联动式响应、轻量化部署，微步在线构建三位一体网络安全纵深防御

没有主机安全就没有业务安全。一点资讯平台拥有1.6万余台主机,这些主机支撑了该平台各业务系统的不间断稳定运行。

今年7月份,一点资讯新组建的网络安全团队接到通知,将于8月份参加一场地区性网络安全攻防演练。根据一点资讯的需求,微步在线提供的网络安全方案,需具备两种能力:在攻防演练方面,需有效应对新型威胁,在各个攻击敞口上做到实时发现、检测与响应;同时,新网络安全防护体系需快速上线,于10天内部署完毕。对此,微步在线网络安全防护体系方案基于微步主机威胁发现与响应平台OneEDR、威胁感知平台TDP、办公网安全服务OneDNS、HFish蜜罐产品,构建覆盖“云端+网络流量+主机”的一体化网络安全纵深防御体系。其中,不同产品具备不同纬度的安全能力且可联动响应,并提供覆盖事前预防、事中响应处置、事后溯源全流程的安全闭环能力。

有效覆盖不同攻击方式。对于网络钓鱼,OneDNS以SaaS化方式提供互联网安全接入服务,可以有效防范网络钓鱼、挖矿、勒索及APT攻击;对于0day,TDP与OneEDR另辟蹊径,利用情报、流量、文件与攻击行为特征检测相结合,可有效检出利用0day发起的攻击。

联动实现一站式响应。TDP与OneEDR联动,可实现流量行为、主机行为检测的整合,利用OneEDR中的事件聚合与威胁图等专利技术,不仅能更加精准地发现攻击行为,还能还原整个攻击链路便于定位处置。

安全闭环能力。TDP与OneEDR都具备安全闭环能力,  OneEDR集成了强大的功能,在事前,快速发现开放端口、弱密码及不当配置等容易被黑客利用的风险点;在事中,内部集成12款自研引擎从不同纬度检测,结合事件聚合综合评判来精准告警,并将日志、告警信息与威胁图技术相结合,完整展现全部攻击链路,自动溯源,帮助安全团队快速定位风险点,避免被重复攻击。

轻量快速部署能力。一体化网络安全纵深防御体系产品均具备快速部署能力,其中OneEDR用于安装在主机上的Agent十分轻量,可以批量部署。而1.6万余台主机类型多样、架构复杂,增加了Agent部署难度。在将主机按重要程度、应用特点及被攻击风险等因素分为四个不同优先级后,得益于OneEDR  Agent模块化设计理念,在OneEDR管理控制台中可根据不同优先级主机选择启用或关闭一个乃至多个功能模块。

经过演练前准备阶段的攻击面梳理和收敛,在攻防演练期间,面对各种网络攻击,微步在线“云网端”三位一体纵深防御体系与情报相结合,均可快速发现威胁并及时阻断。(孔繁鑫)

（编辑：刘贝）