概述

近幾年頻繁爆發(fā)黑客攻擊事件，尤其是勒索病毒、挖礦病毒等，以其強大的感染能力及快速的變種頻率，迅速席卷全球，給各行業(yè)帶來嚴重的損失。而為了應對挖礦時間，奇安信根據(jù)服務器實戰(zhàn)化攻防對抗經(jīng)驗，在攻擊鏈上每個環(huán)節(jié)上做好防護，提高每個入侵點的攻擊門檻，才能最大程度降低黑客的攻擊成功率。椒圖服務器安全管理系統(tǒng)（簡稱椒圖）通過服務器端輕量級agent，以探針的方式，監(jiān)控網(wǎng)絡層、應用層和系統(tǒng)層挖礦病毒引起的異常行為，可以有效阻止病毒的入侵和擴散。根據(jù)挖礦病毒的攻擊鏈，我們可以將攻擊分為外部探測、運行時和控制3個階段，在每個階段基于不同的防護邏輯，可以有效干預挖礦病毒滲透

方案特點

資產(chǎn)管理：自動收集服務器上的資產(chǎn)信息包括主機資產(chǎn)信息、網(wǎng)站資產(chǎn)信息、應用資產(chǎn)信息、數(shù)據(jù)庫資產(chǎn)信息、內(nèi)核模塊信心、環(huán)境變量信息、啟動服務信息、安裝包等信息，可幫助用戶快速了解業(yè)務系統(tǒng)情況，同時提供資產(chǎn)搜索能力，方便用戶快速檢索特定的資產(chǎn)詳情。

威脅統(tǒng)計分析：以圖形化的形式對整體威脅進行統(tǒng)計分析，主要分為告警信息及可疑威脅等信息。包括威脅事件統(tǒng)計、威脅分布、威脅趨勢圖，并以列表形式展示高危、中危、低危的告警事件。

風險及行為管控：風險及行為管控提供資產(chǎn)風險的評估，包括賬戶及應用弱口令，軟件漏洞等，通過風險掃描功能可對服務器的webshell、后門、漏洞，弱口令等風險進行檢測，發(fā)現(xiàn)服務器上的風險異常。并通過風險管理功能，進行統(tǒng)一查詢，篩選及處置。；基線檢查可支持等級保護2.0的二級、三級檢查、測評、整改的業(yè)務檢查，系統(tǒng)內(nèi)置官方等保2.0的二級、三級基線模板，滿足等保二級及等保三級要求，同時支持用戶自定義基線檢查任務，并導出基線檢查報告；病毒查殺主要基于Qowl、ClamAV、Bitdefender等引擎，對病毒進行查殺，并支持對病毒進行手動處理（[加白]、[隔離]、[刪除]）、自動處理（[自動隔離]、[自動刪除]、[不進行處理]）等操作。

威脅監(jiān)測：采用行為學習與監(jiān)控技術，對惡意掃描、暴力破解、軟件后門、Webshell、反彈shell、本地提權、無文件攻擊、RCE利用進行實時監(jiān)測及防護，同時可對各類威脅事件的及時處置。

動態(tài)監(jiān)控及防御：通過對應用系統(tǒng)流量、上下文、行為進行持續(xù)監(jiān)控，有效抵御一句話木馬、變形/未活動/加密Webshell、SQL注入、命令執(zhí)行、文件上傳、任意文件讀寫、反序列化、Struts2漏洞等高級Web應用攻擊。同時基于內(nèi)核驅動技術，對操作系統(tǒng)的進程、內(nèi)核、文件、服務等組件，進行縱深監(jiān)控及防御。

攻擊溯源：采用行為關聯(lián)分析方法將訪問行為過程中所產(chǎn)生的日志進行綜合分析比對，將入侵行為分別以探測、攻擊、控制、其他等階段，并以安全事件的方式發(fā)出告警，實時監(jiān)控記錄惡意攻擊發(fā)生的路徑及關鍵點，利用監(jiān)控所獲取的數(shù)據(jù)，分析事件完整過程，找出根本原因。日志分析記錄當前所有服務器產(chǎn)生的事件日志，并提供篩選的功能和自定義時間段篩選查詢，可通過安全日志快速鎖定問題服務器，并進行相應處理。

• 上一篇：沒有了
• 下一篇：安全態(tài)勢監(jiān)測