多面魔方终端安全检测响应XDR-内网东西向安全防护

多面魔方


        终端安全检测响应平台(XDR)是多面魔方安全服务提供的一套SAAS化的终端安全检测响应解决方案,方案由轻量级的端点安全软件和管理平台软件共同组成。XDR的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查,支持微隔离的访问控制策略统一管理, 支持对安全事件的一键隔离处置,以及热点事件 IOC 的全网威胁定位,历史行为数据的溯源分析,远程协助取证调查分析。 端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。XDR 产品也支持与SIEM、SOAR、SOC平台集成或下一代防火墙联动协同响应处置,形成新一代的安全防护体系。

需求分析

  • 以勒索软件为首的恶意软件广泛影响全球网络环境WannaCry利用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户,包括学校、医疗、政府等各个领域。据华尔街日报报道,Wannacry至少造成了80亿美元的损失,勒索赎金超过2500万美元

  • 高级威胁层出不穷,静态特征趋近失效以恶意软件为主的攻击事件持续成长。人为操作的APT攻击(高级持续性威胁),更倾向于选用定制化的恶意变种病毒,更快速绕过基于静态特征构建的终端安全防护体系。由于人工无法应对病毒的指数增长、病毒库数量远小于已知病毒样本,静态特征匹配加重终端资源消耗、依赖云查离线检测能力骤降,静态特征防护已无法应对当前安全形势

  • 终端种类多,分布广,难以实现集中管理分裂的管理区域和终端、单一的防护匹配关系、所需防护的终端类型多种多样(pc、笔记本等)使得管控不满足普适性与兼容性的要求

  • 检测响应机制显著不足85%的入侵在数分钟内完成,60%的数据泄露发生在一天以内,但是大部分发现时间与治理时间都要超过数天甚至于数月,问题由是否被黑转变为何时被黑与何时发现备份

多面魔方

多面魔方人工智能检测多面魔方网端联动闭环
通过高维度特征查杀文件检测率达到99.7,多类分类检测率达到90.3%网络端设备发现终端威胁,自动化告知XDR检测平台对终端进行处置。
多面魔方终端肃杀多面魔方勒索诱饵
一台发现威胁,全网威胁感知,并且在网络中所有终端中查杀相同病毒文件,做到终端肃杀,片甲不留。通过在系统关键目录及随机目录放置诱饵文件,当诱饵文件被加密时立马启动应急机制,阻止加密进程,查杀病毒安源文件。
多面魔方端点安全的立体可视和发现多面魔方多维度漏斗型检测框架
通过XDR控制中心对全网终端进行多维度高效管理,使全网终端风险可视,终端流量关系可视,终端资产可控,资产责任人可追通过多维度漏斗型检测框架有效提升检测效率,轻量化终端资源消耗,通过包括人工智能检测引擎,安全云脑检测引擎等多维度引擎对全文件进行有效查杀。
多面魔方终端闭环,遵循Gartner自适应闭环架构四阶段模型多面魔方微隔离并降低威胁影响面
根据Gartner四阶段模型,定义了在预防、组织、检测、响应各阶段共12个关键功能来有效保护终端安全,XDR根据该框架推出了全维度的终端安全解决方案。利用应用角色之间的主机流量访问控制的技术,提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置,提供简单可视化的安全访问策略配置,提高了安全管理的效率。
多面魔方等级保护的主机安全合规检查多面魔方虚拟化底层平台解耦合,构建动态安全边界
终端安全合规审查依据等级保护的主机安全要求进行设计,对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查,满足企业建设等级保护系统的主机安全要求。创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。

内网东西向访问控制技术


微隔离的技术原理

        创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。

        windows上采用WFP架构实现,应用层采用WFP 基本筛选引擎(Base Filtering Engine )接口实现网络访问关系的控制,驱动层采用WFP内核态过滤引擎实现网络流量的监控。Linux 上采用NetFilter /iptables实现网络关系的访问控制,采用网络连接跟踪的技术实现网络流量的监控。

访问关系控制

        在东西向访问关系控制上,优先对所有的服务器进行业务安全域的逻辑划域隔离,并对业务区域内的服务器提供的服务进行应用角色划分,对不同应用角色之间服务访问进行访问控制配置,减少了对物理、虚拟的服务器被攻击的机会,集中统一管理服务器的访问控制策略。并且基于安装轻量级主机 Agent 软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。

多面魔方

访问关系可视化

        在访问关系可视化中,采用统一管理的方式对终端的网络访问关系进行图形化展示,可以看到每个业务域内部各个终端的访问关系展示以及访问记录,也可以看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行,同时可以根据每个访问关系会生成访问关系控制策略,让用户决定是否启用该策略,减少了手动新增策略的工作量,提高了安全管理的效率。

多面魔方

创新微隔离技术,有效应对高级威胁快速传播,将病毒遏制在指定范围之内,使信息系统环境可控性大大提高。

微信公众号

新浪微博

电话咨询
解决方案
购买与服务
QQ客服