TDA主动出击 成为网络“放大镜”与“指挥棒”
为应对数量庞大且随时存在的网络威胁,提升安全管理的服务水平,确保业务不中断,在趋势科技的建议下,这家证券公司在办公网和交易网皆部属了威胁发现系统(TDA),迈出了主动运维的第一步。
图 1 在办公网和交易网分别TDA
全面威胁发现系统:TDA (Thread Discovery Appliance)作为趋势科技威胁管理解决方案的拳头产品,它通过5 个核心引擎对网络内容提供分析技术,进而对于交易网、办公网的每一台终端计算机和服务器安全健康状况进行实时监控,,在证券行业的网络拓扑中起到了至关重要的威胁发现作用。
该证券公司的网络中,TDA就全面负责监控办公网和交易网,以及网上交易系统、门户网站、通信服务器集群等企业中的所有网段,并且都采用了旁路设计。这样的拓扑结构,不但不会影响正常办公和交易进行,还可以主动识别违反安全策略的流量,以及发现造成网络中断、消耗大量带宽或未经授权应用程序和服务程序。对于企业用户来说,TDA就像一部全能型的雷达,不仅仅接收来自网络上所有的信号进行智能的分析,还能够评估企业业务的安全风险,对网络的每一个角落都安装了“放大镜”。另外,TDA同时还提供完善的网络威胁日报、周报和月报信息(如图2所示),为运维成本与绩效管理提供了数据依据。
图2 TDA威胁与报表功能
在部署TDA之前,此证券公司的IT部门制定了许多网络制度要求员工执行,但经常会出现违反制度的现象,最严重的是造成了正常业务流量的拥塞现象。而在部属TDA之后,不但可以第一时间定位可能构成潜在安全威胁的客户端,并通过报表的形式显示客户端即时通讯(IM)、P2P文件共享(BT)、流媒体,以及未授权服务如SMTP中继和DNS欺骗现象。TDA实际上证券网络中形成 “策略执行中心”,它不但能够及时的发现网络环境中的安全威胁,还能够将这些威胁转化为详细的处理措施并进行落实。针对IT产品的成本管理,这家证券企业IT部门主管表示:“TDA不但可以应用在各种复杂的异构网络环境中,值得一提的是,TDA还能通过完善的报表功能评估出安全产品投入到网络平台之后的ROI(投资回报率)。”
除去充当管理人员的“千里眼”之外,由于TDA被集成在趋势科技云安全2.0架构中,现在可以实时、精确的发现威胁与处理建议自动生成的功能(如图3所示),这就为IT部门还配备了一个虚拟的安全专家。TDA集成了趋势科技云安全2.0中的“多协议关联分析技术”,因此可全面支持检测2-7层的恶意威胁,能快速检测Web攻击、跨站点脚本攻击和网络钓鱼行为,识别高危节点和高危网络通讯行为,其中就包括向证券企业最担心的向外界泄露数据或从僵尸网络控制中心接收命令的木马行为。
图3 由TDA自动生成的处理建议