华为乾坤安全重保解决方案
AI智能总结
版权声明非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的 主编:吴兴勇李庆恩主要参与人员:王喆蔡亮发布日期:2023-08-25发布版本:01版权所有©华为技术有限公司2023。保留一切权利。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意所有陈述、信息和建议不构成任何明示或暗示的担保。 主编简介吴兴勇:2011年加入华为,长期从事数据通信产品文档开发工作,曾参与《华为防火墙技术漫谈》一书的编写。李庆恩:华为NCE数据通信领域营销专家,2006年加入华为,具有丰富的NCE数据通信产品及方案管理和营销工作经验。本书内容本书介绍安全重保解决方案的产生背景、价值与优势,揭示其广受欢迎的原因。同时阐述安全重保解决方案的工作原理和典型场景,帮助大家更深刻地理解其独特优势和应用场景。 i前言 读者对象本书适合企业的中高层管理人员和安全服务提供商,以及对网络安全感兴趣的读者阅读。使用说明安全重保解决方案的能力持续更新,因此本书介绍的能力可能与实际情况存在差异,具体以实际为准。 ii前言 iii目录第1章简介...................................................................................................................11.1攻防演练面临的挑战..................................................................................................11.2什么是安全重保解决方案.........................................................................................2第2章优势与价值........................................................................................................52.1事前风险精准排查.......................................................................................................52.2事中自动防护................................................................................................................62.3事后全面报告................................................................................................................7第3章工作原理............................................................................................................83.1暴露面持续监测...........................................................................................................83.2漏洞评分多维评估.......................................................................................................93.3威胁事件自动处置.....................................................................................................123.4云边端联动响应.........................................................................................................15第4章典型场景..........................................................................................................17 iv目录4.1教育行业应用场景.....................................................................................................174.2医疗行业应用场景.....................................................................................................19 第1章简介介绍华为乾坤安全重保解决方案的产生背景、方案概述及主要功能点。攻防演练活动旨在检验我国各大政企事业单位的网络安全防护水平,保证关键信息基础设施及重要信息系统的稳定运行,各单位需要建立防护、监测、响应的安全机制,以攻促防,确保排除网络安全隐患,做好网络应急响应和安全保障工作,避免攻击入侵、感染病毒等网络安全事件的发生。当前各单位在攻防演练活动中主要面临如企业资产对外暴露面过大,当前主要依靠探测工具进行扫描评估,这种方式效率低,且难以快速定位到最终对外开放的主机与业务,不能有效评估及收敛攻击面。企 摘要1.1攻防演练面临的挑战下挑战。风险评估不客观 1简介 2简介业存在多个分支机构时,网络覆盖面大、业务系统种类多,因漏洞导致的安全事件频发,企业已有安全措施很难有效评估漏洞风险并完成加固。攻击检测不全面攻防演练期间,当前主要依靠人工分析安全事件、人工关联威胁信息、人工执行防护策略,人工总结提交报告,导致威胁检测分析不全面,攻击响应和处置效率低,无法实现安全保障目标。人力成本高现场需要安排大量安全运维人员轮流值守分析及处置安全事件,人力成本高,无法实现常态化攻防演练。1.2什么是安全重保解决方案华为乾坤深入分析需求后,面向攻防演练及其他重大活动保障推出安全重保解决方案,该方案采用云边端一体创新架构,由部署在云端的服务、部署在客户网络边界的 天 关/防 火墙 和 部 署在 电 脑 、服 务 器 等企 业 终 端上 的 华 为乾坤EDR Agent(Endpoint Detection & Response Agent)软件组成,如图1-1所示。通过云端服务、企业边界的天关/防火墙、企业终端上的华为乾坤EDR Agent协同配合,提供事前风险精准排查、事中自动防护、事后全面报告的端到端解决方案。 第2章优势与价值介绍华为乾坤安全重保解决方案的优势与价值。华为乾坤安全重保解决方案针对外部风险和内部资产风险分别进行精准排查。具外部风险:对外部暴露面进行精准识别和活跃度持续跟踪,快速定位到最终对外内部资产风险:支持系统漏洞扫描、WEB漏洞扫描、数据库扫描、弱口令扫描,四合一全面检测资产脆弱性,并且基于重保威胁信息库和机器学习智能评估技 术 , 计 算 漏 洞 风 险 评 分—漏 洞 优 先 级 评级VPR(Vulnerability PriorityRating,漏洞修复优先级),精准提供漏洞修复优先级。 摘要2.1事前风险精准排查体如图2-1所示。开发的主机与业务,有效收敛攻击面。 5优势与价值 2.2事中自动防护华为乾坤安全重保解决方案通过边界防护与响应服务和终端防护与响应服务完成对威胁事件的全面检测和自动处置,云端针对天关/防火墙、EDR Agent提供的日志,基于大数据进行智能分析,能够精准识别威胁,并协同天关/防火墙、EDRAgent进行自动化处置,实现威胁秒级处置闭环,从而提升自动运维效率。同时云端安全专家7*24小时在线服务,并整合安全能力,快速解决复杂网络安全问题。通过智能分析和安全专家解决重保活动中威胁检测不全面,攻击响应和处置效率低等问题。具体如图2-2所示。 6优势与价值 2.3事后全面报告华为乾坤安全重保解决方案自动生成安全报告,主要包括网络安全概览、威胁事件、外部攻击源、失陷主机、恶意文件、风险服务端口等,并通过邮件、短信实时通知用户,此外通过华为乾坤APP、Portal页面随时查看安全态势、防护状态、攻击来源、威胁检测类型数、抵御攻击类型数、威胁综合阻断率等。 7优势与价值 第3章工作原理华为乾坤安全重保解决方案能够对暴露面进行精确识别和活跃度持续评估,快速感知具体风险,有效梳理企业网络对公网的暴露面,清理不必要的开放端口和服务。 摘要介绍华为乾坤安全重保解决方案的工作原理。3.1暴露面持续监测具体如图3-1所示。 8工作原理 9工作原理3.2漏洞评分多维评估产生背景传统漏洞评分无法准确反映真实风险。传统漏洞评分是指CVSS(CommonVulnerability Scoring System,通用漏洞评分系统)评分。由于CVSS评分是静态评分,不会随外部环境的变化而变化,因此无法准确反映真实风险。因资产多,漏洞多,客户无法快速确定真正高风险的漏洞,以及与高风险漏洞关联的资产,修复难度大。每个资产都可能存在多或少的漏洞,同一个级别的漏洞也可能不止一个。企业资产多,漏洞数量大,即使只修复关键资产的严重级别的漏洞,工作量也会很大。同时,其他未修复的漏洞也存在被利用风险,安全风险依然难以估计。 实现原理华为乾坤安全重保解决方案采用VPR(Vulnerability Priority Rating,漏洞优先级评级)来进行漏洞修复优先级排序。VPR是基于CVSS评分、漏洞利用代码成熟度、漏洞公布时长等多维度数据(详见表3-1),通过机器学习算法计算的漏洞风险评分。分数越高,说明越需要优先修复。该评分会根据评估维度数据的变化而变化,是一个动态得分。同时,华为乾坤安全重保解决方案基于漏洞视图,提供与漏洞相关联的资产列表,能够快速定位到风险资产,使漏洞修复更有针对性。维度含义CVSS评分从技术上看,评分越高,漏洞的影响越大。CVSS严重级别漏洞的CVSS等级,与CVSS评分对应,等级越高,说明技术上此漏洞的影响越大。漏 洞 利 用代 码 成 熟度通过漏洞是否有可利用的代码或自动化攻击脚本,来判断该漏洞对系统或软件可能造成的影响。代码成熟度从低到高,有3种情况:Proof-of-Concept(POC):该漏洞已经有对应的POC,可以证明存在该漏洞。Functional:该漏洞已经有对应漏洞利用代码,并且会对系统或软件造成严重影High:该漏洞已经有自动化攻击脚本。攻击者可以通过攻击脚本批量自动化地攻不同的代码成熟度,在漏洞优先级评级时所占的权重不同。成熟度越高,造成的影响越大,权重越大。漏 洞 利 用方式利用漏洞的方式,如:本地、远程、特定网络环境。漏 洞 公 布时长漏洞在国家漏洞库录入的时长。 10工作原理表3-1多维度数据含义POC中文名为漏洞证明,用来证明和复现漏洞。响。击目标系统或软件。 11工作原理为了准确的评估漏洞风险,各维度数据有不同的
