阿里云盾此次内测的“态势感知”涵盖主机、应用、网络、人员四个方面,过程可以分为:事前(预判)、事中(防护)、事后(取证分析)三个阶段;进入事态感知界面,展现的是安全总览,这里可以了解到最新威胁、最新情报、资产告警等信息,为安全管理人员提供了一个全局视角,让管理人员能够以最短的时间、最快的速度掌握所有的资产威胁和安全状况;出现告警的时候可以在第一时间掌握告警次数、告警主机ip、告警时间、告警简要描述、告警类型相关信息。
通过安全事件的总览我们可以及时掌握有哪些资产的页面被篡改,有哪些资产存在肉鸡行为,有哪些资产被黑客暴力破解成功,有哪些资产被黑客留下后门。
系统根据网络边界流量以及主机日志,第一时间发现攻击者对应用进行SQL注入、XSS攻击、代码/命令执行、本地文件包含、远程文件包含、脚本木马、上传漏洞 、路径遍历、拒绝服务、越权访问、CSRF等常见WEB攻击,并自动提取出攻击时间、被攻击应用、攻击特征、请求方式、攻击类型、攻击者IP等信息。为安全管理人员的及时处置带来全面的信息。
如果有资产存在肉鸡行为,对外进行ddos可以在事态感知上迅速定位攻击的类型、攻击发包的速率、肉鸡攻击目标的top10、全球感染同一病毒的个数、控制该肉鸡的黑客IP、攻击开始的时间、结束的时间。
通过自动化的事前预判、事中防护、事后取证有效免去资产管理人员在每一台主机进行重复、繁琐的检查、命令操作,很大程度上减轻了管理人员的工作量,节约了管理资产的时间,也节省了企业在这方面的人力、物力、财力。
另外,态势感知“灵敏度”仍然有提升的空间,目前只能识别出多机器、资产量大的一些事态威胁,机器量小的时候整个系统基本没什么数据。如何让中小型客户更有效的体验威胁情报的能力,仍然值得期待。
如果您想详细了解态势感知,请访问:
/thread-1854634-1-1.html
