icon主机安全管理痛点icon

随着互联网的日益发展,越来越多的安全问题逐渐被发现,主机资产产生的漏洞和威胁也在逐渐增加,导致需要在入侵监测、漏洞检测、基线核查、安全分析等方面分配大量专业人员进行维护。无法掌握全景资产、漏洞、威胁、风险态势 ,无法掌握防护情况 ,安全运维管理难以形成合力。安全管理组织缺少主机威胁感知技术手段,无法实时、准确的监测主机入侵事件,无法了解现网失陷主机漏洞、威胁、风险状况,主机安全数据无法关联整合,进行集中管理和汇总分析。组织网络和系统中资产基数较大,管理较为混乱,易出现资产无法识别的情况;也需要不同的维护人员针对不同的平台及系统进行安全风险检测及加固工作,缺少对于主机安全相关工作的统一管理平台,导致无法有效对主机安全工作工作进行监督和管理。在安全事件修复工作中中,无法快速获取关键脆弱点。无法全面管理和跟踪修复工作 ,复测工作难以开展,无法评价修复效果。安全数据分析报告与视图可读性差,无法获取有价值的信息。安全数 据没有深度挖掘,缺少管理与技术视角相结合的数据分析模式。缺乏提前预警,安全事件爆发时,事前不知,事后被动。安全事件爆发时,无法快速、全面、准确定位,无法快速告警及派发任务工单 。

icon主机安全管理意义重大icon

建立全新的主机安全管理平台,提升主机安全预警、检测、防护、响应能力,使用生命周期管理机制进行持续跟踪,赋予安全数据空间、时间、状态属性,与实际网络环境关联整合, 对主机安全数据进行全面分析,通过安全数据详细分析与过滤,快速识别高风险、有价值安全问题,为安全决策提供依据。同时平台统筹管理主机安全运维各环节,为多部门多角色提供统一协同工作平台,驱动主机安全管理和运维工作高效运转。提升安全管理和处置水平、减少安全问题修复工作量和成本、提高安全管理工作效率、优化安全防护策略、快速响应和处理安全事件等方面具有重要的作用和意义。

icon牧云(Cloudwalker)产品简介icon

牧云(Cloudwalker)是北京长亭未来科技有限公司自主研发的的主机安全管理平台。帮助用户建设以资产安全为核心,安全事件为驱动的主机安全运营管理平台。
牧云对主机资产进行持续监测和管理分析,细粒度掌握全局资产信息和资产变更信息。基于牧云自身安全探针能力,引入海量威胁情报信息,深度检测入侵事件、漏洞信息、安全合规等系统指标,提供针对性的修复方案,对安全风险进行全周期持续跟踪管理。自适应调度安全探针,快速建立主机安全管理机制。系统内置安全监测模型,生命周期管理,风险排序等多种核心引擎,将多源异构安全数据聚合,自动建立符合组织内部规范的主机安全管理平台。
提升主机安全管理各环节自动化程度,让用户能够掌握现网安全状况。提升安全和运维工作效率,降低工作难度和成本。帮助用户快速形成具有精准预测、实时监测、快速检测、多 维分析、自动响应且能够全面掌握安全态势的安全管理体系,减少攻击者利用的时间窗口。形成安全管理良性循环。

功能架构

icon核心功能icon
资产清点
对主机资产以及其他资产管理对象进行增查删改管理操作,以不同维度视图进行资产管理对象展示,精细化梳理现网资产状态。
入侵检测
通过动态监测手段,检测 WebShell,暴力破解,反弹 Shell,恶意文件,后门程序等真实入侵行为,快速感知现网资产入侵行为,提升安全分析与响应能力。
探针策略
管理安全探针检测策略以及探针状态。
风险感知
对主机资产的漏洞、合规基线、补丁、弱口令等脆弱性进行检测与分析,并且提供全网威胁情报与现网情报关联整合能力,全面了解现网资产脆弱性。
态势分析
以数据清单和在线图表的形式进行可视化分析,分析维度包括:资产、漏洞、威胁、风险。以多种视图和角度全面感知安全指标。
系统设置
系统自身运营维护,以及权限配置管理,提供系统自身运维管理入口。
icon安全资产精细化梳理icon
基于业务的资产管理模式
资产管理模式
较牧云主机安全管理平台可根据运营单位业务架构、组织机构、地域等不同类别,建立业务组,可对不同单位、部门、科室以及相关业务系统的安全资产及相关安全事件进行全生命周期状态管理以及多维度分析。平台具备不同层级的业务组目录访问控制策略,可将各单位、部门、科室、业务系统的权限进行自助式分配,为用户提供安全资产及事件自助式管理,也为用户提供统一的资产管理可视化分析视图。所有资产支持添加、删除、修改资产信息。同时提供多种条件筛选过滤,满足用户在海量资产数据中快速查询,支持精准和模糊筛选。平台支持数据下钻到资产详细视图,可详细查看资产详情和安全事件。
安全运维视角的资产明细
资产明细
以主机资产为核心,建立智能、完备的网络空间资产的管理能力。将探针发现的网络空间主机资产信息进行智能整合和统一管理,具备与外部数据源同步的能力,建立包含设备属性、时间属性、空间属性、位置属性等详尽的资产指纹信息,并支持对资产信息的快速检索及定位和统计管理。平台具备管理基础信息管理,资产操作管理,信息关联等能力。平台资产管理主要信息包括以下内容:系统版本、网络连接信息、端口信息、软件应用、Web 应用及中间件、数据库软件、进程信息、系统账号、网络信息、文件目录、所属业务系统、地理位置、所属部门、负责人、负责人电话、负责人邮箱等。平台支持对资产数据的自动去重合并,形成唯一的标准资产数据。支持人工导入和数据接口两种方式从第三方系统同步主机资产相关信息;支持标识对外开放合规服务接口,并根据各探针检测的反馈结果对异常端口进行告警。 
icon更全面的风险评估icon

平台具备对主机资产的漏洞、合规基线、补丁、弱口令等脆弱性进行检测与分析,并且提供全网威胁情报与现网情报关联整合能力,全面了解现网资产脆弱性。漏洞评估采用两种技术手段,第一种是通过应用指纹信息识别,安全探针采集主机资产指纹信息后,直接进行漏洞特征匹配,探针负载小,漏洞识别速度快;第二种是通过 POC 验证脚本发送到探针端进行漏洞验证,适用于专项漏洞以及弱口令检测,精准识别高风险漏洞。弱口令检测采用文件密码分析比对方式,支持自定义用户和密码策略。
支持检测以下漏洞:
1) 漏洞影响资产类别主机操作系统,Web 应用,中间件,客户端软件,虚拟化软件,数据库等不同资产类型的安全漏洞;
2) 漏洞类型:缓冲区溢出,SQL 注入,路径遍历,跨站脚本,资源管理错误,权限许可和访问控制,跨站请求伪造,数字错误,授权问题,信任管理,配置错误,设计错误,输入验证。合规基线支持适用于主机操作系统、应用程序、数据库的等级保护 Checklist 以及符合CIS规范的安全基线。合规基线策略支持 Centos、RedHat、SUSE、Windows Server2008、Windows Server 2012 等常用操作系统。支持主动触发合规基线检测任务。同时根据主机系统指纹信息,自动识别适用基线策略,可快速检查现网资产安全合规基线。补丁检测通过探针端识别系统内核、应用程序指纹,通过指纹信息自动关联匹配官方补丁信息,以补丁视角进行事件聚合,提升漏洞修复效率。平台内置全网威胁情报,情报内容包括:CIDR、Domain、MD5、IPV4、IPV6、URL、EXP、POC 以及全网漏洞信息。通过资产与风险状态自动关联全网威胁情报。

icon入侵事件实时感知icon

牧云主机安全管理平台支持检测 WebShell,敏感文件变动,暴力破解,反弹 Shell,恶意文件,后门程序等真实入侵行为,快速感知现网资产入侵行为,提升安全分析与响应能力。入侵检测技术基于异常行为识别入侵。通过资产指纹识别,漏洞评估,Web 后门监控,反弹 shell 监控,后门检测,异常文件操作等安全检测动作识别高级持续威胁攻击。

1.WebShell 检测:通过自动监控关键路径,通过正则匹配、语义分析、行为分析等多种检测方法,感知文件变化,及时发现 Web 后门,并采集和存储后门文件路径以及问题代码。支持 JSP、PHP、ASP 的 WebShell 检测。
2.本地提权:通过对用户进程行为进行实时监控,结合行为识别技术,及时发现进程的提权操作并产生告警,并输出提权操作的详细信息。
3.反弹 Shell:通过对进程行为进行实时监控,发现进程非法 Shell 连接操作产生的反弹 Shell 行为,感知 0day 漏洞利用的行为。
4.暴力破解:通过监控登录行为,对超出阈值的服务错误登录,认定为暴力破解攻击事件,支持阈值自定义和白名单自定义。
5.恶意文件及代码:通过安全探针采集文件,上传至服务端,通过内置恶意文件检测引擎进行深度检测分析,识别恶意文件。
6.敏感文件及目录监控:持续监控目录与文件的完整性,支持自定义黑名单和白名单,当文件发生完整性变化时产生安全告警。

icon风险事件闭环管理icon
风险事件
牧云主机安全管理平台可对安全事件进行全生命周期的可视化管理和分析,将管理状态分为:发现,处置,利用,修复,复测阶段。根据不同阶段的安全处置管理状态,精细划分安全管理方式,同时也为后续的安全定量分析提供基础属性,为用户提供更加贴近真实网络环境的漏洞定量分析。
平台在不同阶段调度系统资源和数据资源,形成闭环管理,建立安全运维管理任务编排,从风险预警到最终的事件修复形成管理制度和管理动作。并且具备 API 接口,可以与第三方运维平台或工单平台对接,根据用户角色和职责,直接给各部门责任人推送处置工单,责任到人,实现安全资产及风险的持续跟踪管理和检测。
icon全网情报精准预警icon

牧云主机安全管理平台具备风险预警能力,通过探针实时精准的采集现网资产状态信息,采集数据包括:资产系统指纹、软件厂商、软件版本、软件版次等信息,自动分析出资产潜在的漏洞信息。支持用户自定义管理和发布,预警信息支持推送至类似资产的负责人管理平台,支持对预警漏洞的描述、整改措施、预警等级进行人工自定义,形成风险预警知识库。同时,平台内置全网威胁情报,情报内容包括:CIDR、Domain、MD5、IPV4、IPV6、URL、EXP、POC 以及全网漏洞信息。通过资产与风险状态自动关联全网威胁情报,为异常登录、异常外联、反弹 Shell 等恶意行为提供基础数据支撑。

icon基于真实状态的风险评价体系icon

平台支持对安全事件进行更加贴近真实网络环境的漏洞定量分析,漏洞事件是以CVSS 漏洞通用评分体系作为漏洞基础分值,然后结合漏洞状态,攻击途径,威胁情报,利用手段,利用情报,资产信息价值等数据,从而进行多维度加权处理,综合计算出漏洞真实风险值。入侵检测事件通过多层检测引擎及插件复合检测,评估入侵事件真实程度,有效降低检测误报率,并提供真实的事件危害量化指标。

风险评估

icon多维度安全可视化分析icon

平台支持以可视化形式对安全数据及管理指标进行分析展现。支持通过在线数据清单、动态分析图表、附件报告三种形式进行展现。分析内容包括:资产、漏洞、威胁、风险。以多种视图和角度全面感知安全指标。动态图表采用 Echarts 图表控件,以统计分析、对比分析、趋势分析、差异化对比等视角对主机风险指标进行可视化展示。附件报告支持通过 HTML 格式和 Excel 格式进行生成和下载,支持自定义报告章节内容以及通过邮件发送报告附件。

多维度安全

icon安全、稳定的轻量级探针icon

牧云主机安全管理平台的探针支持安装部署在 Linux 和 Windows 操作系统,只需在宿主机执行一条命令即可自动化安装部署主机安全管理平台的安全探针。针对 linux 操作系统,牧云检测探针在运行时无需 root 权限即可满足一切安全检测需求。
安全探针具备在线、离线、异常、停用四种状态,支持通过服务端对探针端进行停用和降级操作。通过在线数据清单持续监控探针状态,保证探针可用性。
牧云主机安全管理平台的探针检测策略支持基于业务组派发和管理,可基于不同网络环境和宿主机性能,灵活调配检测策略。支持安全探针策略模板的管理,能够增、删、改、查安全探针策略模板信息。提供安全探针策略模板的创建、策略模板推送和安全探针策略模板的应用,根据策略模板实现定制化检测分析。探针 CPU 占用低于 10%,内存消耗小于 100MB。

icon高平台开放性icon
API接口
牧云主机安全管理平台开放 API 标准接口,接口丰富,满足多种环境,满足态感平台多维度的分析需求。API 接口传输数据内容包括:用户属性信息、角色权限、日志内容、日志类型、日志大小、漏洞数据、资产数据、状态数据等不同类型数据。
平台互通
可以同 4A 平台、短信网关、日志管理系统、安全大数据分析系统、工单系统进行对接集成,满足运营者的自动化安全运维需求。 

继续了解长亭科技 

产品推荐 查看更多>>
    珞安科技主机安全加固系统

    珞安科技主机安全加固系统是一款综合运用安全标记、访问控制、完整性保护等多层次立体式防护手段。通过扩展操作系统的安全子系统,防范外部的渗透攻击,预防内部的主动泄密,弥补传统信息安全解决方案在主机层的安全短板,提升操作系统整体的安全保护能力,满足国家等级保护的安全技术要求。

    高效稳定

    安全可靠

    安恒明御主机安全及管理系统EDR

    明御主机安全及管理系统EDR是一款集成了丰富的系统加固与防护、网络加固与防护等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景; EDR通过自主研发的专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。

    防御已知和未知类型勒索病毒

    全方位的主机防护体系

    管控全局终端安全态势

    流量可视化,安全可见

    深信服云内态势感知解决方案

    深信服云内态势感知解决方案,持续追踪云内高级威胁与异常行为,包含 HTTP 异常流量检测、SMB与RDP协议检测、DNS 隐蔽隧道检测等云内常用攻击手段检测。 配合文件与网络行为检测,持续提供整个云数据中心层面的检测能力。

    手段多样

    隐蔽性高

    传播速度快

    大规模处置困难