无论是互联网还是内网,随着业务对机密性、完整性、安全性的要求不断提高,行业标准与规范对加密流量态势提出新要求。密码法对密码安全提出了更高要求,“需要建立核心/普通密码的安全检测预警、安全风险评估的机制”,对加密流量态势提出了明确要求,成为全天候全方位安全态势感知的重要补充。《商用密码管理条例》、《金融行业信息系统商用密码应用标准》也分别从商用密码、行业领域对加密流量安全提出要求。基于以上背景,加密业务态势感知已经成为网络安全态势感知的重要方向。
为帮助用户解决对加密业务的安全态势感知问题,观成科技公司研发推出加密业务态势感知平台(ESA,Encrypted-network Situation Awareness)。
一、标签
加密流量 态势感知 加密资产盘点 加密应用识别 加密风险/合规检测 加密威胁告警
二、用户痛点
1. 缺乏加密流量感知能力
客户部署了传统流量检测类产品,却仍然缺乏对加密要素的检测与分析能力。尤其是在无法解密时需要评估加密安全性以及增强对加密流量的可见性。
2. 无法梳理加密资产
客户资产大部分属于带有加密要素的加密资产,而常规态势感知系统的资产管理系统无法全面识别和追踪加密要素,导致资产信息不完整或不明确,无法完整掌握加密资产属性从而进行有效管理。
3. 加密应用识别问题
客户无法确切了解加密流量中包含何种加密应用,各种加密应用种可能存在何种行为等信息,特定客户还有针对一些敏感应用监控的需求。
4. 无法掌握加密流量中合规问题
客户无法掌握加密流量是否存在合规、风险、异常等问题,也需要清晰了解自身加密业务中是否存在加密攻击、加密威胁等。
三、解决方案
瞰峰-加密业务态势感知平台(ESA)是观成自主研发,基于加密流量检测技术打造的加密流量态势感知产品,产品集成流量、资产、应用、风险、威胁五大态势,完全支持数据可视化运营管理,同时内置多种维度对加密流量和业务进行分析,支持对加密流量分析,可自定义获取加密流量中特定信息。对需要进行信息监管和网络攻击频发单位以及其他行业单位来说,这款产品可作为加密流量安全发现识别、分析研判和响应处置的重要网络安全系统。
功能架构图
1. 加密流量分析
支持实时、离线两种类型流量分析,能够识别解析链路层、网络层、传输层和应用层多种标准加密与自定义加密协议,辅助客户监控网络流量变化情况。
2. 加密资产盘点
通过对流量中涉及的加密资产进行分析识别,可展示加密资产的物理拓扑、业务拓扑和通联图谱,支持自定义拓扑编辑以及按不同维度对资产分组管理。支持对资产高级属性的展示,如硬件类型、风险威胁类型等。
3. 加密应用统计
能够统计流量中加密应用的流量和会话数据,对于监管的敏感加密应用,支持远程办公、VPN、境外应用和非法应用等百余种类型,并支持用户自定义应用规则。
4. 加密风险检测
通过对加密流量的分析,以加密风险类型视角和资产视角展示流量中发现的合规风险,以及非合规要求风险如证书风险、协议风险等。违规资产信息展示,包括密评违规占比、违规资产统计。
5. 加密威胁告警
通过规则、行为模型、AI模型、加密威胁情报等手段,支持对恶意软件家族、隐蔽隧道、加密攻击类型、同源变种或未知威胁、APT加密通信等行检测、告警和研判。研判过程有据可查,可视化呈现。
四、应用特点
1
加密资产自动化盘点
网络资产探测是实现网络资产有效管理的前提,也是进行风险、威胁分析的基础。资产识别的设备类型当前支持9大类,路由拓扑协议支持5种,通过定时和实时的资产信息采集,建立准确的资产清单和拓扑关系;通过建立资产画像,突出资产的加密属性,帮助企业和组织更好地了解其网络设备和应用程序的情况。
资产拓扑展示图
2
行为级加密应用识别
通用应用识别旨在识别网络中使用的常见和广泛采用的加密应用程序。这些应用程序包括各类APP应用、电子邮件客户端、文件传输协议(FTPS)客户端等。通过端口识别、协议识别、流量特征识别、深度包检测、指纹匹配等多种方式,对加密通用应用进行识别。除了识别应用的基础信息以及通联信息外,瞰峰ESA还能识别应用的行为。
敏感应用识别重点关注境外应用、翻墙VPN、远程办公以及涉政、涉恐、涉黄、涉赌,通过分析网络流量和应用行为,可以检测和识别出这些敏感应用,从而帮助客户发现潜在的安全风险和违规行为。以下为应用检测的架构图。
应用检测架构图
3
较完备的加密风险/合规性检测
加密风险分析功能提供了一种用于评估和管理加密通信中潜在风险的能力,包括协议风险、证书风险、通联风险和合规风险,以帮助识别和应对客户网络中加密通信存在的潜在问题。检测合规风险可以帮助发现不符合合规要求的行为,并采取相应的措施,如加密数据传输、限制数据存储权限或制定合规性策略来确保加密网络的合规性。
合规检测部分展示
4
实时加密威胁检测能力
瞰峰ESA能够实时捕获并分析加密流量中的异常行为,深度剖析加密数据包,无需解密即可洞察其中的异常模式或可疑活动。结合全球范围内的加密威胁情报,瞰峰ESA能够精确地识别和定位加密威胁,从而及时应对并保障网络安全。此外,系统采用的多样化规则检测方式、基于流量行为的精准检测技术以及先进的人工智能检测模型,能够迅速发现客户网络中的加密威胁,为守护客户加密网络空间安全提供坚实保障。以下截图为瞰峰ESA支持的恶意加密流量检测类型。
恶意加密流量检测类型
5
自定义日志传输配置
无需定制方便上报各类平台,支持SYSLOG、KAFKA、SFTP等多种类型服务器,支持选择上报的不同类型,如风险、威胁、资产、流量、资产、应用以及系统日志。支持选择上传日志的数据范围以及上报的具体字段。上报字段自定义映射,无需二次开发代码或配置修改,发送日志全字段支持自定义映射,允许用户灵活地调整日志的格式和内容,以满足特定的需求,大大提高日志管理的灵活性和效率,使用户更好地利用日志数据进行分析和决策。
6
可视化呈现
态势可视化是网络安全态势感知任务的结果展示,作为态势感知和可视化技术结合而来一项新技术,态势可视化通过各种形式包括地图、表格、树状图、时间轴、3D和层次可视化等,展示网络安全态势状况,帮助用户更直观、准确地理解网络安全整体态势。数据展示分为数据大屏和仪表盘分析两类页面。大屏页面注重视觉体验,直观呈现,使得监控分析更轻松,满足越来越多的客户对可视化高的要求。仪表盘页面则增加交互操作,方便专业人员的研判分析。
总览大屏页面
五、应用场景
1
监管场景
项目背景
某监管单位负责权责范围内多家单位的网络安全管理,责任重大。加密业务态势感知平台为监管单位提供加密流量的上帝视角,将数据可视化展示,使得数据展现更直观,监控分析工作更轻松。
方案介绍
通过在被监管单位部署ESA软硬件,可采集被监管单位网络安全态势信息,实现统一管理,动态监测。通过对威胁事件的通报预警、重大活动保障、应急响应等机制,实现对重点行业、重点业务互联网暴露面的安全风险监管要求。
方案价值
全面梳理:全面掌握网络资产现状,基于加密要素的加密资产、加密服务识别与分析。
多维展示:为监管者全面梳理网络资产以及加密资产,自动生成加密资产物理拓扑,直观展示各类加密资产互连情况。
投入直观:直观反映加密资产态势信息,体现安全投入价值,同时提升响应与处置效率。
协同联动:接入现有安全运营平台,在预警、研判和溯源提供有效手段。
综合分析:以加密流量分析为基础,综合分析流量、业务、资产、风险和威胁等多角度态势信息,构建加密网络空间态势感知能力。
重点明确:帮助网络安全管理者快速了解整体安全态势,明确网络安全防护重点,并根据安全管理优先级指导相关部门的安全工作。
某网信单位场景
2
运维场景
项目背景
在金融网络中,超过一半的流量已经加密。面临以下挑战:到底有多少加密流量,没有手段看清楚;加密资产承载着重要业务,存不存在风险、有没有威胁,没有检测手段。
方案介绍
在核心交换位置部署,对加密流量、加密资产、加密风险以及加密威胁行为进行检测分析,并通过标准接口接入安全管理平台,实现与原有运营平台的对接和闭环。
方案价值
范围升维:从明文流量到加密流量,补齐安全运营检测能力;
对抗升维:从常规攻击到加密威胁,安全防御升维到密码对抗层面;
思维升维:从威胁到风险,梳理加密风险新问题,从亡羊补牢到未雨绸缪。
关注全生命周期,实现加密业务安全运营闭环。
事前管控:梳理加密资产及加密风险等新脆弱面;
事中监控:持续监控加密流量、加密风险、加密威胁的异常变化,及时识别发现问题;
事后可控:接入现有安全运营平台,在预警、研判和溯源提供有效手段。
某金融机构场景
3
合规场景
项目背景
某政府机构网络中原本已存在大量加密流量,目前正在依照相关政策进行国密化改造,客户需要掌握加密流量中是否存在风险、不合规和威胁等问题,以及是否存在使用非法境外应用的情况,因此需要针对加密业务态势进行综合分析和呈现。
方案介绍
在核心交换位置部署方案,对加密类业务进行了全面梳理,形成业务基线,随时发现异常的加密业务,检测分析加密流量中的风险、合规、应用和威胁情况。
方案价值
识别加密流量中的正常的、有风险、不合规及混在其中的威胁;对境外、翻墙VPN等不合规业务应用的识别;加密业务看见、看清、看懂。
某政府机构场景
4
攻防演练
项目背景
某央企攻防演练中,高水平的攻击方大量采用加密通信手段隐藏攻击意图。当前的防护体系中,现有的威胁检测能力多集中在明文流量威胁检测上,缺少全方位体系化检测加密流量威胁手段,在攻防演练场景下补足加密威胁检测这一短板成为当务之急。
方案介绍
在互联网出口旁路部署瞰峰ESA产品,对加密流量中的威胁行为如加密攻击、隐蔽隧道、HW中常用黑客工具、同源变种及未知威胁进行检测分析。
方案价值
精准发现HW加密威胁事件:专业团队研究HW的新手段新变化,精准检测HW场景的黑客工具及加密威胁事件。
补齐加密流量威胁检测能力,守护最后一道防线:从近年HW看,加密攻击比例越来越大(70%),补齐加密威胁检测能力,构建新的关键防线。
某央企场景