2.1.1 IT+OT网全面检测
(一) 主机(探针+主机卫士)+智能采集器精确定位
通过部署长扬科技主机(探针+主机卫士)+智能采集器结合AI智能识别定位技术,对于存在恶意软件自动化传播过程中常见的端口扫描、漏洞利用、暴力破解等异常网络行为,信息网及工控资产 CPU 等资源占用过高等异常现象进行排查,同时针对状态可疑的资产进行协作分析,一旦发现包括挖矿木马及病毒在内的恶意软件就可以提取其特征值形成精确检测规则,持续补充挖矿治理专项工作的安全监测能力,快速精准定位挖矿主机及病毒。
(二) 防火墙+IPS/IDS特征拦截潜在的挖矿外联行为
通过部署长扬科技防火墙,结合IPS/IDS特征库识别技术,快速拦截通过钓鱼邮件、恶意站点、软件捆绑下载等方式诱导用户点击其恶意脚本程序,不仅能检测出不可读的随机字符构成的域名,还能检测出使用单词拼接方式仿造正常域名的恶意域名,快速识别异常外联流量,定位组织网络中的挖矿主机。
2.1.2 IT+OT网闭环处置
防火墙+IPS/IDS+主机卫士闭环处置“挖矿木马/病毒”
部署长扬科技防火墙+IPS/IDS+主机卫士,通过先期安全团队收集和集成一些已知威胁情报信息,相较于公开威胁情报还通过平台运营中安全告警事件处置中的样本分析建立适应网络环境和恶意软件流行家族的专有检测能力。通过“从失陷资产找异常,从异常找失陷资产”不断互补实现挖矿活动检测能力的持续提升,最终标记出全网络环境内与挖矿活动相关的失陷资产,通过主机卫士白名单及挖矿木马/病毒处置功能推动处置闭环。
2.1.3 IT+OT网立体防护
长扬科技安全运维团队针对“挖矿”治理提出IT+OT网立体防护解决方案,其中包括安全运维、应急处置及重大活动安全保障三项措施。依据现有已建设完成的安全产品,结合我司的态势感知工具,将信息网和工控网各安全产品及防护设备有序的结合起来,数据汇总分析,日志泛化处理,态势感知预测。检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞及资产安全态势。
2.2 垂直监管
针对垂直管理组织架构的集团用户,下属企业及机关单位自身网络安全防护不到位、网络安全概念认知不足的情况时有发生。按照国家或省级监管单位对下属企业“挖矿”管理要求、认定规则及监测通报机制,需要进一步提高总部监管单位对下属企业机关“挖矿”及安全威胁态势的感知能力。长扬科技安全态势感知团队提出针对“挖矿”治理的垂直监管解决方案:
总部机构部署长扬科技态势感知平台,同下属机关单位的态势感知平台分布式对接,使其信息网生产网数据信息同总部实时同步,以“挖矿”流量数据、网络安全数据、新基建关键基础设施行业数据为基础,以资产指纹、漏洞信息、威胁情报、网络模型等海量数据为资源支撑,运用大数据、人工智能及云技术,帮助中心机构精准识别网络威胁,提升风险评估、态势感知、监测预警及智能运营一体化的能力。
3 成果分享
3.1 精准定位全面检测,精确拦截闭环处置
长扬科技态势感知团队通过分布式部署的主机探针+采集器手段,快速定位发现网络中不同区域不同IP段和不同中毒症状的IP。
3.2 针对非法外联的闭环处置
通过集成多种拦截策略、特征库及威胁情报反馈的防火墙、IPS/IDS设备,针对内部网络终端或者服务器的外联行为进行识别和拦截,设定允许终端或者服务器外联的地址、外联地址的服务及端口来定义正常外联行为,定义的正常外联行为之外的所有外联行为全部作为非法外联。
防火墙功能截图
4 客户价值
长扬科技安全团队针对虚拟货币“挖矿”活动提出全面检测、闭环处置和立体防护的三位一体解决方案,为用户提供信息网+工控网的全网精准定位的有效检测方式,通过安全防护设备快速响应并处置网络中的潜在威胁,配合具备丰富安全保障经验的运维团队提供724小时的监测预警,为客户的网络安全保驾护航,做到真正意义上的立体防护。
