<dl id="zl0iz"></dl>

      <progress id="zl0iz"><tr id="zl0iz"><ruby id="zl0iz"></ruby></tr></progress><em id="zl0iz"></em>

      <progress id="zl0iz"><tr id="zl0iz"></tr></progress>

          <div id="zl0iz"></div>

            ?

            绿盟科技

            400-818-6868
            首页->服务与支持->安全运营·远航->绿盟威胁检测与响应服务

            服务与支持

            绿盟可管理的威胁检测与响应服务(NSfocus Managed Detection and Response Service,以下简称绿盟MDR服务)是一种集安全威胁检测设备、安全威胁分析平台、安全专家服务于一体的一站式安全运营支撑服务,通过入侵检测防御系?#22330;?#20840;流量分析系?#22330;?#24577;势感知系统等安全设备与平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务(如下图所示)。

            相对于传统的安全产品与安全服务,绿盟MDR服务具备以下优势:

            1、避免企业信息安全建设面临的管理风险

            当前企业机构的信息安全建设往往采用先采购安全设备和安全平台类产品,后采购运维外包服务方式解决安全问题。这种建设方式,往往在工期上、人员配备上、技术集成上存在较大风险。实现不同厂商安全设备的统一运维与管理、不同安全设备与平台同步开发、联调对接、安全运维外包服务或安全运维人员招聘和培养等问题给企业增加了供应商管理及外包管理成本和风险,难以确保采购的安全设备、平台及服务能够形成完整的、?#34892;?#30340;运营体系应对日益复杂的安全威胁。

            绿盟MDR服务是一体化的、端到端的安全运营支撑服务,通过一体化的设计?#34892;?#25972;合了安全威胁分析平台、安全检测设备及安全运维专家资源,并在技术上、流程上和人员配备上形成?#34892;?#30340;安全运营支撑体系,从而避免了企业在安全建设?#31995;?#39118;险。

            2、配置灵活,成本可控,降低总体成本

            绿盟MDR服务可采用灵活方式采购。一方面,客户可以根据自身业务系统的类型、规模及规划灵活地选配威胁检测与分析所需要的设备。另外一方面,在安全设备及安全平台建设上,企业可以根据自身的安全预算情况选择租赁或采购的方式。对于已购买绿盟安全设备的客户,还可以选择在原有安全设备基础上扩建的方式完成MDR服务的采购。通过以上方式,企业可以大幅降低信息安全建设的一次性投入,并且在确认安全运营支撑服务效果后逐步追加投资。

            3、降低运营负担,适配企业原有的管理流程

            与传统安全设备采购不同,绿盟MDR服务采用一体化建设方式,在原有安全运体系基础上增加企业威胁检测与防护的能力,能够完整地实现企业原有的安全运维体系无缝对接,避免给企业安全运维带来额外负担,降低整体安全运营效率。

             

             绿盟MDR服务的价值与功能

            绿盟MDR服务专注于安全事件发生中和发生后两个阶段的监测与响应,可以为企业客户提供以下?#38477;?#26680;心价?#25285;?span>

            1、安全止损:绿盟MDR服务通过事件监测或审计的方式帮助企业及时发现安全灾害事件,并尽快提供消除灾害影响的操作建议,大幅降低安全灾害事故带来的损失和影响。另外一方面,在安全事件发生后,绿盟MDR服务通过本地化应急响应确认进行攻击溯源,确认引发安全事件根源并采取积极措施消除安全隐患,避免安全灾害事故重复发生。

            2、降低安全风险:绿盟MDR服务通过威胁监测或审?#21697;?#24335;协助企业发现具有持续性攻击或针对性攻击的高危访问源,并提供封杀操作建议,通过攻防对抗方式?#34892;?#25552;升攻击者攻击成本,迫使攻击者放弃攻击,最终达到降低企业安全风险的目的。

            绿盟MDR服务功能主要包括热点事件预警与防护、攻陷主机与事件的防护和高危访问源的监测与封禁,具体功能如下表所示:

            阶段

            服务项

            服务方式

            SLA

            事中

            热点事件预警

            互联网热点事件监测、通告与预警

            1)时效:在热点事件发布后24小时之内,进行安全预警和通告

            2)?#27573;В?#38024;对可能造成主机被控制?#19968;?#24191;泛影响金融、运营商、政府、交通、能源、教育、医?#39057;?#26032;型漏洞或威胁,事件?#27573;?#21442;见《附件一》

            热点事件预防

            防护设备升级并配置防护策略

            在热点事件发布后24小时之内完成防护策略的建议或部署

            持续性攻击高危访问源发现

            互联网边界访问行为审计

            识别互联网恶意访问源、有扫描探测行为的高危访问源及有明显攻陷意图的访问源,并提供封杀建议和策略,每日一次

            针对性攻击高危访问源发现

            互联网边界访问行为审计

            识别针对已知漏洞进行攻击的高危访问源,并提供封杀建议和策略,每日一次

            事后

            可疑攻陷事件发现

            互联网边界访问行为审计

            每日一次

            ?#27573;В?#21442;见《附件二》

            可疑攻陷事件排查

            流?#21487;?#24230;分析(Payload级)

            发现攻陷事件后30分钟内完成

            攻陷事件告警

            电话/邮件通知

            发现攻陷事件后5分钟内完成

            攻陷事件?#31181;?span>

            邮件发送

            发现攻陷事件后5分钟内完成

            安全事件应急响应

            本地人工

            直辖市、省会城市8小时抵达现场

               

            绿盟MDR服务采用的设备类?#22270;安?#32626;方式

            为了确保能及时发现威胁、应对威胁,绿盟MDR服务采用5种不同类型安全设备或平台,包括绿盟Web应用防火墙、绿盟入侵检测与防护系?#22330;?#32511;盟全流量检测系?#22330;?#32511;盟统一威胁分析系?#22330;?#32511;盟态势感知系?#22330;?#36825;五类设备和装置在服务中发挥着不同的功能和作用,帮助企业完成威胁的检测和响应。设备与平台列表如下表:

            设备名称

            英文简称

            作用

            选项

            绿盟Web应用防火墙

            NSfocus WAF

            互联网侧Web威胁检测与拦截设备

            (可选)

            绿盟入侵检测与防护系统

            NSfocus IDP

            互联网侧系统与应用威胁的检测与拦截设备

            (必选)

            绿盟全流量检测系统

            NSfocus UTS

            流量回?#23433;?#38598;设备

            (必选)

            绿盟统一威胁分析系统

            NSfocus TAM

            可疑事件的分析平台

            (必选)

            绿盟态势感知系统

            NSfocus TAS

            可疑事件检测平台

            (必选)

            在部署上(如上图),绿盟MDR服务需要在企业本地侧部署安全运营支撑平台(包含绿盟统一威胁分析系统及绿盟态势感知系统),并将威胁检测类设备(包括绿盟Web应用防火墙、绿盟入侵检测与防护系?#22330;?#32511;盟全流量检测系统)接入至安全运营支撑平台,完成本地部署后,通过在线或离线方式将需要分析的日志信息传送至云端交由云端安全专家完成各类日志分析?#23433;唄灾?#23450;。



            MDR服务的主要服务项介绍


            热点事件预警与防护

            热点事件?#20405;?#22823;?#27573;?#24433;响单个或多个行业或地域的群体性安全事件,例如Struts2漏洞曝光、永恒之蓝攻击代码曝光等,这类事件往往伴随大量灾害和损失发生。根据绿盟网站安全监测与防护服务的统计,每一次热点事件的曝光的24小时以内,互联网都会出现大量与公布漏洞或代码相关的新型攻击。?#20113;?#19994;来?#25285;?#27599;一次热点事件曝光后的排查与加固实质上都是与攻击者面对面的较量,攻击者抓紧时间完成根据新曝光的漏洞信息或攻击代码完成攻击工具,而企业需要完成漏洞的排查与加固。而对于大部分企业来?#25285;?#30830;保在24小时之内完成排查和加固是个极大的挑战,所以热点事件往往会给企业带来极大安全风险。

            绿盟MDR服务可以帮助企业客户在完成加固之前,抢先在互联网出口完成预防工作,将来自于互联网的新型攻击?#34892;?#25318;截,大幅降低热点事件导致的安全风险。

            绿盟MDR服务对热点事件的预警与防护分为通告预警和安全防护2个阶段。在通告预警阶段,当前出现热点事件?#20445;?#32511;盟MDR服务会通过电话、短信、邮件等方式向企业客户发起安全事件的预警,将安全事件相关背景信息、漏洞与攻击相关特征及通用处置建议发送给企业。在安全防护阶段,绿盟MDR服务云端安全专家可在客户授权下,对安全检测和防护类设备的规则库进行升级并配置安全防护策略,通过这种方式预防来自互联网的新型威胁。

            此外,在企业提供资产系统/组件/应用类型的前提下,绿盟MDR服务不仅可?#36828;云?#19994;客户通告新事件,还可以进一步帮助企业客户及时确认事件影响的资产?#27573;В?#24110;助企业排查隐患和加固。

            绿盟MDR服务对热点事件预警与防护

            高危访问源的监测与封杀

            高危访问源的监测与封杀的主要作用有两个,一方面可以在攻击者?#19994;?#25915;陷方法或路径之前,针对访问源进行拦截,破坏?#36828;?#21270;攻击行为,达到比设备?#36828;?#25318;截和防护威胁行为更好的效果。另外一方面,针对高危访问源的封杀可以?#34892;?#25552;升攻击者的时间成本、技术成本迫使对方放弃攻击;高危访问源的监测与封杀技术原理如下图所示。

            高危访问源可以被分为两类,一类是具有持续性攻击特征的高危访问源,另外一类是具有针对性攻击特征的高危访问源。

            绿盟MDR服务针对以下三类具备持续性攻击的特点或意图的访问源进行检测:

            1、有“案底”的高危访问源,即在攻击发生之前曾经?#20113;?#20182;主机或系统采取攻击行为的高危访问源;绿盟MDR服务采用绿盟威胁情报(NTI)可识别全球新的威胁源,根据IP信誉识别并捕获高危访问源。

            2、扫描探测类的高危访问源,绿盟MDR服务通过威胁分析平台对访问流量和日志分析,可识别各类有扫描行为和探测行为的访问源。这类访问行为往往是攻击的前兆。

            3、具有攻陷意图的高危访问源,绿盟MDR服务采用大数据分析和机器学习技术,自主开发了访问行为理解引擎,可以识别攻击者攻陷行为的七个步骤和?#26041;冢?#20174;而识别具有攻陷意图的高危访问源。

            对于针对性攻击的高危访问源,绿盟MDR通过威胁分析平台根据威胁告警和资产漏洞信息进行关联分析,确认每一个威胁行为是否具备针对资产漏洞进行攻击的特征,如果发?#36136;?#38024;对漏洞进行攻击的威胁行为,则需要将其访问源进行特殊处理。

            可疑安全事件的发现与确认

            由于移动终端的普及,攻击者往往采用攻陷个人移动终端的方式来渗透企业内网,企业内网安全已经无法单纯依赖于互联网边界的威胁检测与防护。绿盟MDR服务提供采用互联网边界访问行为检测与流?#21487;?#24230;分析相结?#31995;?#26041;式,帮助企业客户发现并确认可疑的安全事件。

            绿盟MDR服务可以通过系统攻击检测、web攻击检测、网站安全监测(或通告)和威胁情报四种?#34892;?#26041;式发现可疑安全事件,前两者属于本地检测方式发现?#38405;?#32593;外联的可疑行为,后两者都是通过外部能力或情报发现企业内网对外攻击行为或已被的攻陷痕迹。

            当前绿盟MDR服务发现可疑安全事件以后,将可疑事件相关信息,尤其是异常终端访?#24066;?#24687;传递给云端安全专?#21307;?#34892;排查和确认,在专家排查确认后尽快向企业发起安全事件通告,并开?#35745;?#21160;应急响应。

            总结

            绿盟MDR服务是无论是在服务模式上还是在技术上都是业界先进的,该服务不仅为客户提供了安全一体化建设方案,避免安全建设项目的风险,还进一步融合业界先进的大数据分析技术、机器学习技术、智能决策技术为客户?#34892;?#31934;准地识别安全威胁和事件,从而协助企业持续?#34892;?#22320;降低安全风险和安全事故带来的损失。

            绿盟威胁检测与响应服务白皮书下载


            黑龙江公式 浙江十一选五怎么中奖号码 福利彩票15选5中奖规则 打麻将技巧 重庆快乐十分牛 足球亚盘分析技巧视频 广西快乐双彩开奖 黑龙江11选5最大遗漏 北京单场官网 单双中特论坛 平特肖的计算公式 搜狐彩票图表频道 内蒙古彩票快3走势图 足彩 上海新11选5 四肖中特选一肖