神琥技術(shù)人員介入�����,并在該單位的互聯(lián)網(wǎng)出口部署鐵壁系統(tǒng)�,對近期的數(shù)據(jù)包進(jìn)行分析。在導(dǎo)入數(shù)據(jù)包后�����,鐵壁系統(tǒng)立即收到了攻擊告警信息���。
從告警信息中可以看到����,數(shù)據(jù)包中的數(shù)據(jù)傳輸信息觸發(fā)了鐵壁系統(tǒng)的惡意程序規(guī)則���,顯示有3臺服務(wù)器感染了RAT木馬和惡意軟件warpstrings��,而攻擊者借此控制了服務(wù)器�。
通過對數(shù)據(jù)包進(jìn)一步分析發(fā)現(xiàn),有5個IP對該單位3個服務(wù)器進(jìn)行登錄的痕跡�����,而服務(wù)器在對外執(zhí)行間隔性的���、持續(xù)性的掃描任務(wù),明顯帶有被控“肉雞”特征���,在對其他設(shè)備進(jìn)行DDOS攻擊��。
根據(jù)神琥出具的數(shù)據(jù)分析報告�,該單位及時清除了服務(wù)器上的木馬和惡意軟件�����,并更換了更復(fù)雜的服務(wù)器密碼���,避免了進(jìn)一步的損失�。
銅墻鐵壁產(chǎn)品綜合問答
▼
1.銅墻鐵壁系統(tǒng)都能發(fā)現(xiàn)竊密泄密行為��,可以只安裝其中一個嗎?
答:銅墻系統(tǒng)��,主要應(yīng)用于防護(hù)終端安全�����;鐵壁系統(tǒng)����,則應(yīng)用于檢查網(wǎng)絡(luò)安全。兩者的監(jiān)管目標(biāo)不同��,發(fā)現(xiàn)竊密泄密行為的途徑也不同��。
以文件外發(fā)行為為例�,銅墻系統(tǒng)是在終端設(shè)備上識別和追蹤文件的操作情況,可定位到外發(fā)的軟件及文件內(nèi)容����。鐵壁系統(tǒng)則是從網(wǎng)絡(luò)流量中監(jiān)控文件的傳輸情況,可以追蹤文件外發(fā)協(xié)議�����,以及目的主機(jī)的部分信息���,為文件管理提供更加完整的證據(jù)鏈�����。
銅墻鐵壁的結(jié)合���,可以實(shí)現(xiàn)更精準(zhǔn)的安全防護(hù)和更快速的事件響應(yīng)�����。例如,在發(fā)生黑客攻擊竊密時���,銅墻系統(tǒng)可以精準(zhǔn)定位出被攻擊的是哪一臺終端設(shè)備����、被竊取的是什么內(nèi)容��,鐵壁系統(tǒng)則可以還原出黑客的攻擊方式和過程等信息���,便于安全管理人員了解企業(yè)安全的薄弱環(huán)節(jié)���,及時采取防范措施����。
2.已經(jīng)安裝了防火墻����、殺毒軟件,還有必要安裝銅墻鐵壁系統(tǒng)嗎��?
答:防火墻���,相當(dāng)于聯(lián)網(wǎng)終端與互聯(lián)網(wǎng)之間的安全門�,對進(jìn)出它的數(shù)據(jù)流進(jìn)行安全訪問控制���;殺毒軟件���,相當(dāng)于終端上雇傭的專業(yè)警察,對進(jìn)入終端內(nèi)部的病毒威脅進(jìn)行清除�����。防火墻與殺毒軟件可以通過防護(hù)查殺取得安全的結(jié)果��,但并不能全流量保存網(wǎng)絡(luò)通信數(shù)據(jù)����,也無法還原威脅入侵的完整過程�����。
銅墻系統(tǒng)���,可以從涉密文檔監(jiān)測、移動存儲介質(zhì)監(jiān)測���、網(wǎng)絡(luò)行為監(jiān)測以及木馬文件檢測等多個角度�,提供較為完善的終端安全防護(hù)�����,實(shí)現(xiàn)從發(fā)現(xiàn)到預(yù)警再到阻斷的全流程管控���。
鐵壁系統(tǒng),可以監(jiān)控�、記錄流經(jīng)企業(yè)網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù),從流量中回溯還原出“什么人�����、在什么時間、從什么地點(diǎn)���、訪問了企業(yè)的哪些系統(tǒng)和信息”���,便于安全管理人員采取針對性的防范措施。同時����,系統(tǒng)還能在長期運(yùn)行過程中形成網(wǎng)絡(luò)威脅的動態(tài)感知機(jī)制,及時發(fā)現(xiàn)和上報網(wǎng)絡(luò)中的異常外聯(lián)與攻擊情況���,提升企業(yè)網(wǎng)絡(luò)安全能力����。這也是銅墻鐵壁的優(yōu)勢所在��。
3.銅墻鐵壁系統(tǒng)適用于哪些行業(yè)或企業(yè)����?
答:能源、金融����、通信���、交通、電力等有著關(guān)鍵信息基礎(chǔ)設(shè)施的重要行業(yè)�����,以及掌握著國家秘密或商業(yè)秘密的軍工單位�����、科研院所和大中型企業(yè)等���,是網(wǎng)絡(luò)安全的重要陣地���,也是銅墻鐵壁廣泛部署的領(lǐng)域。神琥支持根據(jù)不同行業(yè)按需定制產(chǎn)品功能����,充分滿足企業(yè)用戶多樣化��、深層次的監(jiān)管需求����。
4.神琥可以提供哪些售后服務(wù)���?
答:① 應(yīng)急響應(yīng)服務(wù),包括各類網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)�����、黑客勒索事件應(yīng)急響應(yīng)�、重要信息系統(tǒng)攻擊破壞事件應(yīng)急響應(yīng)、突發(fā)重特大案件應(yīng)急響應(yīng)等�;
② 技術(shù)支持服務(wù),包括電話支持�、故障處理、軟件升級���、日常管理等�����;
③ 培訓(xùn)服務(wù)�����,包括相關(guān)風(fēng)險防范技術(shù)�、風(fēng)險分析技術(shù)等。
用科技護(hù)航企業(yè)發(fā)展����,讓每個人更有安全感!銅墻鐵壁產(chǎn)品將以終端安全和網(wǎng)絡(luò)安全為抓手��,為企業(yè)構(gòu)建業(yè)務(wù)風(fēng)險防范體系和業(yè)務(wù)安全保障體系����,助力企業(yè)提升網(wǎng)絡(luò)威脅應(yīng)對能力,共同守護(hù)國家網(wǎng)絡(luò)空間安全��!
