以態勢感知平臺為核心闡述醫院局域網運維中主動防御系統設計以及具體實現。探索平臺技術原理,打造集檢測、可視、響應等多功能一體的大數據安全分析平臺和安全運營中心。指出該平臺從醫院網絡邊界、內部網絡、終端等方面可以提供全方位防護,極大提高響應威脅的時效性和精準度。提高局域網運維的效率,降低網絡安全風險的發生概率,可為同級別醫院提供有價值的參考。
醫療信息化的飛速發展使得醫院內的網絡與信息系統承載的價值越來越多、網絡的規模和復雜度越來越大,據貴港市人民醫院統計,總院和分院的生產桌面已經達到2500多個,服務器和虛擬化服務器接近200臺,互聯網醫院業務的發展使得醫院的局域網不得不暴露在互聯網環境之中,過去幾年,醫院局域網遭受的外部和內部網絡攻擊的數量大幅增長,針對高級威脅,傳統的頭痛醫頭腳痛醫腳的安全防御并無法解決問題,反而還帶來了割裂的安全,缺乏全過程的防護。同時多異構設備的疊加帶來了安全的碎片化,缺乏統一的視角和關聯能力,無法打破數據孤島,協同防御,給醫院的內部局域網安全運維帶來極大挑戰。
以態勢感知平臺為核心的安全產品部署
醫療系統安全事件頻發的本質是攻守雙方能力的不對等。在近年來的互聯網環境中,高級持續威脅、勒索軟件、針對物聯網的網絡攻擊等各類網絡犯罪行為越來越普遍的使用自動化、AI等新興技術提升隱蔽性和攻擊效率,而與之對應的安全防御技術普遍還相對落后,于是網絡安全態勢感知系統近年應運而生,將成為防御體系中的核心指揮中心,將不同安全組件有機結合、合理編排,提升防御門檻,消減攻擊帶來的危害。旨在為了解決上述網絡威脅帶來的大中型企事業單位內部的各種風險問題。
Gala Games就聯創訴訟發布聲明:不涉及公司層面,Gala項目本身不會受到損害:金色財經報道,區塊鏈游戲平臺 Gala Games 就兩位聯合創始人相互發起訴訟發布官方聲明,該公司表示,Gala Game 向社區保證在整個過程中堅定不移地致力于透明度和問責制,必須讓法律程序完整展開,但目前 Gala Games 在法律上被禁止對正在進行的訴訟發表公開評論或猜測。Gala Games 還強調,這個法律程序主要是創始人之間的糾紛,不涉及公司任何實質性的方面,Gala 處于有利位置并且不會受到損害。[2023/9/6 13:21:34]
技術簡介網絡態勢感知平臺提供安全頂層聚合能力,實現最大化安全價值統一管理與分析。基于安全大數據中心,高效構建立體化、智能化、主動化的安全運營與態勢感知體系,實現安全控件外部與內部威脅、行為的實時監控,智能分析威脅事件及時進行通報處置,聯合威脅情報狩獵追蹤,自動響應第一時間降低危害。基于NTA技術、利用人工智能分析流量和載荷文件,從而識別異常協議、異常流量、主機異常行為;監控網絡流量、用戶群體、資產、設備,建模學習日常網絡行為,這樣對異常的連接、數據交互、用戶變更等可以實現安全可視和追蹤。
部署實踐結合貴港市人民醫院的網絡分區使用的實際情況,態勢感知平臺采用分層的數據處理結構設計,從數據采集到最終的數據分析呈現完整的處理邏輯過程。其層次劃分如圖1所示。
數據:Lido平臺MATIC質押總價值突破1億美元:5月22日消息,據流動性質押協議 Lido 官方數據顯示,Lido 上的 Polygon(MATIC)質押總價值已突破 1 億美元,目前 MATIC 質押總量為 125,388,555 枚(價值 108,281,794 美元),其中已支付的質押獎勵為 8,318,002 枚 MATIC(價值 7,183,177 美元)。[2023/5/22 15:18:01]
圖1態勢感知工作原理圖
核心組件潛伏威脅探針:基于X86的硬件結構,用于旁路部署核心交換機上,通過配置端口流量鏡像,對全流量進行采集和檢測,提取有效數據上報給安全感知平臺。潛伏威脅探針具備IDS檢測能力,包含WEB應用攻擊檢測規則和漏洞利用攻擊檢測規則,可從流量中檢測已知威脅,為平臺輸送安全日志。同時,內置異常行為檢測引擎,實時匹配流量,當發現存在異常行為時會將流量片段在采集的流量數據中進行標記,傳給平臺,由平臺進行深度關聯分析,挖掘潛在的威脅。
以下作為基礎安全體系的設備,用于作為安全感知平臺的擴展組件,在提供有針對性的安全數據輸入的同時,可聯動進行安全防護、檢測。
RippleX:EVM兼容XRPL側鏈在測試網上可用:3月15日消息,Ripple網絡的開放平臺RippleX昨日發推稱,EVM側鏈在測試網上可用,并將各種Web3應用程序帶到XRP Ledger社區。其以太坊虛擬機側鏈(EVM Sidechain)通過XRP Ledger(XRPL)Bridge直接連接到網絡,并支持每秒處理最多1000筆交易。[2023/3/15 13:06:06]
在外網出口部署上網行為管理平臺:使用X86硬件架構,用于出口管理用戶的上網行為。作為安全感知平臺的組件后,可以實現對用戶的定位及凍結風險主機的上網。通過分組策略禁止用戶主動或被動的高危訪問。
在外網路由器后方部署下一代防火墻:使用X86硬件架構,下一代防火墻一般部署在互聯網或數據中心的出口,作為安全感知平臺的組件后,用于采集外部攻擊和違反策略的違規訪問數據,并實現對攻擊源的聯動阻斷和異常訪問的ACL策略控制,讓安全感知平臺具備基礎防御能力。同時,由于安全感知平臺具備未知威脅檢測能力,可聯動形成對未知威脅的有效防御和脆弱性入口點的針對性策略控制,應對出口安全的攻擊繞過問題。
在PC終端部署端點檢測與響應軟件:終端安全響應平臺,針對終端主機的安全進行有效防護。以此作為組件,可以采集來自服務器/辦公PC的主機安全日志,增加安全感知平臺的端點分析、溯源取證能力,同時結合EDR的病查殺能力,可實現安全感知平臺的問題處置閉環。
交通運輸部:1-10月完成區塊鏈進口貨物港口電子放貨68.3萬標箱:金色財經報道,11月25日,交通運輸部水運局副局長郭青松在交通運輸部例行新聞發布會上披露,今年1-10月,完成基于區塊鏈的進口貨物港口電子放貨68.3萬標箱,同比增長138%,進一步擴展了區塊鏈技術在航運領域的應用。[2022/11/25 20:45:34]
以態勢感知平臺為核心的局域網運維思路
貴港市人民醫院內部的局域網環境十分復雜,有與互聯網相連的外網部分,有運行醫院信息系統相關的內網部分,部署有網站,互聯網服務、各類專線的混合區,在部署態勢感知平臺之前,只能通過查看邊界防火墻日志,和終端殺軟件日志判斷存在安全問題的節點,即被動,處理也很滯后,網絡安全運維十分棘手。在部署以態勢感知為核心的主動安全管理平臺后,運維人員通過平臺以下幾個核心功能主動發現威脅并處置。
局域網內部異常感知內部異常感知通過失陷主機檢測、外連威脅感知、橫向威脅感知來發現已經成功繞過網關防御,進入到內部網絡后的潛伏威脅及從內部發起的內鬼行為。
失陷主機檢測失陷主機,指因遭受APT攻擊、僵木蠕等風險而被攻擊者控制的主機。安全感知平臺結合關聯分析引擎、智能分析技術、威脅情報關聯等,發現內部已經失陷的主機。結合攻擊鏈,發現主機在每個攻擊階段發生的所有事件。結合事件情況為主機評定狀態。包括確定性等級、威脅等級。確定性等級:判定主機失陷的可能性,包括已失陷、高可疑、低可疑、正常。威脅等級:評判主機對內、對外網已發生威脅的程度,來判定主機是否具備危害程度。包括:高威脅、中威脅、低威脅、正常。
摩根士丹利新的PAVA指標將ETH用戶分為“信徒”和“投機者”:金色財經報道,摩根士丹利引入了一種新的投機指標——一種名為PAVA(每地址價格調整量)的工具,它利用交易員之間的投機活動來預測以太坊(ETH)的定價。
該指標的計算方法是將以美元計算的加密貨幣價格除以區塊鏈交易量與活躍錢包地址的比率(90天平均值),這將允許投資者估計以太幣的價格趨勢,特別是在經歷極端市場低點時。
該指標區分了基于市場基本面的價格波動和基于網絡使用的價格波動,并將加密貨幣市場參與者分為兩類:信徒和投機者。(coindesk)[2022/8/10 12:14:15]
外連威脅感知基于南北向流量的采集,分析挖掘存在異常外連行為的情況,包括以下幾點:①外發攻擊行為:識別主機從內向互聯網發起攻擊的行為。往往主機受控后會被攻擊者利用進行對外攻擊,如DDoS攻擊、永恒之藍攻擊等為其黑產牟利,通過外發攻擊行為發現可檢測受控主機或惡意內部主機。②隱蔽通信行為:隱蔽通信行為是APT攻擊、定向攻擊等常用的通信方式,用于逃避檢測。基于機器學習算法及遠控行為分析進行隱蔽隧道檢測,識別內網主機與外網進行隱蔽通信。③服務器風險訪問行為:基于網絡流量應用識別技術,發現服務器使用風險應用與外網進行通信的情況,及時使用非標準端口亦可準確識別應用,管理員結合業務特性即可發現服務器被遠控的風險。④可疑外連行為;檢測非外發攻擊行為,但行為存在可疑,非正常主機行為。如比特幣挖礦、從未知站點下載可執行文件、訪問惡意鏈接等。如果主機存在外連可疑行為,說明主機很可能已被黑客控制,用于黑產牟利。
橫向威脅感知基于對東西向流量的抓取,進行行為分析,挖掘內網主機之間存在的異常威脅行為,定位異常的內鬼主機。主要從下面幾個視角分析:①橫向攻擊視角:基于規則檢測、基線分析和機器學習算法識別內網主機對其他內網主機發起攻擊的情況,如漏洞利用攻擊、向SMB服務器傳等。可發現可疑的跳板源或內鬼。②違規訪問視角:提供一種基于ACL規則形式,針對具體IP,服務,端口,訪問時間等策略,管理員可主動建立針對性的業務和應用訪問邏輯規則,包括白名單和黑名單兩種方式,及時知道內網存在違規的行為。③可疑行為視角:識別內網主機對其他內網主機發起的區別于具體攻擊類型的可疑行為。包括異常的敏感文件下載、機器掃描行為、異常流量行為、異常文件上傳等,發現潛在的內鬼行為。④風險訪問視角:識別內網主機通過遠程登錄、數據庫等風險應用訪問其他主機或服務器的情況,審計訪問可達性等,為管理員梳理內網權限控制、發現可疑主機和異常賬號登陸情況提供有利支撐。
安全可視預警安全可視是安全檢測的核心。通過可視化技術將安全感知平臺檢測的全網問題進行綜合呈現和預警,以宏觀決策視角和微觀運維視角進行區分展示,便于不同角色人員進行決策處置。
綜合安全態勢主屏基于安全域視角,展示全網各個區域的整體安全實況及綜合評級。該大屏為三層結構,一層展示重要風險,不是簡單統計,而是從通報視角、資產可視、威脅視角、區域橫向威脅、外部威脅等多個角度呈現重要問題,讓預警更有價值。二層為各視角的詳細展示的大屏。三層為各視角大屏下鉆后的運維數據層面,展示風險問題的最終原始數據支撐數據,讓證據更明顯,以此形成可分析、可指派的安全監測指揮中心,見圖2。
圖2綜合安全態勢分析
聯動防御安全感知平臺本是旁路部署方式,并不具備防御能力。因此,需要各安全設備協同響應的安全聯動防御能力,讓安全感知平臺通過聯動具備防御能力或網絡隔離能力的設備以實現主動防御的能力。
通過打造三級協同聯動的響應機制,讓安全感知平臺成為智慧的安全大腦,精準分析全網未知威脅和針對性攻擊,利用協同聯動實現針對性加固防御和精準打擊,讓全網安全建設具備主動防御的能力。①一鍵阻斷:通過聯動防御設備來實現一鍵封堵威脅攻擊源,或阻斷與病木馬通信。具體方式包括:聯動封鎖:通過聯動內網準入系統完成。以IP+端口+封鎖時長形式進行所有協議/流量的封鎖。ACL策略封鎖:聯動聯動內網準入系統完成。提供基于ACL規則策略配置方式,執行精細化的防御,可細化到五元組+具體應用等。②凍結外網訪問:聯動上網行為管理完成。基于用戶認證場景,阻止風險主機進行上網,避免威脅擴散或發生對外威脅,影響單位信譽。在風險用戶上網時彈出自定義網頁,提醒其感染的威脅信息并提供詳細處置指引,簡化IT運維工作,實現多用戶下的自動化運維。③端點查殺:聯動EDR端點安全產品。對威脅主機進行聯動EDR查殺來形成閉環,對未知的可疑行為通過EDR的終端日志、進程信息采集相結合進行威脅追捕和進程文件定位。
效果
貴港市人民醫院的局域網防護體系經過上述方案部署整改后,實現了精準預防與威脅處置,所有經過核心交換機的網絡行為都會被記錄分析,第一時間在感知平臺上給出威脅程度判斷,在可視大屏或郵件及時告警,并與邊界防火墻和終端EDR系統良好聯動,自動阻斷外部非法訪問和攻擊,在內部能及時清理染終端甚至阻斷其網絡訪問防止病擴散,在一年的實際工作和最近開展的2020護網演練中取得了較為滿意的效果。
結論
隨著醫院對網絡安全環境要求越來越高,自身面臨的內外部安全威脅日益顯現,本文從工作實踐總結出目前較為適合醫院局域網環境的主動安全運維模式,對態勢感知平臺從發現隱患,聯動威脅處置、提高安全運維效率等方面進行全方位闡述,以期為相關工作提供參考。
戳這里!
Tags:EDRAPT比特幣EDR幣EDR價格APT價格APT幣比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢
相信許多人這一輩子都與太空飛翔這件事無緣,那么在太空中“飛翔”呢?更是連想都不敢想吧?在電視劇《生活大爆炸》中HowardWolowitz就設計了一款太空馬桶,因為出現了故障,導致各種狀況不斷.
1900/1/1 0:00:00百家車壇|必出精品 原創作者|許大帥 今天最新消息,戴姆勒東北亞零部件貿易服務公司北京配件中心一樣本呈陽性,位于順義區,負責奔馳售后配件配送。據爆料,內蒙古一家奔馳4S店已經關門停業.
1900/1/1 0:00:00波卡平行鏈測試網Rococo-V1已經啟動并運行,Rococo-V1是一個旨在測試平行鏈共識過程的本身和社區建立的平行鏈,這也意味著波卡平行鏈插槽拍賣在即.
1900/1/1 0:00:00比特幣連創歷史新高,整個幣圈都沉浸在行情大漲的喜悅中,唯獨這一虛擬幣突遇“黑天鵝”,在近一周來遭遇連環跌。曾被幣圈人士廣為看好的瑞波幣出事了.
1900/1/1 0:00:00保時捷曾經是一家生產跑車的公司,后來把賭注壓在了在一輛名為卡宴的SUV上,結果是取得巨大成功。現在保時捷銷售兩款運動型轎車,即四門的Panamera和電動車Taycan,這兩款車與旗下的其他跑車.
1900/1/1 0:00:00文:趙建琳朱耘 ID:BMR2004 當你使用APP的時候,你是否關注過自己的信息安全?近年,國家越來越關注信息安全的話題.
1900/1/1 0:00:00