第一章 需求分析
内网是 APT(高级可持续威胁) 攻击最关注的网络区域, 因为内网里面数据具有重要的情报和经济价值, 但是内网缺乏有效的防御手段, 带来了巨大的安全隐患, 主要表现为如下几点:
1、 很多央企部委核心数据存储在内网中, 一旦被攻破, 面临巨大信息泄漏风险。
2、 内网多年不重视安全, 导致大量木马、 蠕虫病毒泛滥, 交叉感染, 无法彻底清除。
3、 多单位互联互通时, 担心黑客通过其他单位跳板机对本单位攻击, 同时也担心自己单位病毒木马扩散到其他单位。
4、 面对上级单位的网络安全检查, 给 CIO 们增加了非常大的压力, 亟需提升网络安全防御能力。
5、 网络安全主管部门每年组织的网络“攻防演练” , 担心自己单位网络被攻破, 导致被处罚通报。
基于以上几点, 亟需一种新型防御产品, 解决网络安全“防得住” 的问题。
第二章 实现方式
传统内网安全主要通过 IDS、 IPS、 终端杀毒来解决, 但是这种解决方案有非常大的安全风险, 主要是由于技术局限性导致的, 由于其技术原理是基于特征码匹配, 匹配上了就告警, 匹配不上就放过, 而黑客高手自己写的病毒、 木马,首先会做免杀, 网络安全公司没有这些样本, 提取不到特征码, 造成了很多的漏报, 也就没有办法进行有效防御, 由于特征码的不唯一性, 还会造成大量的误报。
卫达内网动态防御解决方案, 摒弃了传统基于特征识别的方法, 从摧毁攻击者的心理入手, 利用中国智慧孙子兵法结合人工智能进行战术战法的动态变换, 跟攻击者打心理战, 彻底摧毁其意志, 让其失去信心, 达到不战而屈人之兵的目的, 让攻击者只要碰到部署卫达动态防御的网络就会敬而远之。
内网防护主要解决东西向网络渗透的问题, 同时兼顾南北向的攻击防护,攻击者入侵方式主要有如下几种:
1、 正面攻击, 突破边界防护进入内网。
2、 社工邮件, 首先跟被攻击者建立信任关系, 通过邮件、 微信等任意信
息通道, 将病毒木马发送到目标主机, 并诱导其运行。
3、 通过移动传输介质, 例如光盘、 U 盘、 移动硬盘、 手机、 充电宝等连接被攻击主机, 进行木马病毒传播。
4、 通过控制内网中某台终端之后, 东西向渗透, 最终控制整个网络。
针对以上攻击者攻击路径, 我们采用以幻境为主、 幻甲为辅的设备部署模式,
根据防御效果需求, 分成三种部署方式,
第一种为最强串接模式(防得住) :
如图所示: 采用幻境串接+幻甲的模式, 幻境串接在核心交换和接入交换之间, 贴近接入交换一侧, 幻甲安装到办公电脑和服务器中, 幻境幻甲联动, 直接定位攻击源, 动态封堵, 形成闭环, 整个过程只需前期配置好, 后期运行时人工参与少。 该部署模式, 不仅可以防御来自外部的渗透, 同时可以防御来自内部的渗透。
第二种为仅用幻境串接模式:
如图所示: 该模式仅用幻境一个产品, 幻境串接接入到核心交换和接入交换中间, 用于不方便终端安装幻甲的幻境, 该模式和第一种具有大部分的防御能力, 但是没法阻止内网第一台终端通过移动介质被控制, 但是不影响东西向防御能力。
第三种防御模式为幻境旁路部署模式:
幻境可以旁路接入多个二层汇聚/接入交换机, 采用这种方式仅能告警攻击, 无法阻断攻击。
三种不同的部署模式, 根据用户端网络情况和匹配不同需求。
采用卫达内网“防得住”动态防御解决方案,可以极大提高内网防御能力,
具体优势特点如下:
l 不仅可以识别内网的攻击还可以直接阻断,形成防御闭环。
l 能够变换攻击面,做到事前防御,不是事后诸葛亮,事后告知。
l 能够抵御蠕虫病毒扩散,不论已知还是未知病毒,能够快速定位自动隔
l 离感染源。
l 零误报,极大降低运维人员难度
l 不需要高水平运维人员,降低企业成本。
l 能够抵御国内一切渗透测试人员攻击尝试,护网利器。
l 能够有效抵御国家级APT 攻击。