一、背景需求

近來網(wǎng)絡(luò)規(guī)模不斷擴大，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京發(fā)布第48次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》。報告顯示，截至2021年6月，我國網(wǎng)民規(guī)模達10.11億，互聯(lián)網(wǎng)普及率達71.6%。十億用戶接入互聯(lián)網(wǎng)，形成了全球規(guī)模最大、應(yīng)用滲透最強的數(shù)字社會，互聯(lián)網(wǎng)應(yīng)用和服務(wù)的廣泛滲透構(gòu)建起數(shù)字社會的新形態(tài)?？上攵?，互聯(lián)網(wǎng)已經(jīng)滲透入國家發(fā)展、企業(yè)運轉(zhuǎn)和個人生活的方方面面，互聯(lián)網(wǎng)帶來了諸多便利的同時，也暗藏危機。因此政府、企業(yè)和個人都愈發(fā)需要重視如何防范新技術(shù)帶來的安全隱患，如何加強關(guān)鍵信息基礎(chǔ)設(shè)施安全。

CNCERT于2021年7月發(fā)布《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》，上述報告稱，2020年，安全漏洞、數(shù)據(jù)泄露、勒索病毒以及有目的有組織的網(wǎng)絡(luò)攻擊形勢愈發(fā)明顯。2020年CNCERT協(xié)調(diào)處置各類網(wǎng)絡(luò)安全事件10.3萬起，仍然是網(wǎng)絡(luò)安全事件頻發(fā)的一年，黑客攻擊手段愈發(fā)多樣化、隱蔽化。在新的網(wǎng)絡(luò)環(huán)境下，面對層出不窮、變化多端的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全產(chǎn)品的檢測與防護技術(shù)也需要不斷提高。中國工程院院士沈昌祥曾言，在新的網(wǎng)絡(luò)安全環(huán)境下，殺病毒、防火墻、入侵檢測這傳統(tǒng)的“老三樣”，已經(jīng)難以應(yīng)對人為攻擊，且容易被攻擊者利用，因此，找漏洞、打補丁的傳統(tǒng)思路已不利于整體安全。在目前的安全運營工作中，安全運營人員面臨以下問題：整體安全態(tài)勢無法確定，不能評估管轄系統(tǒng)的安全等級；安全告警信息冗余復(fù)雜，無法集中精力，消滅真實威脅；維護主機成千上萬，無法追蹤失陷主機；傳統(tǒng)安全產(chǎn)品缺失結(jié)果判斷，無法甄別成功攻擊；系統(tǒng)資產(chǎn)千頭萬緒，無法梳理，同時缺少對應(yīng)的風險排查；安全運營工作沒有匯報標準，上傳下達信息混亂，處置流程無法閉環(huán)。

微步在線面對全新網(wǎng)絡(luò)安全環(huán)境之下的安全挑戰(zhàn)，推出威脅感知平臺TDP（以下簡稱TDP）。TDP采用旁路雙向流量檢測的模式，在不影響網(wǎng)絡(luò)環(huán)境的情況下能夠?qū)ο到y(tǒng)整體安全態(tài)勢進行評估，提供清晰明了的安全態(tài)勢大屏，輔助重大安全決策以及日常安全運營；同時TDP基于微步在線強大的威脅情報內(nèi)核、持續(xù)不斷對于黑客手法及企業(yè)安全場景的研究，能夠精確識別是否攻擊成功且精準定位失陷主機，安全運營人員只需要聚焦成功攻擊，從而安全運營效率；另外TDP還提供了多種自動化處置手段，幫助用戶完成安全事件處置閉環(huán)。

二、價值收益

2.1.海量告警是否讓您疲于應(yīng)對

也許貴單位在近年來的安全建設(shè)中已經(jīng)部署了較為全面的安全設(shè)備，防火墻、WAF等防御類設(shè)備，IDS、日志分析等檢測類設(shè)備。當這些安全設(shè)備檢測到來自外部或內(nèi)部的“攻擊嘗試行為”時就會觸發(fā)告警，如果按照中小規(guī)模的政企單位來算的話，單日安全設(shè)備所產(chǎn)生的告警日志量就有可能達到十幾萬，遇到特殊時期告警日志量甚至高達百萬。然而，大量告警并不意味著是“有效攻擊”，貴單位是否消耗了大量時間在告警中分析出有效攻擊行為，而真正的“有效攻擊”因為被告警覆蓋導致貴單位無法及時發(fā)現(xiàn)并做出響應(yīng)措施？

微步在線TDP核心任務(wù)是為企業(yè)精準檢測真實威脅，剔除海量低效告警。當您使用TDP后，在TDP首頁就將看到已失陷主機和外部攻擊成功這兩類最高危的攻擊事件，我們確保這類告警均為真實有效的攻擊行為，應(yīng)該被最優(yōu)先處置。同時您也將看到TDP將同類攻擊行為聚合為一個攻擊事件，大大減少了告警量且提升了關(guān)聯(lián)分析能力。在TDP在設(shè)計之初即利用雙向流量驗證和回溯檢測，可識別攻擊成功和針對性攻擊，同時基于領(lǐng)先的高質(zhì)量威脅情報精準定位失陷主機。這些設(shè)計意味著您不需要再花費大量的時間手動剔除誤報或執(zhí)行初級研判分析，您可以與TDP一起面對真正的黑客攻擊。

2.2.您是否清晰貴單位的攻擊弱點

您在日常安全運維工作中是否出現(xiàn)過如下類似場景：業(yè)務(wù)部門新上線的業(yè)務(wù)沒有按照規(guī)定集成單點登錄，暴露了新的登錄入口而被黑客利用爆破成功進入了內(nèi)網(wǎng)；安全運維同事對于該登錄入口完全不知情，只能慌亂應(yīng)對。

此類問題反映出，安全運維團隊對于數(shù)據(jù)中心資產(chǎn)和暴露面掌握不清晰，讓黑客有了可乘之機。因此我們在保護資產(chǎn)的時候，至少需要知道保護的是哪些資產(chǎn)；我們在應(yīng)對黑客攻擊的時候，至少需要知道有哪些弱點是最容易被攻擊，哪些是可以被提前加固的。

微步在線TDP基于流量監(jiān)聽可自動識別資產(chǎn)和資產(chǎn)存在的風險項（登錄入口、弱口令、API風險等等），且可以按照企業(yè)安全管理要求自定義設(shè)置風險監(jiān)測場景，不僅幫助企業(yè)梳理安全脆弱點，便于提前加固整改，更是充分適應(yīng)不同企業(yè)的個性化要求。如果您使用了微步在線TDP，在資產(chǎn)風險頁面，您將清晰掌握網(wǎng)絡(luò)內(nèi)全部資產(chǎn)及服務(wù)，同時您可看到系統(tǒng)存在的所有登錄入口、對應(yīng)用戶的登錄行為、弱口令、敏感信息等等。從資產(chǎn)服務(wù)、登錄風險、數(shù)據(jù)泄露風險、API風險等全方位梳理可被攻擊的弱點。

2.3.威脅被發(fā)現(xiàn)了，但它被解決了嗎

IBM的第五版《年度企業(yè)網(wǎng)絡(luò)彈性報告》顯示，盡管企業(yè)在過去五年中已逐漸提高了對網(wǎng)絡(luò)攻擊進行計劃、檢測和響應(yīng)的能力，但在同一時期內(nèi)，遏制攻擊的能力卻下降了13％。接受調(diào)查的人員估計，他們的組織平均使用45種以上的安全工具，并且他們響應(yīng)的每個事件平均需要對大約19種工具進行協(xié)調(diào)。因為缺乏自動化的處置手段，即使快速發(fā)現(xiàn)了攻擊事件，也有大量時間被消耗在處置工具協(xié)調(diào)上，從而大大拖長了事件閉環(huán)的時間。您是否也有此類困擾，在各類安全設(shè)備間來回穿梭而浪費了精力。

微步在線TDP作為一款NDR產(chǎn)品，不只是快速發(fā)現(xiàn)問題，更要幫助企業(yè)有效閉環(huán)問題。TDP提供旁路阻斷能力、第三方FW聯(lián)動能力、EDR聯(lián)動能力等多種自動化閉環(huán)方式，可以有效協(xié)助您縮短MTTR時間。

2.4.您知道威脅情報的這些價值嗎

當前，安全業(yè)界普遍認同的一個理念是：僅僅防御是不夠的，更需要持續(xù)地檢測與響應(yīng)。然而要做到持續(xù)有效的檢測與快速的響應(yīng)，安全情報必不可少。從2013年，Gartner 首次提出關(guān)于威脅情報的定義，到SANS發(fā)布的《2018網(wǎng)絡(luò)威脅情報調(diào)查》報告中發(fā)現(xiàn)81%的網(wǎng)絡(luò)安全人員確認威脅情報正幫助他們更好地完成工作。威脅情報的價值越來越被認可，應(yīng)用也越來越廣泛。

微步在線作為國內(nèi)頂尖的威脅情報專家，已經(jīng)成功將反連CC的失陷主機定位、攻擊者畫像分析、APT攻擊識別追蹤、IP碰撞以提取有效攻擊行為等情報價值應(yīng)用于TDP之中。如果您使用了TDP，您將逐漸感受到威脅情報對于安全運維工作的價值和益處。

三、產(chǎn)品簡介

微步在線威脅感知平臺（以下簡稱“TDP”）是一款網(wǎng)絡(luò)流量檢測與響應(yīng)（NDR）產(chǎn)品，TDP基于對于網(wǎng)絡(luò)雙向流量的拆包分析，能夠梳理網(wǎng)絡(luò)資產(chǎn)信息和資產(chǎn)攻擊面（登陸入口、弱口令、敏感信息傳輸?shù)龋軌驅(qū)崟r監(jiān)控網(wǎng)絡(luò)威脅（嘗試攻擊、攻擊成功、針對性攻擊等）并提供自動化處置手段（聯(lián)動處置、旁路阻等），真正實現(xiàn)事前梳理、事中檢測、事后處置的安全運營閉環(huán)。TDP圍繞用戶實際安全運營場景，致力于為用戶提供一款告警準確、好用有效且持續(xù)創(chuàng)新的產(chǎn)品，從而降低用戶安全運營成本，提升安全運營效果。
四、優(yōu)勢特點

4.1.全面梳理

攻擊者在攻擊時，核心是找到“信息差”，即攻擊者知道但企業(yè)不知道的攻擊面。TDP通過流量對攻擊面進行全面梳理，協(xié)助企業(yè)從攻擊者視角審視自己所有可能的攻擊入口，并提前進行收斂或加固，從而幫助企業(yè)梳理和預(yù)見風險。

TDP能夠智能識別Web及非Web登錄入口，審計登錄行為，檢測弱口令、暴力破解等登錄風險；從攻擊者視角全面還原攻擊手法和路徑，自動評估威脅針對性和影響面。

4.2.精準告警

攻防對抗中自動化攻擊越來越多，企業(yè)需要具備更及時的檢測、更自動化的響應(yīng)和處置能力來應(yīng)對。但在采購了大量安全設(shè)備之后，企業(yè)的安全人員往往會被告警淹沒，難以識別真正需要關(guān)注的信息。TDP圍繞用戶實際安全運營場景，對海量告警和威脅進行降噪，降低了企業(yè)安全研判、分析、定位和溯源的難度，使企業(yè)安全人員能更聚焦真實威脅，從而大大降低了企業(yè)安全運營成本。

TDP內(nèi)置全網(wǎng)領(lǐng)先的威脅情報內(nèi)核，首創(chuàng)基于雙向全流量分析，精準判定攻擊成功失敗，結(jié)合威脅情報云沙箱和分析引擎，及時發(fā)現(xiàn)未知威脅。

4.3.自動處置

除了更及時的檢測，企業(yè)也應(yīng)具備更自動化的響應(yīng)和處置能力來應(yīng)對攻擊產(chǎn)生后的事件閉環(huán)。TDP通過旁路阻斷或聯(lián)動第三方設(shè)備進行自動化威脅封禁操作，更有效縮短威脅響應(yīng)時間，提升企業(yè)響應(yīng)效率；同時基于自動化進程取證，也進一步提升了企業(yè)的溯源能力，更好修復(fù)黑客攻擊路徑中暴露出的安全弱點。
五、應(yīng)用場景

5.1.高級威脅檢測與響應(yīng)

需求：

ü  當前貴單位已完成了基礎(chǔ)安全建設(shè)，安全防御手段較為完善，但是否忽視了檢測與響應(yīng)的投入。導致在真實攻擊發(fā)生時，總是被動挨打的局面，無法實時監(jiān)控攻擊態(tài)勢；

ü  貴單位也許已經(jīng)具備入侵檢測類產(chǎn)品，但您是否發(fā)現(xiàn)傳統(tǒng)入侵檢測類產(chǎn)品對于新型攻擊手法、未知威脅等不具備檢測能力，同時也存在海量誤報而導致無法開展日常運維等問題；

方案：

ü  TDP旁路部署于核心交換機及核心業(yè)務(wù)區(qū)交換機旁，基于網(wǎng)絡(luò)流量實現(xiàn)實時攻擊監(jiān)控告警；

ü  多區(qū)域或多數(shù)據(jù)中心場景下，TDP可多臺分布式部署，通過級聯(lián)方式實現(xiàn)統(tǒng)一管控；

ü  大流量場景下，TDP支持多臺集群模式，性能幾乎無損耗，完美應(yīng)對上百G大流量；

價值：

ü  TDP的誤報率實測在0.3%以下，高精準的檢測大大降低了安全人員研判難度；

ü  TDP依托微步在線海量威脅情報及智能聚合等技術(shù)，可檢測針對性攻擊、未知威脅、新型攻擊手法；

ü  攻擊成功判定、針對性攻擊、攻擊聚合使得安全人員可以聚焦真實的威脅，大幅度提升安全運營效率；

5.2.多分枝/數(shù)據(jù)中心全網(wǎng)威脅感知

需求：

ü  隨著貴單位的快速發(fā)展和數(shù)字化轉(zhuǎn)型需求，是否業(yè)務(wù)越來越多，數(shù)據(jù)中心也相應(yīng)越建越多。您是否也在考慮如何實現(xiàn)多數(shù)據(jù)中心統(tǒng)一威脅檢測？

ü  也許貴單位業(yè)務(wù)迅猛發(fā)展，全國各地甚至海外都配備了分支機構(gòu)。分支多、流量大、安全能力不一致，亟需建設(shè)統(tǒng)一的威脅感知能力，實現(xiàn)統(tǒng)一的威脅事件收集與展示；

方案：

ü  在總部DMZ區(qū)、辦公區(qū)、各地產(chǎn)線和辦公中心分別部署威脅感知平臺TDP，建立覆蓋各地的高級威脅檢測能力；

ü  通過TDP級聯(lián)的方式匯集各區(qū)域的告警到總控平臺，基于總控平臺集中運維資源進行整體威脅管控；

ü  TDP接入各地DNS日志，保障辦公終端對互聯(lián)網(wǎng)的安全訪問；

價值：

ü  集威脅檢測、響應(yīng)處置于體的威脅感知平臺，使得您通過一個平臺即可實現(xiàn)全網(wǎng)的安全威脅管控；

ü  基于精準的失陷情報，彌補了傳統(tǒng)安全解決方案的不足，提升貴單位和APT、團伙對抗期間的MTTD和MTTR能力；

ü  基于精準告警，使得您可以聚焦真實威脅，通過TDP平臺即可進行后續(xù)安全運營工作

ü  TDP在檢出、取證、溯源方面均可發(fā)揮重要作用，助力您實現(xiàn)更全面的安全建設(shè)；

5.3.重保實戰(zhàn)化能力提升

需求：

ü  攻防演練覆蓋范圍越來越廣，已延伸至各個行業(yè)單位，貴單位是否也身處其中？

ü  實戰(zhàn)化的演練暴露了眾多安全建設(shè)的弱點，不只是集團網(wǎng)絡(luò)，還有下屬單位、接入單位等等；

ü  如何在實戰(zhàn)化演練中取得較好的成果，您是否也在苦惱？

方案：

ü  在關(guān)鍵網(wǎng)絡(luò)入口節(jié)點、關(guān)鍵業(yè)務(wù)節(jié)點覆蓋TDP設(shè)備，強化實時的攻擊檢測能力；

ü  TDP具備單獨的重保視角，從攻擊隊信息同步、實時監(jiān)控、攻擊者畫像分析和自動化溯源等角度支撐攻防演練；

價值：

ü  旁路阻斷結(jié)合聯(lián)動對攻擊進行實時響應(yīng)處置，守住主要系統(tǒng)；

ü  結(jié)合IOC及安全服務(wù)進行反制溯源；

ü  將攻防演練的戰(zhàn)時能力轉(zhuǎn)向日常運營，實現(xiàn)實戰(zhàn)化能力落地；

5.4.風險資源監(jiān)控

需求：

ü  您是否清楚貴單位有多少IT資產(chǎn)，您是否清楚這些資產(chǎn)有哪些可被攻擊的弱點（弱口令、登錄口、漏洞、明文傳輸?shù)鹊龋?/span>

ü  貴單位是否有個性化的資產(chǎn)風險需求，但缺乏合適的可自主設(shè)置的監(jiān)控手段（監(jiān)控特定端口/主機的開放情況、監(jiān)控特定業(yè)務(wù)的互訪情況）；

方案：

ü  TDP旁路部署可基于流量監(jiān)聽網(wǎng)內(nèi)資產(chǎn)信息和資產(chǎn)相關(guān)的風險信息；

ü  TDP可提供自定義的風險監(jiān)控場景，可實現(xiàn)個性化設(shè)置且集中告警展示；

價值：

ü  全網(wǎng)資產(chǎn)梳理，讓您提前知道您所需要保護的業(yè)務(wù)有哪些；

ü  資產(chǎn)風險監(jiān)控，讓您知道已有攻擊面是什么，提前做好安全加固；

ü  自定義風險監(jiān)控場景，按照企業(yè)需求個性化管理；