以網絡態勢感知平臺為核心的醫院局域網安全運維實踐_EDR

以態勢感知平臺為核心闡述醫院局域網運維中主動防御系統設計以及具體實現。探索平臺技術原理，打造集檢測、可視、響應等多功能一體的大數據安全分析平臺和安全運營中心。指出該平臺從醫院網絡邊界、內部網絡、終端等方面可以提供全方位防護，極大提高響應威脅的時效性和精準度。提高局域網運維的效率，降低網絡安全風險的發生概率，可為同級別醫院提供有價值的參考。

醫療信息化的飛速發展使得醫院內的網絡與信息系統承載的價值越來越多、網絡的規模和復雜度越來越大，據貴港市人民醫院統計，總院和分院的生產桌面已經達到2500多個，服務器和虛擬化服務器接近200臺，互聯網醫院業務的發展使得醫院的局域網不得不暴露在互聯網環境之中，過去幾年，醫院局域網遭受的外部和內部網絡攻擊的數量大幅增長，針對高級威脅，傳統的頭痛醫頭腳痛醫腳的安全防御并無法解決問題，反而還帶來了割裂的安全，缺乏全過程的防護。同時多異構設備的疊加帶來了安全的碎片化，缺乏統一的視角和關聯能力，無法打破數據孤島，協同防御，給醫院的內部局域網安全運維帶來極大挑戰。

以態勢感知平臺為核心的安全產品部署

醫療系統安全事件頻發的本質是攻守雙方能力的不對等。在近年來的互聯網環境中，高級持續威脅、勒索軟件、針對物聯網的網絡攻擊等各類網絡犯罪行為越來越普遍的使用自動化、AI等新興技術提升隱蔽性和攻擊效率，而與之對應的安全防御技術普遍還相對落后，于是網絡安全態勢感知系統近年應運而生，將成為防御體系中的核心指揮中心，將不同安全組件有機結合、合理編排，提升防御門檻，消減攻擊帶來的危害。旨在為了解決上述網絡威脅帶來的大中型企事業單位內部的各種風險問題。

數據：一巨鯨地址將8800枚ETH轉入幣安:6月7日消息，據鏈上分析師余燼監測，0xb154開頭巨鯨地址昨天提出的8800枚ETH轉入幣安，此時ETH價格為1882美元。昨天他以1807美元的價格將ETH提出，按此計算，其此次波段操作可能實現了66萬美元的收益。

據悉，該巨鯨地址最近頻繁在幣安進行ETH存入和提取操作，昨日其從幣安提出8800枚ETH。[2023/6/7 21:21:16]

技術簡介網絡態勢感知平臺提供安全頂層聚合能力，實現最大化安全價值統一管理與分析。基于安全大數據中心，高效構建立體化、智能化、主動化的安全運營與態勢感知體系，實現安全控件外部與內部威脅、行為的實時監控，智能分析威脅事件及時進行通報處置，聯合威脅情報狩獵追蹤，自動響應第一時間降低危害。基于NTA技術、利用人工智能分析流量和載荷文件，從而識別異常協議、異常流量、主機異常行為；監控網絡流量、用戶群體、資產、設備，建模學習日常網絡行為，這樣對異常的連接、數據交互、用戶變更等可以實現安全可視和追蹤。

部署實踐結合貴港市人民醫院的網絡分區使用的實際情況，態勢感知平臺采用分層的數據處理結構設計，從數據采集到最終的數據分析呈現完整的處理邏輯過程。其層次劃分如圖1所示。

Celsius將于4月25日舉行競標拍賣，投標方包括NovaWulf、Fahrenheit等三名參與者:4月23日消息，Celsius無擔保債權人官方委員會表示，拍賣將于4月25日舉行，投標方包括數字資產投資機構NovaWulf、Fahrenheit, LLC、Blockchain Recovery Investment Committee。

其中，Fahrenheit, LLC股權由Arrington Capital、U.S. Data Mining Group, Inc.（d/b/a U.S. Bitcoin Corp.）、Proof Group Capital Management LLC、Steven Kokinos和Ravi Kaza直接或間接擁有。

Blockchain Recovery Investment Committee包括Van Eck Absolute Return Advisers Corporation、Global X Digital, LLC等。

Celsius的競標程序計劃已獲美國聯邦法官和紐約南部地區美國破產法院的批準。根據競標程序的命令，與委員會協商的債務人已根據合理的酌處權確定進行拍賣將最大化債務人的價值。

此前4月中旬消息，NovaWulf表示計劃接管Celsius所有資產，并在其債權人得到償付后將其轉入一家新公司，NovaWulf將管理新公司五年，董事會將由NovaWulf和官方債權人委員會選出。[2023/4/23 14:21:27]

圖1態勢感知工作原理圖

以太坊Layer2.上總鎖倉量為61.90億美元:金色財經報道，L2BEAT數據顯示，截至目前，以太坊Layer2上總鎖倉量為61.90億美元，近7日跌0.90%。其中鎖倉量最高的 為擴容方案Arbitrum One， 約33.60億美元，占比54.29%，其次是Optimism，鎖倉量18.77億美元，占比30.32%。[2023/3/5 12:43:02]

核心組件潛伏威脅探針：基于X86的硬件結構，用于旁路部署核心交換機上，通過配置端口流量鏡像，對全流量進行采集和檢測，提取有效數據上報給安全感知平臺。潛伏威脅探針具備IDS檢測能力，包含WEB應用攻擊檢測規則和漏洞利用攻擊檢測規則，可從流量中檢測已知威脅，為平臺輸送安全日志。同時，內置異常行為檢測引擎，實時匹配流量，當發現存在異常行為時會將流量片段在采集的流量數據中進行標記，傳給平臺，由平臺進行深度關聯分析，挖掘潛在的威脅。

以下作為基礎安全體系的設備，用于作為安全感知平臺的擴展組件，在提供有針對性的安全數據輸入的同時，可聯動進行安全防護、檢測。

在外網出口部署上網行為管理平臺：使用X86硬件架構，用于出口管理用戶的上網行為。作為安全感知平臺的組件后，可以實現對用戶的定位及凍結風險主機的上網。通過分組策略禁止用戶主動或被動的高危訪問。

Defrost Finance計劃與黑客談判，愿意分享20%的被盜資金以換回大部分被盜資產:12月26日消息，據官方推特，Defrost Finance表示計劃與黑客協商，愿意分享20%的被盜資金以換回大部分被盜資產，具體金額可以協商，并呼吁黑客盡快與之聯系。

此前報道，Defrost Finance預言機被惡意修改，并且添加了假的抵押token清算當前用戶，損失超1300萬美元。[2022/12/26 22:08:42]

在外網路由器后方部署下一代防火墻：使用X86硬件架構，下一代防火墻一般部署在互聯網或數據中心的出口，作為安全感知平臺的組件后，用于采集外部攻擊和違反策略的違規訪問數據，并實現對攻擊源的聯動阻斷和異常訪問的ACL策略控制，讓安全感知平臺具備基礎防御能力。同時，由于安全感知平臺具備未知威脅檢測能力，可聯動形成對未知威脅的有效防御和脆弱性入口點的針對性策略控制，應對出口安全的攻擊繞過問題。

在PC終端部署端點檢測與響應軟件：終端安全響應平臺，針對終端主機的安全進行有效防護。以此作為組件，可以采集來自服務器/辦公PC的主機安全日志，增加安全感知平臺的端點分析、溯源取證能力，同時結合EDR的病查殺能力，可實現安全感知平臺的問題處置閉環。

以態勢感知平臺為核心的局域網運維思路

dYdX將于9月27日進入Epoch 15，擬減少25%的交易獎勵等:8月31日消息。去中心化衍生品交易平臺dYdX將于UTC時間9月27日15:00進入第15個周期（Epoch 15），其中主要變化包括交易獎勵將減少25%、逐步清算借貸池、修改LP獎勵公式等。[2022/8/31 13:00:24]

貴港市人民醫院內部的局域網環境十分復雜，有與互聯網相連的外網部分，有運行醫院信息系統相關的內網部分，部署有網站，互聯網服務、各類專線的混合區，在部署態勢感知平臺之前，只能通過查看邊界防火墻日志，和終端殺軟件日志判斷存在安全問題的節點，即被動，處理也很滯后，網絡安全運維十分棘手。在部署以態勢感知為核心的主動安全管理平臺后，運維人員通過平臺以下幾個核心功能主動發現威脅并處置。

局域網內部異常感知內部異常感知通過失陷主機檢測、外連威脅感知、橫向威脅感知來發現已經成功繞過網關防御，進入到內部網絡后的潛伏威脅及從內部發起的內鬼行為。

失陷主機檢測失陷主機，指因遭受APT攻擊、僵木蠕等風險而被攻擊者控制的主機。安全感知平臺結合關聯分析引擎、智能分析技術、威脅情報關聯等，發現內部已經失陷的主機。結合攻擊鏈，發現主機在每個攻擊階段發生的所有事件。結合事件情況為主機評定狀態。包括確定性等級、威脅等級。確定性等級：判定主機失陷的可能性，包括已失陷、高可疑、低可疑、正常。威脅等級：評判主機對內、對外網已發生威脅的程度，來判定主機是否具備危害程度。包括：高威脅、中威脅、低威脅、正常。

外連威脅感知基于南北向流量的采集，分析挖掘存在異常外連行為的情況，包括以下幾點：①外發攻擊行為：識別主機從內向互聯網發起攻擊的行為。往往主機受控后會被攻擊者利用進行對外攻擊，如DDoS攻擊、永恒之藍攻擊等為其黑產牟利，通過外發攻擊行為發現可檢測受控主機或惡意內部主機。②隱蔽通信行為：隱蔽通信行為是APT攻擊、定向攻擊等常用的通信方式，用于逃避檢測。基于機器學習算法及遠控行為分析進行隱蔽隧道檢測，識別內網主機與外網進行隱蔽通信。③服務器風險訪問行為：基于網絡流量應用識別技術，發現服務器使用風險應用與外網進行通信的情況，及時使用非標準端口亦可準確識別應用，管理員結合業務特性即可發現服務器被遠控的風險。④可疑外連行為；檢測非外發攻擊行為，但行為存在可疑，非正常主機行為。如比特幣挖礦、從未知站點下載可執行文件、訪問惡意鏈接等。如果主機存在外連可疑行為，說明主機很可能已被黑客控制，用于黑產牟利。

橫向威脅感知基于對東西向流量的抓取，進行行為分析，挖掘內網主機之間存在的異常威脅行為，定位異常的內鬼主機。主要從下面幾個視角分析：①橫向攻擊視角：基于規則檢測、基線分析和機器學習算法識別內網主機對其他內網主機發起攻擊的情況，如漏洞利用攻擊、向SMB服務器傳等。可發現可疑的跳板源或內鬼。②違規訪問視角：提供一種基于ACL規則形式，針對具體IP，服務，端口，訪問時間等策略，管理員可主動建立針對性的業務和應用訪問邏輯規則，包括白名單和黑名單兩種方式，及時知道內網存在違規的行為。③可疑行為視角：識別內網主機對其他內網主機發起的區別于具體攻擊類型的可疑行為。包括異常的敏感文件下載、機器掃描行為、異常流量行為、異常文件上傳等，發現潛在的內鬼行為。④風險訪問視角：識別內網主機通過遠程登錄、數據庫等風險應用訪問其他主機或服務器的情況，審計訪問可達性等，為管理員梳理內網權限控制、發現可疑主機和異常賬號登陸情況提供有利支撐。

安全可視預警安全可視是安全檢測的核心。通過可視化技術將安全感知平臺檢測的全網問題進行綜合呈現和預警，以宏觀決策視角和微觀運維視角進行區分展示，便于不同角色人員進行決策處置。

綜合安全態勢主屏基于安全域視角，展示全網各個區域的整體安全實況及綜合評級。該大屏為三層結構，一層展示重要風險，不是簡單統計，而是從通報視角、資產可視、威脅視角、區域橫向威脅、外部威脅等多個角度呈現重要問題，讓預警更有價值。二層為各視角的詳細展示的大屏。三層為各視角大屏下鉆后的運維數據層面，展示風險問題的最終原始數據支撐數據，讓證據更明顯，以此形成可分析、可指派的安全監測指揮中心，見圖2。

圖2綜合安全態勢分析

聯動防御安全感知平臺本是旁路部署方式，并不具備防御能力。因此，需要各安全設備協同響應的安全聯動防御能力，讓安全感知平臺通過聯動具備防御能力或網絡隔離能力的設備以實現主動防御的能力。

通過打造三級協同聯動的響應機制，讓安全感知平臺成為智慧的安全大腦，精準分析全網未知威脅和針對性攻擊，利用協同聯動實現針對性加固防御和精準打擊，讓全網安全建設具備主動防御的能力。①一鍵阻斷：通過聯動防御設備來實現一鍵封堵威脅攻擊源，或阻斷與病木馬通信。具體方式包括：聯動封鎖：通過聯動內網準入系統完成。以IP+端口+封鎖時長形式進行所有協議/流量的封鎖。ACL策略封鎖：聯動聯動內網準入系統完成。提供基于ACL規則策略配置方式，執行精細化的防御，可細化到五元組+具體應用等。②凍結外網訪問：聯動上網行為管理完成。基于用戶認證場景，阻止風險主機進行上網，避免威脅擴散或發生對外威脅，影響單位信譽。在風險用戶上網時彈出自定義網頁，提醒其感染的威脅信息并提供詳細處置指引，簡化IT運維工作，實現多用戶下的自動化運維。③端點查殺：聯動EDR端點安全產品。對威脅主機進行聯動EDR查殺來形成閉環，對未知的可疑行為通過EDR的終端日志、進程信息采集相結合進行威脅追捕和進程文件定位。

效果

貴港市人民醫院的局域網防護體系經過上述方案部署整改后，實現了精準預防與威脅處置，所有經過核心交換機的網絡行為都會被記錄分析，第一時間在感知平臺上給出威脅程度判斷，在可視大屏或郵件及時告警，并與邊界防火墻和終端EDR系統良好聯動，自動阻斷外部非法訪問和攻擊，在內部能及時清理染終端甚至阻斷其網絡訪問防止病擴散，在一年的實際工作和最近開展的2020護網演練中取得了較為滿意的效果。

結論

隨著醫院對網絡安全環境要求越來越高，自身面臨的內外部安全威脅日益顯現，本文從工作實踐總結出目前較為適合醫院局域網環境的主動安全運維模式，對態勢感知平臺從發現隱患，聯動威脅處置、提高安全運維效率等方面進行全方位闡述，以期為相關工作提供參考。

戳這里！

Tags：EDRAPT比特幣EDR幣EDR價格APT價格APT幣比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢

芝麻開門交易所