以態勢感知平臺為核心闡述醫院局域網運維中主動防御系統設計以及具體實現。探索平臺技術原理,打造集檢測、可視、響應等多功能一體的大數據安全分析平臺和安全運營中心。指出該平臺從醫院網絡邊界、內部網絡、終端等方面可以提供全方位防護,極大提高響應威脅的時效性和精準度。提高局域網運維的效率,降低網絡安全風險的發生概率,可為同級別醫院提供有價值的參考。
醫療信息化的飛速發展使得醫院內的網絡與信息系統承載的價值越來越多、網絡的規模和復雜度越來越大,據貴港市人民醫院統計,總院和分院的生產桌面已經達到2500多個,服務器和虛擬化服務器接近200臺,互聯網醫院業務的發展使得醫院的局域網不得不暴露在互聯網環境之中,過去幾年,醫院局域網遭受的外部和內部網絡攻擊的數量大幅增長,針對高級威脅,傳統的頭痛醫頭腳痛醫腳的安全防御并無法解決問題,反而還帶來了割裂的安全,缺乏全過程的防護。同時多異構設備的疊加帶來了安全的碎片化,缺乏統一的視角和關聯能力,無法打破數據孤島,協同防御,給醫院的內部局域網安全運維帶來極大挑戰。
以態勢感知平臺為核心的安全產品部署
醫療系統安全事件頻發的本質是攻守雙方能力的不對等。在近年來的互聯網環境中,高級持續威脅、勒索軟件、針對物聯網的網絡攻擊等各類網絡犯罪行為越來越普遍的使用自動化、AI等新興技術提升隱蔽性和攻擊效率,而與之對應的安全防御技術普遍還相對落后,于是網絡安全態勢感知系統近年應運而生,將成為防御體系中的核心指揮中心,將不同安全組件有機結合、合理編排,提升防御門檻,消減攻擊帶來的危害。旨在為了解決上述網絡威脅帶來的大中型企事業單位內部的各種風險問題。
The Graph宣布進入L2擴展的第三階段:金色財經報道,web3 協議The Graph宣布進入L2擴展的第三階段,該階段的開始標志著The Graph在L2上擴展過程的最后一步。L2傳輸工具現已上線,使訪問 arbitrum 上的 The Graph 變得更加簡單和無縫,這些工具可幫助所有網絡參與者輕松地將GRT或subgraphs轉移到 L2,并開始利用顯著降低的Gas費和更快的交易速度。[2023/8/29 13:02:15]
技術簡介網絡態勢感知平臺提供安全頂層聚合能力,實現最大化安全價值統一管理與分析。基于安全大數據中心,高效構建立體化、智能化、主動化的安全運營與態勢感知體系,實現安全控件外部與內部威脅、行為的實時監控,智能分析威脅事件及時進行通報處置,聯合威脅情報狩獵追蹤,自動響應第一時間降低危害。基于NTA技術、利用人工智能分析流量和載荷文件,從而識別異常協議、異常流量、主機異常行為;監控網絡流量、用戶群體、資產、設備,建模學習日常網絡行為,這樣對異常的連接、數據交互、用戶變更等可以實現安全可視和追蹤。
部署實踐結合貴港市人民醫院的網絡分區使用的實際情況,態勢感知平臺采用分層的數據處理結構設計,從數據采集到最終的數據分析呈現完整的處理邏輯過程。其層次劃分如圖1所示。
1580枚WBTC從未知錢包轉至Bitfinex:金色財經報道,據Whale Alert監測,1,580枚WBTC(約合46,496,084美元)從未知錢包轉至Bitfinex。[2023/8/13 16:22:48]
圖1態勢感知工作原理圖
核心組件潛伏威脅探針:基于X86的硬件結構,用于旁路部署核心交換機上,通過配置端口流量鏡像,對全流量進行采集和檢測,提取有效數據上報給安全感知平臺。潛伏威脅探針具備IDS檢測能力,包含WEB應用攻擊檢測規則和漏洞利用攻擊檢測規則,可從流量中檢測已知威脅,為平臺輸送安全日志。同時,內置異常行為檢測引擎,實時匹配流量,當發現存在異常行為時會將流量片段在采集的流量數據中進行標記,傳給平臺,由平臺進行深度關聯分析,挖掘潛在的威脅。
以下作為基礎安全體系的設備,用于作為安全感知平臺的擴展組件,在提供有針對性的安全數據輸入的同時,可聯動進行安全防護、檢測。
在外網出口部署上網行為管理平臺:使用X86硬件架構,用于出口管理用戶的上網行為。作為安全感知平臺的組件后,可以實現對用戶的定位及凍結風險主機的上網。通過分組策略禁止用戶主動或被動的高危訪問。
在外網路由器后方部署下一代防火墻:使用X86硬件架構,下一代防火墻一般部署在互聯網或數據中心的出口,作為安全感知平臺的組件后,用于采集外部攻擊和違反策略的違規訪問數據,并實現對攻擊源的聯動阻斷和異常訪問的ACL策略控制,讓安全感知平臺具備基礎防御能力。同時,由于安全感知平臺具備未知威脅檢測能力,可聯動形成對未知威脅的有效防御和脆弱性入口點的針對性策略控制,應對出口安全的攻擊繞過問題。
美股三大指數集體收漲,標普500指數漲1.45%:金色財經報道,美股三大指數集體收漲,道指漲2.12%,本周累漲2.02%;標普500指數漲1.45%,本周累漲1.82%,周線3連漲;納指漲1.07%,本周累漲2.04%,周線6連漲。[2023/6/3 11:55:27]
在PC終端部署端點檢測與響應軟件:終端安全響應平臺,針對終端主機的安全進行有效防護。以此作為組件,可以采集來自服務器/辦公PC的主機安全日志,增加安全感知平臺的端點分析、溯源取證能力,同時結合EDR的病查殺能力,可實現安全感知平臺的問題處置閉環。
以態勢感知平臺為核心的局域網運維思路
貴港市人民醫院內部的局域網環境十分復雜,有與互聯網相連的外網部分,有運行醫院信息系統相關的內網部分,部署有網站,互聯網服務、各類專線的混合區,在部署態勢感知平臺之前,只能通過查看邊界防火墻日志,和終端殺軟件日志判斷存在安全問題的節點,即被動,處理也很滯后,網絡安全運維十分棘手。在部署以態勢感知為核心的主動安全管理平臺后,運維人員通過平臺以下幾個核心功能主動發現威脅并處置。
局域網內部異常感知內部異常感知通過失陷主機檢測、外連威脅感知、橫向威脅感知來發現已經成功繞過網關防御,進入到內部網絡后的潛伏威脅及從內部發起的內鬼行為。
Amber Group正考慮出售日本子公司并計劃申請香港數字資產牌照:金色財經報道,加密貨幣貸款機構 Amber Group 正在權衡其日本子公司的選擇,包括可能的出售,并計劃申請香港數字資產牌照。Amber 的執行合伙人 Annabelle Huang 表示,對日本業務的評估是其戰略決策的一部分,該戰略決定更多地關注機構業務,而不是零售業務。香港的監管環境對我們非常有利,Amber
正在為牌照申請做準備。
此外 Amber 正在研究一種受監管的開放式共同基金,該基金將接受比特幣、以太坊和一些穩定幣等主要代幣的認購。[2023/4/14 14:04:17]
失陷主機檢測失陷主機,指因遭受APT攻擊、僵木蠕等風險而被攻擊者控制的主機。安全感知平臺結合關聯分析引擎、智能分析技術、威脅情報關聯等,發現內部已經失陷的主機。結合攻擊鏈,發現主機在每個攻擊階段發生的所有事件。結合事件情況為主機評定狀態。包括確定性等級、威脅等級。確定性等級:判定主機失陷的可能性,包括已失陷、高可疑、低可疑、正常。威脅等級:評判主機對內、對外網已發生威脅的程度,來判定主機是否具備危害程度。包括:高威脅、中威脅、低威脅、正常。
外連威脅感知基于南北向流量的采集,分析挖掘存在異常外連行為的情況,包括以下幾點:①外發攻擊行為:識別主機從內向互聯網發起攻擊的行為。往往主機受控后會被攻擊者利用進行對外攻擊,如DDoS攻擊、永恒之藍攻擊等為其黑產牟利,通過外發攻擊行為發現可檢測受控主機或惡意內部主機。②隱蔽通信行為:隱蔽通信行為是APT攻擊、定向攻擊等常用的通信方式,用于逃避檢測。基于機器學習算法及遠控行為分析進行隱蔽隧道檢測,識別內網主機與外網進行隱蔽通信。③服務器風險訪問行為:基于網絡流量應用識別技術,發現服務器使用風險應用與外網進行通信的情況,及時使用非標準端口亦可準確識別應用,管理員結合業務特性即可發現服務器被遠控的風險。④可疑外連行為;檢測非外發攻擊行為,但行為存在可疑,非正常主機行為。如比特幣挖礦、從未知站點下載可執行文件、訪問惡意鏈接等。如果主機存在外連可疑行為,說明主機很可能已被黑客控制,用于黑產牟利。
消息人士:DeFiance Capital完成1億美元流動性代幣基金的募集:金色財經報道,據兩位消息人士透露,Arthur Cheong的加密投資基金DeFiance Capital籌集了“八位數”資金,完成了新的 1 億美元流動性代幣基金的首次關閉。其中一位消息人士稱,雖然這可能意味著 1000 萬美元到 9900 萬美元之間的任何金額,但去年最初的融資金額不到 5000 萬美元。
去年報道,DeFiance Capital創始人正在為新基金籌資約1億美元。并且已經承諾了近一半的金額。消息人士稱,在 11 月 FTX 交易所倒閉后,其中一些承諾減少了,但該基金仍設法完成了第一筆付款,并于本月開始投資。(The Block)[2023/3/14 13:01:54]
橫向威脅感知基于對東西向流量的抓取,進行行為分析,挖掘內網主機之間存在的異常威脅行為,定位異常的內鬼主機。主要從下面幾個視角分析:①橫向攻擊視角:基于規則檢測、基線分析和機器學習算法識別內網主機對其他內網主機發起攻擊的情況,如漏洞利用攻擊、向SMB服務器傳等。可發現可疑的跳板源或內鬼。②違規訪問視角:提供一種基于ACL規則形式,針對具體IP,服務,端口,訪問時間等策略,管理員可主動建立針對性的業務和應用訪問邏輯規則,包括白名單和黑名單兩種方式,及時知道內網存在違規的行為。③可疑行為視角:識別內網主機對其他內網主機發起的區別于具體攻擊類型的可疑行為。包括異常的敏感文件下載、機器掃描行為、異常流量行為、異常文件上傳等,發現潛在的內鬼行為。④風險訪問視角:識別內網主機通過遠程登錄、數據庫等風險應用訪問其他主機或服務器的情況,審計訪問可達性等,為管理員梳理內網權限控制、發現可疑主機和異常賬號登陸情況提供有利支撐。
安全可視預警安全可視是安全檢測的核心。通過可視化技術將安全感知平臺檢測的全網問題進行綜合呈現和預警,以宏觀決策視角和微觀運維視角進行區分展示,便于不同角色人員進行決策處置。
綜合安全態勢主屏基于安全域視角,展示全網各個區域的整體安全實況及綜合評級。該大屏為三層結構,一層展示重要風險,不是簡單統計,而是從通報視角、資產可視、威脅視角、區域橫向威脅、外部威脅等多個角度呈現重要問題,讓預警更有價值。二層為各視角的詳細展示的大屏。三層為各視角大屏下鉆后的運維數據層面,展示風險問題的最終原始數據支撐數據,讓證據更明顯,以此形成可分析、可指派的安全監測指揮中心,見圖2。
圖2綜合安全態勢分析
聯動防御安全感知平臺本是旁路部署方式,并不具備防御能力。因此,需要各安全設備協同響應的安全聯動防御能力,讓安全感知平臺通過聯動具備防御能力或網絡隔離能力的設備以實現主動防御的能力。
通過打造三級協同聯動的響應機制,讓安全感知平臺成為智慧的安全大腦,精準分析全網未知威脅和針對性攻擊,利用協同聯動實現針對性加固防御和精準打擊,讓全網安全建設具備主動防御的能力。①一鍵阻斷:通過聯動防御設備來實現一鍵封堵威脅攻擊源,或阻斷與病木馬通信。具體方式包括:聯動封鎖:通過聯動內網準入系統完成。以IP+端口+封鎖時長形式進行所有協議/流量的封鎖。ACL策略封鎖:聯動聯動內網準入系統完成。提供基于ACL規則策略配置方式,執行精細化的防御,可細化到五元組+具體應用等。②凍結外網訪問:聯動上網行為管理完成。基于用戶認證場景,阻止風險主機進行上網,避免威脅擴散或發生對外威脅,影響單位信譽。在風險用戶上網時彈出自定義網頁,提醒其感染的威脅信息并提供詳細處置指引,簡化IT運維工作,實現多用戶下的自動化運維。③端點查殺:聯動EDR端點安全產品。對威脅主機進行聯動EDR查殺來形成閉環,對未知的可疑行為通過EDR的終端日志、進程信息采集相結合進行威脅追捕和進程文件定位。
效果
貴港市人民醫院的局域網防護體系經過上述方案部署整改后,實現了精準預防與威脅處置,所有經過核心交換機的網絡行為都會被記錄分析,第一時間在感知平臺上給出威脅程度判斷,在可視大屏或郵件及時告警,并與邊界防火墻和終端EDR系統良好聯動,自動阻斷外部非法訪問和攻擊,在內部能及時清理染終端甚至阻斷其網絡訪問防止病擴散,在一年的實際工作和最近開展的2020護網演練中取得了較為滿意的效果。
結論
隨著醫院對網絡安全環境要求越來越高,自身面臨的內外部安全威脅日益顯現,本文從工作實踐總結出目前較為適合醫院局域網環境的主動安全運維模式,對態勢感知平臺從發現隱患,聯動威脅處置、提高安全運維效率等方面進行全方位闡述,以期為相關工作提供參考。
戳這里!
Tags:EDRAPT比特幣EDR幣EDR價格APT價格APT幣比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢
五菱宏光MINIEV文/一路五菱宏光MINIEV自今年7月上市以來,銷量一路上升,將特斯拉和比亞迪都甩在后面,成為國民神車。但萬萬沒想到,它火爆的背后,其實是虧本銷售.
1900/1/1 0:00:00新華社紐約1月14日電比特幣價格近日大漲,接連突破3萬美元和4萬美元整數關口,備受市場關注。分析人士認為,比特幣價格上漲受機構投資者入場及國際金融市場資金充裕等因素帶動.
1900/1/1 0:00:00新冠疫苗正在推出,潛在的治療方法也正在試驗,但在可預見的未來,新冠病仍將對社會構成威脅。因此,科學家們在尋找多種方法,使普通民眾能夠降低感染風險,并在感染后防止出現嚴重癥狀.
1900/1/1 0:00:00BTC-比特幣價格2021年1月3日16:19:53如上圖:比特幣價格創歷史新高,達到34064.64$,和人民幣222346.73元,遙想2017年夏季時2000多元人民幣的價格都不敢入手.
1900/1/1 0:00:00DEX最近再次成為了市場的焦點。賽道龍頭Uniswap、Sushiswap幣價強勢上沖,相繼刷新歷史高點;1inch直接變身“5inch”;DODO等后起之秀同樣表現不俗.
1900/1/1 0:00:00來源:金融時報 2月10日晚9時,北京市民終于在家門口迎來了數字人民幣紅包。 記者了解到,本輪“數字王府井冰雪購物節”數字人民幣試點活動共有超過252萬市民進行了預約報名,中簽率不到2%.
1900/1/1 0:00:00