4月16日,2018 RSA信息安全大会在美国旧金山开幕。与会期间,绿盟科技隆重发布了全流量威胁分析解决方案,北美资深安全顾问Guy Rosefelt在展会上演示分享了该方案,并对未来的信息安全发展趋势进行了深入解读。
面对新的威胁,基于规则的传统检测手段已难以满足,需要结合机器学习和其他高级分析技术,通过监控网络流量、连接和对象来找出恶意的行为迹象,尤其是失陷后的痕迹。因此,绿盟科技结合以上技术,发布了绿盟全流量威胁分析解决方案(简称NSFOCUS TAM),其核心功能如下:
- 镜像流量采集
支持对镜像流量的全流量采集及对网络层、应用层协议进行解析,并可以将采集的到的镜像流量原始数据包及解析后的协议日志进行存储。
- 高级威胁分析
基于规则引擎,威胁情报能力,检测已知威胁;基于沙箱检测引擎、机器学习引擎检测未知威胁;最后,再通过攻击链引擎,对黑客的整个攻击环节进行关联,实现对高级威胁事件的全方位分析。
- 热点事件溯源追踪
基于场景分析引擎,能够将绿盟科技强大的应急响应通报能力进行本地化,对如“挖矿事件、永恒之蓝、Struts2”等应急事件可以先于规则引擎前进行检测,并且能够对历史流量进行回溯分析,发现历史上是否有相应事件发生。
NSFOCUS TAM为客户带来的价值如下:
- 对高危事件及失陷资产进行重点通报,大幅降低需要关注的告警数量,降低运维工作量。
- 规则检测、情报分析、沙箱检测和机器学习等多引擎结合,发现高级威胁事件,提升安全检测能力。
- 通过对热点事件的追踪溯源,将原来需要人工进行的应急响应进行自动化,提升应急响应效率。
近年来,绿盟科技紧跟网络安全发展形势,在物联网安全、工控安全、云计算安全,云安全服务等方面持续发力,相继发布多款安全产品及解决方案,并向用户提供持续不断的安全服务能力。绿盟科技已成为全球少数同时具备安全产品线、安全能力和安全服务模式的安全厂商之一。