PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo

近年来,随着人工智能、云计算、5G等技术的兴起,也让网络攻击手段的迭代速度不断加快。在各类攻击方式层出不穷的同时,也让信息安全领域的数据可视化发展成为不可或缺——不论是安全运营,威胁情报,态势感知都必须具备“看得见”的基础能力,从而帮助技术人员进行更有效更智能的分析。今天我们就来分享斗象智能安全PRS-NTA最新上线的功能——交互式数据图谱。

什么是交互式数据图谱

交互式数据图谱是以可视化方式呈现企业安全状态,它使决策者能够从整体上把控网络安全状态并作出明智的决策,它允许安全分析人员能够快速分析、理解和响应安全威胁。借助交互式数据图谱,安全分析人员可以深入到数据集中获取更多详细信息,产品亮点如下:

 ✔直观:以可视化方式呈现复杂业务环境中的安全状态

 ✔及时:使安全分析人员高效的发现数据中的异常趋势和模式

 ✔灵活:在复杂业务环境中,只要数据之间存在某种关系,安全分析人员就能利用这种可视化能力来识别其中的异常

✔ 洞察力:交互式数据图谱与静态可视化方式或查看原始日志相比,可提供更强大的洞察力——利用统计分析、聚类、排序等技术识别异常、数据泄露、隐蔽隧道、密码爆破等威胁场景。

如何使用交互式数据图谱识别安全威胁

对于很多企业来说,每天生成TB级的数据和大量的警报,如果安全分析人员是基于日志条目去做分析,这将严重制约其事件调查能力,从而无助于改善业务环境中的潜在安全隐患。交互式数据图谱可清晰、精确、高效的向决策者和安全分析人员呈现网络安全状态。当安全分析人员试图在流量日志中寻找蛛丝马迹时,交互式数据图谱将是最佳的选择——直观、及时、灵活并富有洞察力。交互式数据图谱常用应用场景包括以下

✅识别异常

基于海量数据来识别异常趋势和模式并非易事,这将浪费安全分析人员大量的精力和时间,而且获得的效果也不一定是理想的。利用“建联状态分析”图表可以帮助安全分析人员使用基于TCP建联状态统计方法来快速标注可疑点,从而可以轻松识别需要进一步展开调查的异常模式。图片[1]-PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo-安全小百科图片[2]-PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo-安全小百科

如果单个柱状条存在多种颜色,这很可能表明在业务环境中存在端口扫描、异常通信等潜在安全隐患。安全分析人员可依据可疑点展开进一步的调查分析,以遏制事态的发展。

✅识别数据泄露

数据泄露涉及各行各业,影响意义深远,造成这种现象的主要原因是企业的安全措施较为脆弱。利用“建联关系分析”图表可以帮助安全分析人员在复杂业务环境中理清TCP建联关系。如果安全分析人员发现网络活跃度很高,这通常意味着业务环境中存在大量的数据传输,这或许是正常的业务现象,但当大量的数据传输发生在内网和外网之间时,则应引起重视,这是因为很可能存在数据外泄的违规行为。图片[3]-PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo-安全小百科如果内网与外网之间存在大量的数据传输时,安全分析人员应根据业务场景对此展开进一步的调查分析,以遏制事态的发展。

✅识别隐蔽隧道

隐蔽隧道构建在协议的基础上,利用的是协议在安全方面存在的缺陷来实现的。对隐蔽隧道的识别能力是检测未知威胁的前提。例如针对ICMP协议可利用“填充字符统计”图表来帮助安全分析人员对报文结构和报文长度进行合理判断,从而识别可能存在的隐蔽隧道。图片[4]-PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo-安全小百科

如果出现大量长度异常的报文数据,这很可能表明存在隐蔽隧道。安全分析人员可就此展开进一步的调查分析,以遏制事态的发展。

此外,安全分析人员也可利用ICMP“报文类型统计”图表来分析报文类型的差异,基于这种差异可判断网络中是否存在主机扫描、隐蔽隧道等安全隐患。

图片[5]-PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo-安全小百科

✅识别密码爆破

密码是一项关键安全控制措施,密码越简单,被爆破的可能性就越大。利用“连接关系分析”图表可以帮助安全分析人员轻松识别内网移动、内网批量扫描、主机密码爆破等恶意行为。图片[6]-PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo-安全小百科如果主机圆点或失败连接的呈现效果很醒目时,则应引起重视,这很可能表明存在内网横移或主机已被攻陷,安全分析人员可就此展开进一步调查分析,以对这种恶意行为进行溯源分析。

此外,安全分析人员也可利用“建联端口分析”图表识别主机存活探测、端口扫描、网络通信异常等恶意行为。

图片[7]-PRS-NTA交互式数据图谱:全流量可视化快速定位安全威胁 – 作者:JYYYYoo-安全小百科如果柱状图数值偏高,这很可能表明攻击者正在对主机端口进行恶意扫描。安全分析人员可就此展开进一步的调查分析,以对这种恶意行为进行溯源分析。

斗象智能安全PRS

斗象科技以人工智能、大数据技术为核心,研发的新一代全息智能安全平台,为企业构建实战引领的安全检测与数据安全分析体系。通过旁路部署镜像流量,实时采集并深度解析流量数据,采用大数据技术结合AI智能、统计模型、安全规则、交互式数据图谱,并应用事件关联与自定义实体网络分析,识别流量的异常行为等安全隐患。

功能亮点1:大数据架构,全流量存储

采用基于DPI/DFI技术实现对通信协议的双向消息(request/response)深度解析能力,提升网络行为与安全风险事件的识别精度与准确率,可识别数据类型包括:协议数据、资产数据、文件数据等。利用大数据存储技术满足对海量解析数据的全量存储与原始pcap包存储,为溯源取证、大数据分析提供基础数据支撑能力。同时满足《网安法》对网络日志留存不少于六个月的要求。支持集群式管理保障系统的高性能、高可用。

功能亮点2:AI赋能智能威胁检测

采用智能安全模型、统计分析模型、安全规则签名、交互式数据图谱等多种技术能力,实现流量实时检测,识别网络流量中异常轨迹和攻击行为;大量智能安全模型的应用解决提升传统安全检出(如webshell等)与新型攻击事件(如隐蔽隧道等);对海量数据进行智能建模,应用离线分析技术,识别高级安全风险,如基线检测、APT攻击等。

功能亮点3:基于攻击链的场景化分析

通过多点攻击事件的追踪关联,结合攻击链安全模型,摒除单维依赖,依据风险的属性及危害,对风险威胁进行量化评估,帮助企业快速定位预警信息。

功能亮点4:攻击回溯,威胁狩猎

基于攻击链场景的分析模式,为企业提供海量攻击的分析依据,对于潜在的异常事件,提供IoC调查分析画布、交互式数据图谱,结合大数据分析技术与攻击场景建模,清晰展示实体行为轨迹,实现攻击事件快速回溯。

功能亮点5:资产测绘,智能管理

采用被动数据解析与主动资产补全模式,识别细粒度资产;自动绘制资产档案管理,建立资产基线,覆盖企业资产盲点,为企业构建自动化资产管理体系。

来源:freebuf.com 2020-07-07 19:31:27 by: JYYYYoo

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论