以態勢感知平臺為核心闡述醫院局域網運維中主動防御系統設計以及具體實現。探索平臺技術原理,打造集檢測、可視、響應等多功能一體的大數據安全分析平臺和安全運營中心。指出該平臺從醫院網絡邊界、內部網絡、終端等方面可以提供全方位防護,極大提高響應威脅的時效性和精準度。提高局域網運維的效率,降低網絡安全風險的發生概率,可為同級別醫院提供有價值的參考。
醫療信息化的飛速發展使得醫院內的網絡與信息系統承載的價值越來越多、網絡的規模和復雜度越來越大,據貴港市人民醫院統計,總院和分院的生產桌面已經達到2500多個,服務器和虛擬化服務器接近200臺,互聯網醫院業務的發展使得醫院的局域網不得不暴露在互聯網環境之中,過去幾年,醫院局域網遭受的外部和內部網絡攻擊的數量大幅增長,針對高級威脅,傳統的頭痛醫頭腳痛醫腳的安全防御并無法解決問題,反而還帶來了割裂的安全,缺乏全過程的防護。同時多異構設備的疊加帶來了安全的碎片化,缺乏統一的視角和關聯能力,無法打破數據孤島,協同防御,給醫院的內部局域網安全運維帶來極大挑戰。
以態勢感知平臺為核心的安全產品部署
醫療系統安全事件頻發的本質是攻守雙方能力的不對等。在近年來的互聯網環境中,高級持續威脅、勒索軟件、針對物聯網的網絡攻擊等各類網絡犯罪行為越來越普遍的使用自動化、AI等新興技術提升隱蔽性和攻擊效率,而與之對應的安全防御技術普遍還相對落后,于是網絡安全態勢感知系統近年應運而生,將成為防御體系中的核心指揮中心,將不同安全組件有機結合、合理編排,提升防御門檻,消減攻擊帶來的危害。旨在為了解決上述網絡威脅帶來的大中型企事業單位內部的各種風險問題。
韓國金融監管機構要求虛擬資產服務提供商報告注冊人員的任何變化:金色財經報道,自今年早些時候Binance收購Gopax進入韓國市場以來,韓國金融監管機構對虛擬資產服務提供商(VASP)的監控比以往更加嚴格。
當局此前已通知現有的虛擬資產服務提供商報告其所在地或注冊人員的任何變化,最近又規定了報告外國人員變化的義務。[2023/9/4 13:15:23]
技術簡介網絡態勢感知平臺提供安全頂層聚合能力,實現最大化安全價值統一管理與分析。基于安全大數據中心,高效構建立體化、智能化、主動化的安全運營與態勢感知體系,實現安全控件外部與內部威脅、行為的實時監控,智能分析威脅事件及時進行通報處置,聯合威脅情報狩獵追蹤,自動響應第一時間降低危害。基于NTA技術、利用人工智能分析流量和載荷文件,從而識別異常協議、異常流量、主機異常行為;監控網絡流量、用戶群體、資產、設備,建模學習日常網絡行為,這樣對異常的連接、數據交互、用戶變更等可以實現安全可視和追蹤。
部署實踐結合貴港市人民醫院的網絡分區使用的實際情況,態勢感知平臺采用分層的數據處理結構設計,從數據采集到最終的數據分析呈現完整的處理邏輯過程。其層次劃分如圖1所示。
CertiK與阿里云達成合作伙伴關系,將區塊鏈安全引入云平臺:金色財經報道,區塊鏈安全機構CertiK與阿里云宣布簽署合作伙伴關系,為基于云的Web3項目提供區塊鏈安全服務。Web3開發人員現在可以使用CertiK的端到端安全解決方案和阿里云可擴展、高效且安全的基礎設施來加速他們的開發過程并保護他們的應用程序和智能合約。[2023/5/15 15:04:24]
圖1態勢感知工作原理圖
核心組件潛伏威脅探針:基于X86的硬件結構,用于旁路部署核心交換機上,通過配置端口流量鏡像,對全流量進行采集和檢測,提取有效數據上報給安全感知平臺。潛伏威脅探針具備IDS檢測能力,包含WEB應用攻擊檢測規則和漏洞利用攻擊檢測規則,可從流量中檢測已知威脅,為平臺輸送安全日志。同時,內置異常行為檢測引擎,實時匹配流量,當發現存在異常行為時會將流量片段在采集的流量數據中進行標記,傳給平臺,由平臺進行深度關聯分析,挖掘潛在的威脅。
以下作為基礎安全體系的設備,用于作為安全感知平臺的擴展組件,在提供有針對性的安全數據輸入的同時,可聯動進行安全防護、檢測。
在外網出口部署上網行為管理平臺:使用X86硬件架構,用于出口管理用戶的上網行為。作為安全感知平臺的組件后,可以實現對用戶的定位及凍結風險主機的上網。通過分組策略禁止用戶主動或被動的高危訪問。
最近活躍2年以上的BTC供應百分比達到10個月高點:金色財經報道,Glassnode數據顯示,最近活躍2年以上的BTC供應百分比剛剛達到44.985%的10個月高點。[2022/8/25 12:48:48]
在外網路由器后方部署下一代防火墻:使用X86硬件架構,下一代防火墻一般部署在互聯網或數據中心的出口,作為安全感知平臺的組件后,用于采集外部攻擊和違反策略的違規訪問數據,并實現對攻擊源的聯動阻斷和異常訪問的ACL策略控制,讓安全感知平臺具備基礎防御能力。同時,由于安全感知平臺具備未知威脅檢測能力,可聯動形成對未知威脅的有效防御和脆弱性入口點的針對性策略控制,應對出口安全的攻擊繞過問題。
在PC終端部署端點檢測與響應軟件:終端安全響應平臺,針對終端主機的安全進行有效防護。以此作為組件,可以采集來自服務器/辦公PC的主機安全日志,增加安全感知平臺的端點分析、溯源取證能力,同時結合EDR的病查殺能力,可實現安全感知平臺的問題處置閉環。
以態勢感知平臺為核心的局域網運維思路
貴港市人民醫院內部的局域網環境十分復雜,有與互聯網相連的外網部分,有運行醫院信息系統相關的內網部分,部署有網站,互聯網服務、各類專線的混合區,在部署態勢感知平臺之前,只能通過查看邊界防火墻日志,和終端殺軟件日志判斷存在安全問題的節點,即被動,處理也很滯后,網絡安全運維十分棘手。在部署以態勢感知為核心的主動安全管理平臺后,運維人員通過平臺以下幾個核心功能主動發現威脅并處置。
數據:Uniswap上USDC流動性達19個月低點:金色財經報道,Glassnode數據顯示,Uniswap上USDC流動性達19個月低點,數值為176,689,890.17美元。[2022/8/19 12:35:36]
局域網內部異常感知內部異常感知通過失陷主機檢測、外連威脅感知、橫向威脅感知來發現已經成功繞過網關防御,進入到內部網絡后的潛伏威脅及從內部發起的內鬼行為。
失陷主機檢測失陷主機,指因遭受APT攻擊、僵木蠕等風險而被攻擊者控制的主機。安全感知平臺結合關聯分析引擎、智能分析技術、威脅情報關聯等,發現內部已經失陷的主機。結合攻擊鏈,發現主機在每個攻擊階段發生的所有事件。結合事件情況為主機評定狀態。包括確定性等級、威脅等級。確定性等級:判定主機失陷的可能性,包括已失陷、高可疑、低可疑、正常。威脅等級:評判主機對內、對外網已發生威脅的程度,來判定主機是否具備危害程度。包括:高威脅、中威脅、低威脅、正常。
外連威脅感知基于南北向流量的采集,分析挖掘存在異常外連行為的情況,包括以下幾點:①外發攻擊行為:識別主機從內向互聯網發起攻擊的行為。往往主機受控后會被攻擊者利用進行對外攻擊,如DDoS攻擊、永恒之藍攻擊等為其黑產牟利,通過外發攻擊行為發現可檢測受控主機或惡意內部主機。②隱蔽通信行為:隱蔽通信行為是APT攻擊、定向攻擊等常用的通信方式,用于逃避檢測。基于機器學習算法及遠控行為分析進行隱蔽隧道檢測,識別內網主機與外網進行隱蔽通信。③服務器風險訪問行為:基于網絡流量應用識別技術,發現服務器使用風險應用與外網進行通信的情況,及時使用非標準端口亦可準確識別應用,管理員結合業務特性即可發現服務器被遠控的風險。④可疑外連行為;檢測非外發攻擊行為,但行為存在可疑,非正常主機行為。如比特幣挖礦、從未知站點下載可執行文件、訪問惡意鏈接等。如果主機存在外連可疑行為,說明主機很可能已被黑客控制,用于黑產牟利。
Upfront Ventures為三支新基金募集6.5億美元:金色財經報道,總部位于洛杉磯的風險投資公司Upfront Ventures宣布完成6.5億美元募資,這些資金將分布在旗下三個不同的基金中,主要投資金融科技、計算機視覺、游戲基礎設施。Upfront Ventures的投資組合包括多家區塊鏈和Web3初創公司,包括DFINITY生態Web3社交網絡DSCVR、Web3創作者工具開發商Tellie、并且還參投了非營利組織Gold House的風險投資基金“Gold House Ventures”。(socaltech)[2022/7/30 2:47:39]
橫向威脅感知基于對東西向流量的抓取,進行行為分析,挖掘內網主機之間存在的異常威脅行為,定位異常的內鬼主機。主要從下面幾個視角分析:①橫向攻擊視角:基于規則檢測、基線分析和機器學習算法識別內網主機對其他內網主機發起攻擊的情況,如漏洞利用攻擊、向SMB服務器傳等。可發現可疑的跳板源或內鬼。②違規訪問視角:提供一種基于ACL規則形式,針對具體IP,服務,端口,訪問時間等策略,管理員可主動建立針對性的業務和應用訪問邏輯規則,包括白名單和黑名單兩種方式,及時知道內網存在違規的行為。③可疑行為視角:識別內網主機對其他內網主機發起的區別于具體攻擊類型的可疑行為。包括異常的敏感文件下載、機器掃描行為、異常流量行為、異常文件上傳等,發現潛在的內鬼行為。④風險訪問視角:識別內網主機通過遠程登錄、數據庫等風險應用訪問其他主機或服務器的情況,審計訪問可達性等,為管理員梳理內網權限控制、發現可疑主機和異常賬號登陸情況提供有利支撐。
安全可視預警安全可視是安全檢測的核心。通過可視化技術將安全感知平臺檢測的全網問題進行綜合呈現和預警,以宏觀決策視角和微觀運維視角進行區分展示,便于不同角色人員進行決策處置。
綜合安全態勢主屏基于安全域視角,展示全網各個區域的整體安全實況及綜合評級。該大屏為三層結構,一層展示重要風險,不是簡單統計,而是從通報視角、資產可視、威脅視角、區域橫向威脅、外部威脅等多個角度呈現重要問題,讓預警更有價值。二層為各視角的詳細展示的大屏。三層為各視角大屏下鉆后的運維數據層面,展示風險問題的最終原始數據支撐數據,讓證據更明顯,以此形成可分析、可指派的安全監測指揮中心,見圖2。
圖2綜合安全態勢分析
聯動防御安全感知平臺本是旁路部署方式,并不具備防御能力。因此,需要各安全設備協同響應的安全聯動防御能力,讓安全感知平臺通過聯動具備防御能力或網絡隔離能力的設備以實現主動防御的能力。
通過打造三級協同聯動的響應機制,讓安全感知平臺成為智慧的安全大腦,精準分析全網未知威脅和針對性攻擊,利用協同聯動實現針對性加固防御和精準打擊,讓全網安全建設具備主動防御的能力。①一鍵阻斷:通過聯動防御設備來實現一鍵封堵威脅攻擊源,或阻斷與病木馬通信。具體方式包括:聯動封鎖:通過聯動內網準入系統完成。以IP+端口+封鎖時長形式進行所有協議/流量的封鎖。ACL策略封鎖:聯動聯動內網準入系統完成。提供基于ACL規則策略配置方式,執行精細化的防御,可細化到五元組+具體應用等。②凍結外網訪問:聯動上網行為管理完成。基于用戶認證場景,阻止風險主機進行上網,避免威脅擴散或發生對外威脅,影響單位信譽。在風險用戶上網時彈出自定義網頁,提醒其感染的威脅信息并提供詳細處置指引,簡化IT運維工作,實現多用戶下的自動化運維。③端點查殺:聯動EDR端點安全產品。對威脅主機進行聯動EDR查殺來形成閉環,對未知的可疑行為通過EDR的終端日志、進程信息采集相結合進行威脅追捕和進程文件定位。
效果
貴港市人民醫院的局域網防護體系經過上述方案部署整改后,實現了精準預防與威脅處置,所有經過核心交換機的網絡行為都會被記錄分析,第一時間在感知平臺上給出威脅程度判斷,在可視大屏或郵件及時告警,并與邊界防火墻和終端EDR系統良好聯動,自動阻斷外部非法訪問和攻擊,在內部能及時清理染終端甚至阻斷其網絡訪問防止病擴散,在一年的實際工作和最近開展的2020護網演練中取得了較為滿意的效果。
結論
隨著醫院對網絡安全環境要求越來越高,自身面臨的內外部安全威脅日益顯現,本文從工作實踐總結出目前較為適合醫院局域網環境的主動安全運維模式,對態勢感知平臺從發現隱患,聯動威脅處置、提高安全運維效率等方面進行全方位闡述,以期為相關工作提供參考。
戳這里!
Tags:EDRAPT比特幣EDR幣EDR價格APT價格APT幣比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢
杭州市機關近期偵破一個利用“跑分平臺”和虛擬貨幣為跨境賭博、電信網絡詐騙等黑灰產提供資金支付渠道和結算服務的犯罪團伙,涉案金額達500余億元.
1900/1/1 0:00:00來源:21世紀經濟報道 原標題:又漲瘋,比特幣突破60000美元!為什么漲?有哪些風險?一文看懂比特幣挖礦江湖導讀:這個周末,各大股市都收盤休息了,但比特幣不休息,還創了一個歷史新高.
1900/1/1 0:00:00隨著新冠疫情持續蔓延,全球大水漫灌,通貨膨脹的態勢下,通縮機制的數字貨幣的發展勢如破竹,已然成為公眾主流的投資品種.
1900/1/1 0:00:00元旦剛過,和日漸降溫的天氣不同。人們對比特幣的熱情可沒有消退。自1月2日晚間突破30000美元的關口后,1月8日,又站到了40000美元的關口.
1900/1/1 0:00:00中央紀委國家監委網站易舜 唐白釉褐彩人物牛車 辛丑牛年就要到了。牛,它的無私奉獻、默默耕耘是中國人敬重的品質。我們從各大博物館館藏中遴選出五件牛主題的文物與藝術品,一起來欣賞中國人心目中的牛.
1900/1/1 0:00:00近日,我們從海外媒體處獲取了一組大眾新款速騰GLI的官圖,新車對細節處進行熏黑處理,并且加入了紅色飾條,動力系統預計搭載2.0T渦輪增壓發動機.
1900/1/1 0:00:00