新闻中心
详情
近几年来,针对数据的窃密、破坏和毁瘫等威胁越来越突出,数据安全已经成为网络安全体系中的重中之重。众所周知,数据安全主要包括私密性、可用性和完整性三个方面,相对而言,目前针对数据完整性的安全考虑还较为薄弱。
2020年1月,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布数据安全标准草案SP1800-26《数据完整性-检测和响应勒索软件及其他破坏性事件》(SP1800系列属于网络安全实践指南类标准),为检测响应数据在存储、处理和传输过程中的未授权更改,也就是数据完整性方面提供了体系化防护措施。
Part.1
体系结构
网络安全体系框架应覆盖识别、防护、检测、响应和恢复全过程,其中,数据完整性检测和响应顶层体系结构如下图所示。
完整性监控提供了将当前系统状态与确定安全基线相比较的能力。
事件检测提供了检测正在发生安全事件的能力,可以由入侵检测、恶意软件检测和用户异常检测等系统组成,一般根据威胁模型确定。
日志记录并存储组织内各组件生成的所有日志信息。
取证/分析提供了探测/分析组织内日志的能力,并从中提取有价值的信息。
缓解和遏制是利用响应处置手段应对恶意事件,遏制或限制恶意事件造成的影响。
报告提供了报告组织内所有活动的能力,供安全团队分析使用。
Part.2
在各场景中的应用
场景1:通过Web传播的勒索软件
用户从外部Web服务器下载勒索软件,该软件利用特权升级漏洞在网络中传播,并对计算机上的文件进行加密,并要求付费以换取文件解密。
应对策略:“事件检测”检测恶意软件,生成日志和警报,另外还检测可疑网络行为。“缓解和遏制”中止勒索软件执行,并从系统中删除,另外隔离检测到恶意活动后的网络行为。“完整性监控”收集文件的更改,包括勒索软件更改及首次创建或下载到系统。“日志”对相关日志聚合以识别攻击范围。“报告”使用日志信息提升响应处置时间。“取证/分析”分析事件以加强对未来攻击的防御。
场景2:通过USB传播的恶意软件
用户在计算机上使用USB设备,USB设备中包含自动运行或与用户交互的恶意软件,该软件可修改和删除用户计算机上的文件。
应对策略:“完整性监控”检测文件系统更改,记录变更和删除日志。“日志”从操作系统和完整性监控等收集日志信息。“事件检测”检测USB设备的插入行为,以及文件执行操作。“缓解和遏制”停止执行恶意文件,删除USB设备上的恶意文件。
场景3:通过维护脚本意外删除虚拟机
系统例行维护脚本产生错误,例如在Hyper-V系统执行迁移操作,脚本删除了一个重要的虚拟机(VM),可能是系统意外或人为错误造成。
应对策略:“完整性监控”检测虚拟机配置更改和VM删除。“日志”收集这些事件。“取证/分析”提供事后分析事件的能力,使安全团队能够理解影响、解决脚本中的错误,并通知启动恢复过程。
场景4:通过电子邮件创建后门
用户打开了带有恶意附件的电子邮件,该附件运行时从外部Web服务器获取文件,然后在身份验证服务器上创建后门账户。
应对策略:“完整性监控”将文件更改和活动目录更改的日志转发到“日志”功能,用于检测恶意附件下载和帐户结构更改。“日志”和“报告”基于事件提供警报,让安全团队迅速采取行动解决。“事件检测”在附件到达用户收件箱之前和附件下载到系统之后的两个时间点提供检测。“缓解和遏制”在附件到达之前用户的收件箱以用户系统前进行缓解。“取证/分析”通过查看网络流量获取恶意文件。
另外,文档还列举了恶意内部人员修改数据库、恶意内部人员修改文件、通过受损的更新服务器创建后门3个场景下的应用。
Part.3
相关安全工具
SP1800-26中给出了各组件相关工具产品及主要功能,如下表所示。
Part.4
网御星云解决方案
网御星云内网安全管理系统,是网御星云自主研发的业界领先的网络和数据安全管理产品。与传统内网安全管理系统相比,本系统创新地将原来相互独立的传统桌面管理、终端数据防泄露和终端防病毒等功能整合成为一套系统,实现真正统一的终端数据管理平台。在满足客户合规需求基础上,同时解决了数据完整性安全等问题。
网御星云内网安全管理系统,同时具备终端基线管理、终端加固、准入控制、非法外联、主机防火墙、终端审计、软件/补丁分发、外接及移动存储管理、终端防病毒和数据防泄露等方面能力,实现了上述完整性监控、事件检测、日志、取证分析、缓解遏制和报告等,能够抵御勒索软件等恶意事件的侵害,助力组织构建高效、安全的终端数据管控体系。
扫二维码用手机看
上一个:
线上招聘季 | 网御星云甘肃站
下一个:
管窥澳大利亚跨域解决方案体系
上一个:
线上招聘季 | 网御星云甘肃站
下一个:
管窥澳大利亚跨域解决方案体系
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 