传统防火墙、IPS、WAF等设备
在针对安全事件响应处置时
总会遇到令人头疼的问题:
处置粒度不足,无法灵活、纵深防御
串联部署方式一旦设备故障
容易导致网络瘫痪
面对APT攻击场景
要么根本没发现、要么大动干戈
无法灵活“变化”应对各类阻断或防护场景
这些棘手的问题,已经迫在眉睫
这也是为什么在这两年
安全响应处置流行起了“旁路阻断”
斗象OBS旁路安全响应处置系统
将带来怎样的惊喜?
处置工具能力对比
斗象全新发布的OBS旁路安全响应处置系统(以下简称“OBS”),以旁路部署方式实时采集、解析和检测流量,通过HTTP污染与重定向、TCP RST、UDP 污染等技术实现对攻击流量的网络阻断、定向劫持、响应欺骗,支持对接第三方平台执行处置操作,能够有效提高企业威胁响应处置能力。
斗象OBS旁路安全响应处置系统技术原理
斗象OBS:看我“72变”
1 多形态、多场景的旁路响应处置手段
OBS采用旁路部署,不影响现有网络;内含多类型响应处置动作,包括网络阻断、定向劫持、响应欺骗等,能够有效提高响应处置能力。
网络阻断
通过TCP Reset、ICMP Unreach技术,来阻断通信链路,如针对已知明确恶意或违规行为阻断,形成虚拟补丁,防止攻击行扩散;
定向劫持
通过HTTP Redirect、DNS重定向技术,将通信链路引流到第三方主机或网站,如针对恶意的HTTP连接,伪造301重定向的响应;或可将攻击者重定向到蜜罐等设备,达到攻击反制目的;
欺骗响应
通过动态伪造欺骗响应包,污染原来的通信链路,迫使原有的通信链路异常或者中断,如反馈虚假设备、组件、业务系统指纹的响应,达到攻击欺骗目的;
2 高性能旁路流量控制技术
OBS采用自研高性能DPI技术,基于DPDK框架实现解析引擎。以数据包捕获、协议识别、流量重组等方式,实现4层到7层协议细粒度全包解析。OBS支持5Gbps以上实时流量监测,毫秒级恶意流量攻击报文阻断。
3 阻断策略支持精细化运营,业务“0侵入”
OBS支持用户管理触发阻断动作的阻断条件,包括检测规则、IP名单、域名名单,一旦命中阻断条件,系统立即发起响应处置动作;支持对4层、7层业务流量精细化阻断,如配置HTTP协议的url、body等任意字段,达到高粒度的阻断效果;同时也支持内置阻断规则,一旦检测到高危行为,系统自动阻断。
可选阻断规则
阻断IP信息一览
阻断域名信息一览
左右滑动查看更多
OBS支持自定义配置旁路阻断报文发送方向,如客户端与DNS服务端通信时,只阻断客户端,而不影响DNS服务器的正常运行,实现对业务服务器的“0侵入,0感知”;同时系统支持自定义响应处置动作,尤其可选观察模式(仅记录不阻断),帮助用户判断策略上线后的阻断效果,避免阻断策略对业务造成影响。
可选防护模式
此外,OBS处置记录模块还支持用户查看全部阻断记录,包括阻断会话、阻断策略、阻断结果、阻断时间以及阻断数据包,便于用户了解阻断效果,进一步审计、溯源分析。
4 联动各类安全产品,构建联合防御体系
OBS可联动各类安全检测和威胁情报产品,对接阻断IP、域名请求,实现对风险的处置闭环;也可以联动各类蜜罐设备,将攻击流量重定向到蜜罐设备,达到攻击欺骗、攻击溯源、攻击反制的目的。
OBS以高性能旁路流量控制技术加持
承载多形态、多场景的旁路响应处置手段
帮助企业精细化运营阻断策略
部署确保业务“0侵入性”
同时支持联动各类安全产品
为构建联合防御体系打通桥梁
—END—
【 互动有奖 】
留言区发布任何关于旁路阻断的想法、看法,
获得点赞TOP3
即可获取精美伴手礼一份
*活动解释权归斗象科技所有
想要漏洞运营管理做得好,斗象MSS少不了!
杀伤攻方“有生力量”|演习期间云蜜罐布控策略指南,请注意查收!
2023攻防演练必修高危漏洞合集(3.0版)
如有侵权请联系:admin#unsafe.sh