360DNS安全监测系统(私有化部署版)

需求分析
网络威胁检测和防御

在现今愈演愈烈的网络攻击背景下,对政企和监管单位而言,域名解析服务往往被外部网络攻击者、内部违规行为者,以及潜伏攻击工具所利用,为企业网络安全带来较大风险,需要管理者加强对DNS解析的安全管控。

近年来利用DNS进行网络攻击的安全事件包括:WannaCry勒索软件、Conficker蠕虫、Xshell幽灵事件等,常见的利用DNS的网络攻击方式包括:C&C域名、DGA技术、DNS隧道、FastFlux技术、DNS反射放大攻击、域名重绑定、IDN技术。思科曾在2016的年度安全报告中提出,近91.3%的已知恶意软件被发现使用DNS作为主要手段,但68%的企业却忽略了这个问题,并没有对DNS解析进行监测,从而丧失了宝贵的威胁发现机会。

上网行为规范管理

传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力,表现在:

安全事件频频发生

防火墙无法有效过滤应用层的内容,而防病毒工具由于滞后效应,对于新的病毒以及恶意软件常常无能为力。由于员工不安全的互联网访问而造成的病毒传播与黑客入侵,已成为网络安全的最大黑洞。

工作效率低下

未加管理的互联网应用可能会大大降低员工的工作效率。据调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,人力资源在无形中浪费巨大。

敏感信息泄露

对于政府机关、上市公司以及知识敏感型企业,关键设计文档、软件源代码、市场销售计划等核心机密文档,可以通过网络传递到外部,给组织造成重大损失。

导致法律风险

对于互联网资源的非法访问,比如访问色情、赌博、犯罪网站,发表反动言论、泄露重大机密等,都会触犯相关法律,给企业带来法律风险。

流量监控与分析

据统计,在互联网活动未加管理的企业中,宝贵的带宽资源超过70%被文件、视频下载等占用,尽管带宽一扩再扩,却总是很快又拥挤不堪。这不仅造成带宽资源大量浪费,还使得企业正常业务得不到应有的带宽保证。由于缺乏有效的识别与控制手段,网络管理员往往不能及时地定位并管理下载源。

并且随着移动应用和物联网的普及,企业对上网管理提出了新的覆盖需求,DNS协议具有设备无关性,可以高效的覆盖企业的所有联网设备,包含物联网设备,而不用考虑其网络位置和操作系统类型。

通过对域名的有效分类和识别,可以在域名递归解析的时候就对企业上网流量进行有效的监控和管理,特别是多分支机构和多出口客户的管理者可以借助DNS进行有效的管理。

资产发现

现在网络已成为基础配置,企业的信息化程度越来越高,且IPv6也开始快速普及,接入网络的各种设备数量成指数级增长。对于企业管理员或监管机构来说,识别并管理网络中的设备资产变得越来越重要,因而快速、准确地发现资产成为重要的需求。

产品概述

「360DNS安全监测系统(私有化部署版)」作为360安全大脑的重要组成部分,集DNS解析、威胁检测和防御、资产发现、上网行为管理等功能于一体,可根据客户的具体使用场景采取灵活的部署方式,基于DNS解析数据为客户提供准确、实时的网络威胁感知和防御能力。

功能介绍
提供网络威胁检测和防御能力

威胁检测能力

「360DNS安全监测系统(私有化部署版)」基于DNS解析数据和360安全大脑的大数据威胁情报和威胁检测模型AI分析系统,以及深度分析引擎能力,可检测恶意软件、黑灰产业等超过400种网络威胁类型,包括APT攻击、僵尸网络、木马攻击、勒索软件等隐藏深、危害大的威胁类型。

威胁防御能力

「360DNS安全监测系统(私有化部署版)」给管理者提供灵活的策略配置能力,管理者可根据企业自身的安全情况来灵活制定对网络威胁的处置策略,在网络威胁的实施阶段和远程控制阶段进行实时阻断,保障网络资产和数据安全。

提供上网行为管控能力

「360DNS安全监测系统(私有化部署版)」依托360安全大脑情报云的海量域名标签,通过对域名的有效分类识别,可以在域名递归解析阶段对企业上网流量进行有效的监控和管理,特别是多分支机构和多出口用户的管理者可以借助DNS进行有效的管理,帮助企业大量节省非业务需求的带宽资源占用,并避免访问违法网站带来的法律风险。

提供快速资产发现和管理能力

由于极大比例的网络设备都会在联网过程中使用DNS解析服务,因此DNS是最佳被动资产发现渠道,能够轻量、快速、准确地发现网内资产。同时,「360DNS安全监测系统(私有化部署版)」还与360核心安全大脑资产安全扫描能力相结合,赋能客户安全可见能力。

技术优势
广谱

不管是办公网、生产网、核心隔离网络,不管是服务器、桌面终端、手机、IoT设备,不管是勒索、蠕虫、APT,只要攻击者利用了DNS系统,「360DNS安全监测系统(私有化部署版)」都可以进行检测和防御。

轻量

只需通过镜像、分光方式或DNS解析服务方式将企业的DNS解析流量导入「360DNS安全监测系统(私有化部署版)」,即可实施网络威胁检测、分析和阻断。部署过程轻量化(IP地址指向修改),无需更改企业网络结构就可以快速接入系统,实现一点控全局。

高通量

在大型网络高通量领域,例如全流量达到100G~100T级别,使用传统的全流量系统会非常昂贵且难以维护。鉴于实际网络流量中DNS流量通常只占约1%-0.1%,且DNS协议单一,这决定了通过DNS流量做安全分析、监控和阻断,相较于传统的全流量分析系统(如IDS、DPI),压力只有传统解决方案的万分之一。「360DNS安全监测系统(私有化部署版)」将分析目标集中在DNS上,这种结构决定了其能够在大流量情况下具备高性能和低成本的优势。

第一跳阻断

相较防火墙、EPP等安全方案,「360DNS安全监测系统(私有化部署版)」能够根据企业安全策略,在网络访问第一跳实现实时阻断设备对指定域名、或指定类型域名的解析访问。既可以最早、最广的阻断恶意代码的破坏行为,也可以实施针对企业内网的上网管理。

专业威胁情报支持

依托360安全大脑情报云和分析云行业一流的情报分析和生产能力,实时同步全球最新威胁情报,能够检测各类恶意域名、黑灰网站、DGA域名、DNS隧道、木马心跳连接、FastFlux、DNS重绑定、DNS反射放大攻击、IDN等域名层面的可疑行为,让未知威胁无处隐藏。

部署方案
方案一

对于没有部署内部DNS或有恶意域名阻断需求的企业,360DNS安全监测系统(私有化部署版)可以私有化部署在企业内网中,以满足客户的需求。

usage-scene
方案二

对于已经具有内部DNS服务器的企业或网络安全监管机构,360DNS安全监测系统(私有化部署版)提供了旁路采集检测的部署方式,可以对威胁域名请求进行安全监控、预警和审计。

usage-scene