国有银行全流量威胁感知建设项目案例分享

admin 2023年1月2日17:05:04评论28 views字数 1691阅读5分38秒阅读模式


项目背景

客户作为六大行之一,营业网点多,覆盖面广,触角深,随着金融数字化快速转型,亟需加强全网安全监测、APT监测和态势感知建设。随着2019年首批态势感知平台建设项目三年维保服务到期,客户需要加强各区域全流量检测水平,扩展新型攻击检测能力,精准识别挖矿勒索等异常行为。新建设的态势感知平台与探针将满足客户对资产识别、流量威胁分析、集中管理的建设需求,为搭建统一化、标准化的监测和处置体系提供核心技术支撑。


项目方案

本项目范围覆盖客户总行及各分支行,涉及流量检测探针和态势感知管理平台建设。在使用态势感知平台及全流量探针的三年来。客户结合实际工作中遇到的安全挑战和现有产品机制的短板,进一步细化了流量检测、攻击检测、弱密码与爆破检测、告警研判、资产发现、告警展示以及管理平台探针对接等能力要求。本次建设中绿盟科技使用ISOP作为管理运营平台,UTS全流量威胁检测探针为平台威胁分析研判提供数据来源。

01

全流量威胁检测探针

UTS满足了客户对于全流量协议数据解析、存储及提取的需求,可对WEB攻击、远控工具、隐秘隧道、挖矿勒索、外联检测、弱口令、信息泄露和黑客工具等风险进行检测,可自定义异常行为检测规则,支持IP资产的识别与监控,能够结合攻击链准确研判攻击结果。

  绿盟科技全流量威胁检测探针UTS系统架构如下图:

国有银行全流量威胁感知建设项目案例分享

1 整体架构

1.采集层可以对网络流量进行逐层解析,将传输层协议数据剥离出来,使其在会话重组过程中按照数据流的形式进行处理与管理。应用层协议解析模块采用基于多模匹配的协议识别技术、基于解析模板的智能提取技术和基于流量特征的流识别技术等关键技术对流量数据进行高效、完整、准确的协议类型识别与解析。

2.数据层支持对采集和解析的数据进行存储,存储的数据类型包括:元数据、威胁pcap包、原始pcap包、恶意文件、资产数据。

3.检测层具备全面威胁的检测能力,具备多个检测引擎:入侵行为检测引擎、WEB应用检测引擎、意文件检测引擎、自定义规则检测引擎、威胁情报引擎、异常行为引擎。

4.业务层完全具备独立使用的能力,拥有4个子业务:仪表板、事件研判、攻击取证和威胁分析。能对内网威胁事件进行统计、研判、关联分析,对攻击者和受害者进行画像,快速定位高危攻击者或者高危资产。

5.外部接口支持与其他产品进行对接形成组合方案,外部接口包括A接口、restAPI、syslog、SFTP和日志插件(日志插件可快速适配各种日志格式与第三方平台进行对接)。

02

智能安全运营平台

  绿盟科技智能安全运营平台ISOP系统架构如下图:

国有银行全流量威胁感知建设项目案例分享
2 整体架构
智能安全管理运营平台包括数据采集层、威胁分析层、使用展示层。
1、数据采集层实现企业内不同安全探针、业务系统安全数据的接入、汇聚、标准化,供上层应用系统进行使用。
2、威胁分析层是平台的核心能力层,包括日志威胁集中分析能力、全流量溯源分析能力、自动化响应处置能力、资产安全管理、工单协同分析处置能力、安全编排自动化响应能力,可支撑企业安全运营的不同细分场景。

3、使用展示层是平台与使用者最终交付的使用层,是本地运营人员对威胁分析层不同能力进行操作使用的入口,同时可对数据中心安全态势进行集中展示及呈现。

03

部署方案

本次建设在客户全国分支行部署中高端型号探针设备共36台,在主数据中心部署态势感知管理平台。全国分支行通过交换机镜像流量到UTS先进行流量解析还原,按既定规则进行分析处理判断,并将告警日志发送至总部的态势感知管理平台,结合威胁分析关联模型进行统一汇聚研判分析展示,从而完成全局的威胁流量探测以及安全风险感知。
国有银行全流量威胁感知建设项目案例分享
图3 部署拓扑


项目价值

该项目是绿盟科技在国有大型银行交付的智能安全运营平台(ISOP)和综合威胁探针(UTS)的又一硕果。满足了客户在数字化转型中的全流量威胁检测和态势感知扩展需求,有效提升新型攻击防护水平,大幅降低安全人员成本,支撑不同角色安全管理考核和评估工作。凭借本项目积累的实施经验和检测规则,绿盟科技可以为其他客户带来更优质的全流量威胁检测和管理能力。

国有银行全流量威胁感知建设项目案例分享

原文始发于微信公众号(绿盟科技金融事业部):国有银行全流量威胁感知建设项目案例分享

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月2日17:05:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   国有银行全流量威胁感知建设项目案例分享http://cn-sec.com/archives/1487051.html

发表评论

匿名网友 填写信息