2024年02月26日
必要性分析
Q1.什么是失陷设备?
失陷设备是指被攻击者或恶意方成功入侵或取得控制的计算机设备、网络设备、物联网设备、工控设备或其他类型的信息技术系统。一旦设备失陷,攻击者可能执行各种恶意活动,如窃取敏感信息、操纵设备功能、发起网络攻击等。
Q2.为什么要对失陷设备定位溯源处置?
失陷设备定位溯源处置作为安全事件运营的“最后一公里”,其关键作用不言而喻。在庞大基数的环境下,快速定位和有效溯源失陷设备显得尤为重要。这不仅关乎到安全事件的应对效果,更直接影响到能否有效挽回损失。
Q3.如何定位溯源,存在什么问题?
失陷设备通常源自“安全系统”产出的告警信息,告警信息一般仅包括时间、事件和IP地址。需通过IP地址找到对应的终端设备、接入位置(物理位置)、责任人信息等信息,若无技术手段持续监控并记录,将无法追溯到真正失陷设备,找不到准确目标,将无法有效处置及精准防护。
Q4.如何应急处置,存在哪些安全隐患?
这里的应急处置指的是断开失陷设备联网能力,隔绝其持续感染或影响网内合法资源,从问题源头进行有效处置。传统的隔离一般是防火墙网关形式,仅能做到“南北向”的拦截处置,失陷设备依然可以通过横向访问展开跳板攻击、病毒传播等危险行为。其次,传统的隔离依赖客户端软件,仅能对已安装客户端软件的失陷设备起到拦截作用,未安装或无法安装客户端软件的失陷设备无法处置,存在管控范围缺失风险。
方案设计
画方失陷设备定位溯源处置系统具备全量联网设备资产库、设备属性动态关联、溯源定位及链路层断网处置等功能,可以解决上述问题。
(1)可以为客户建立全量的联网设备资产库,全面且实时的联网设备资产库是定位溯源处置的前提;
(2)可以为客户在安全事件告警后,依据时间、IP地址完成联网设备定位、属性关联及历史溯源,可以定位到真正的失陷设备、责任人、接入位置及历史节点属性;
(3)可以为客户在应急响应阶段,实现对失陷设备快速隔离处置,能够做到网络链路层断网效果,使其无法横向攻击,从问题根源处切断,提升整体网络安全;
(4)支持与现有安全系统联动,提供隔离处置接口,第三方系统可以通过此接口向系统下发指定IP断网指令,构建发现-定位-处置-修复安全闭环。
部署设计
整体部署采用1+1+N旁路部署模式,总部旁路部署一套画方失陷设备定位溯源处置系统及集中管理平台,二级分支机构分别旁路部署一套画方失陷设备定位溯源处置系统,三级分支机构无需单独部署系统。在总部及各级分支机构需要管辖的每个网段中找一台终端安装软探针,每个网段仅需一个软探针即可满足需求。
1+1+N的部署方式可显著减少部署和运维的工作量,进一步增强了灵活性和可扩展性。通过合理部署软探针,提高网络安全性和稳定性。
方案优势
典型案例
NO.1 XX某支队
现状问题:安全软件告警勒索病毒,但无法快速锁定终端,并有效处置
业务需求:要求配合现有安全系统,提供溯源定位能力;要求能够对指定失陷设备断网处置
技术:采用混合准入技术:SNMP联动交换机、SNMP关口处置
应用价值:联网资产精细化管理;全资产联动,动态定位;一键断网,将风险隔离在网络之外
运维成本:运维成本低,交换机默认SNMP联动,无需修改现有网络配置与环境,零改动
NO.2 XX局
现状问题:现有AT资产管理平台,人工录入,资产不准确,缺乏有效技术手段溯源、关联及处置,长久管理存在资产失真问题
业务需求:要求配合现有资产管理系统,提供联网资产及精准关联关系;要求能够对指定资产不准确设备断网处置
技术:采用混合准入技术:SNIFFER监听网段技术、SNMP联动定位技术、旁路干扰阻断技术
应用价值:联网资产精细化管理;提供一键断网能力,强制资产属性准确性,增加管控能力
运维成本:运维成本低,交换机默认SNMP联动,无需修改现有网络配置与环境,零改动