2016年《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。网络安全实战化攻防演作为国家层面促进各个行业重要信息系统、关键基信息基础设施的网络安全防护、应急响应水平的重要工作,以实战、对抗、迭代等方式促进网络安全保障能力提升,具有非常重要的意义。
随着大规模攻防演练行动的开展,如何有效地应对演练,提升威胁检测和响应能力,成为大量企业用户的关注重点。
在攻防演练行动中,基于网络流量分析的技术在安全检测与分析过程中起到越来越重要的作用,网络流量分析面对更底层的网络数据包,其中包含更多信息元素,提供真实且充分的数据依据,结合深度报文解析、数据双向验证、网络数据的建模分析与可视化等技术,有效提升威胁检测精度和效率,减少误报。
在攻防演练行动响应及总结阶段,通过对异常流量进行追溯定位,还原整个攻击过程,便于事件分析与事后总结。
但由于安全要求,流量加密已经成为企业主流状态,这也导致网络流量安全设备难以真正发挥作用,给攻防演练中的防守方带来严峻挑战。
据统计,当今世界超过60%的企业网络流量通过加密通信传输,加密技术原本是为了保障数据传输的机密性、完整性的安全机制,但也成为了攻击者为了躲避检测的工具。许多企业认为加密能保护网络流量免受网络威胁,但在攻防演练行动中,加密流量也阻止了安全及监测工具探知网络中传递的数据包的内部情况——攻击方往往会利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络,让防守方的安全防御行动处处受限。
为提升红蓝攻防对抗演练效果,让防守方在行动时做出准确判断。斗象科技联合F5推出加密流量安全分析解决方案,即斗象PRS-NTA与F5-SSL Orchestrator联合解决方案针对加密流量的网络安全分析与恶意软件检测,聚综合之力,促攻防之道。
在斗象科技和F5联合推出加密流量安全分析解决方案(The F5 SSL Orchestrator and Tophant PRS-NTA Solution: SSL Visibility with Service Chaining for Network Traffic Analysis and Malware Detection)中,通过流量处理引擎(F5 SSL Orchestrator,以下简称SSLO)对流量进行统一的加密与解密操作,并使用SSLO流量负载均衡,智能调度分发给业务系统。智能安全分析引擎(PRS-NTA)首先利用内置智能分析引擎识别加密恶意流量。其次,SSLO把解密后的流量镜像给PRS-NTA进行实时采集并深度解析,结合AI智能、统计模型与安全规则,对流量行为建模分析,识别流量的异常行为与隐蔽风险,提供了对网络事件的安全分析和调查狩猎的能力。有效打破传统检测方法在面对加密流量无所适从的局面。
关于F5 ·SSLO
F5 (纳斯达克: FFIV) 是全球领先的应用交付网络(ADN)领域的厂商,创建于1996年,总部位于美国西雅图市。F5为全球大型企业、运营商、政府与消费品牌提供更加快速、安全以及智能的应用,通过交付云与安全解决方案,F5帮助企业在不损失速度与管理性的同时享有它们所需的应用架构。
F5所推出的SSLO,可以加载证书对流量解密、进行安全的控制检查以及重新加密,提升了网络可视性,消除安全盲点,可帮助规避网络中的威胁。同时,SSLO节省了安全设备自身处理SSL加解密带来的性能消耗。SSLO的技术优势在于SSL可视化、安全设备快速扩展、支持多种拓扑和设备、动态服务链。
斗象PRS-NTA介绍
斗象科技以人工智能、大数据技术为核心,研发的新一代全息智能安全平台,为企业构建实战引领的安全检测与数据安全分析体系。
斗象智能安全PRS-NTA全流量存储与智能分析系统通过旁路部署镜像流量,实时采集并深度解析,结合AI智能、统计模型与安全规则,对流量行为建模分析,识别流量的异常行为与隐蔽风险,应用事件关联与自定义实体网络分析,构建场景化的感知预警系统;配合大数据解析,对安全攻击事件可视溯源,构建新一代以数据分析为核心的威胁检测与响应平台。PRS-NTA技术优势在于大数据架构,全流量存储、全文件存储;AI赋能智能威胁检测;多模型融合的恶意文件检测;加密流量智能检测;基于KillChain的场景化分析;攻击回溯,威胁狩猎;资产测绘,智能管理。
本次斗象科技和F5 联合推出的企业级场景化解决方案可以有效地解决在企业在内部加密数据环境下难以深入分析网络流量的难题,为攻防演练提供强有力的技术支撑,也为实战中防守方威胁检测和响应能力的提升提供专业的技术保障。