产品概述
深信服安全感知平台(SIP)是一款集检测、可视、响应、预警等多功能于一体的大数据安全分析平台和统一运维中心。它帮助客户“构建本地安全大脑,让安全可感知、易运营”。
SIP以全流量分析(NTA)为核心,结合威胁情报、大数据关联分析、机器学习、UEBA、可视化等技术,对全网流量实现业务和资产可视化、威胁可视化、攻击和可疑流量可视化等,帮助客户对整体安全有全局的把控,真正看清网络现状、看到潜伏威胁、看懂风险影响面。
功能特性
内部潜伏威胁检测
失陷主机检测:定位已经失陷的资产主机,并提供详细举证和专杀工具;
横向威胁检测:对内部东西向的攻击、违规访问、可疑行为、风险访问进行检测;
外联威胁检测:针对内部资产主动对外发起的外联威胁进行检测;
黄金眼:基于访问关系对威胁的影响面进行评估;
外部威胁检测
外部攻击检测:针对来自外部的高危攻击、残余攻击、暴力破解、邮件攻击、文件威胁等进行检测;
外部风险访问检测:针对来自外部的远程访问、异常访问内部数据库等行为进行检测;
脆弱性检测
● 弱密码检测:检测内部业务系统的弱密码登录风险;
● 漏洞扫面分析:针对内部操作系统、业务系统、中间件等存在的漏洞进行检测分析;
● Web明文传输:针对业务系统的明文传输进行检测,及时发现风险;
资产发现与管理
●资产自动识别:基于流量的资产自动发现,及时发现僵尸资产;
●用户认证同步:DHCP环境下,实现对上网用户的身份进行识别与关联;
●设备运行监测:对全网网络设备、安全设备等硬件设备进行运行状态监测;
全局威胁可视
●各类全局可视大屏,“上帝视角”检视整体网络安全现状,从多个维度看清网络风险。
应用场景
整体安全建设场景(本地安全大脑)
存在问题:
1、传统安全体系碎片化:各种安全产品只能看到部署点的信息,流量检测、安全能力、安全日志都是分散和割裂的;
2、检测技术不足:以静态特征检测为主,无法应对高级攻击;
3、安全设备之间无法联动,响应全靠人力,响应速度慢;
解决方案:
1、帮助客户构建一个本地运营中心,将全网流量信息、安全分析能力等进行集中汇总,并利用智能化的检测技术,及时发现潜伏到网络内部的高级威胁,并通过多设备联动机制快速的对威胁进行响应处置;
2、全流量分析,汇总全网流量信息,发现以前发现不了的蛛丝马迹;
3、协同响应,多设备联动,半自动化解决大部分安全问题;
网络内部潜伏威胁检测场景
存在问题:
1、传统防御无法应对高级威胁,比如0day、社工攻击等
2、防御一旦被绕过,难以发现潜伏威胁,更无法看清威胁的影响面
3、来自内部“熟门熟路” 的攻击,更加难以检测和发现,而且造成的威胁更严重。
解决方案:
1、基于海量流量和日志数据,针对突破边界防御、在网络内部进行扩散、渗透、攻击等行为的潜伏威胁进行及时发现和快速处置;
2、网络整体安全可视,宏观可视辅助决策,微观可视简化运维;
3、发现威胁以后,直观展示威胁在内部造成的影响面;
总部分支全网安全检测场景
存在问题:
1、总部有对分支有安全建设有监管职责
2、分支安全成为组织网络安全薄弱点,容易被黑客攻击成为跳板;
3、无法从全局的视角看清全网的安全状况;
4、一旦出现问题,很难定位出是哪个分支还是总部的问题;
解决方案:
1、全网业务资产、访问关系可视化;
2、全网安全态势感知,辅助安全决策;
3、内部网络攻击、违规操作、异常行为可视化;
4、高级威胁检测,弥补静态防御的不足;
典型案例
部分客户名单
部委国土部、国家审计署、国家海洋局、国家广电总局
政府湖北省交通厅、广东省经信委、河北省政法委、天津市政府
教育浙江大学、中央民族大学、中国人民公安大学、许昌市教育局
医院山东大学齐鲁医院、江西省人民医院、复旦大学附属肿瘤医院
企业中国中车、中国国电集团、中国葛洲坝集团、微贷网、华润置地、四川日报、威海市水务集团、千龙网、上海中银消费