产品详情

简介

青藤主机自适应安全平台,通过对主机信息和行为进行持续监控和分析,快速精准地发现安全威胁和入侵事件,并提供灵 活高效的问题解决能力,将自适应安全理念真正落地,为用户提供下一代安全检测和响应能力。

青藤产品体系采用模块化的组织形式,实现了各功能的智能集成和协同联动。“风险发现”可主动、精准发现系统中存在的 安全风险,提供持续的风险监测和分析能力;“入侵检测”可实时发现入侵事件,提供快速防御和响应能力;“资产清点”可主动识别系统内部资产情况,并与风险和入侵事件自动关联,提供灵活高效的回溯能力。

同时,运行在底层的青藤核心平台架构,是下一代主机安全能力引擎。其插件化的构建方式,不仅具备灵活的扩展能力, 同时能实现各功能模块之间无缝联动;其分布式的部署方式,能够应对客户大量任务下发和大型攻击来临的海量数据分析处理,并始终保持稳固的性能。

功能

1. 资产清点

        主机发现

        通过设置检查规则，系统自动检查已安装探针主机，所在网络空间未纳入安全管理的主机，自动排除普通网络设备；保证探测与被探测主机正常运转

       应用清点

       自动化清点中间件、数据库、大数据组件、Web应用、Web框架、Web站点等资产；根据每个服务器业务特点，针对性地识别应用200余类，如：Nginx，Apache，JBoss，Mysql，Memcache，Redis，HBase等。未来还将支持用户自定义清点对象。

       资产快速检索

       对于每类业务资产，系统提供”主机视角“和”资产视角“两种通用维度，聚合展示数据，客户可灵活定义自己的表格显示；关键资产（主机，账号，进程等）全系统关联，在未来，还将提供全局搜索工具。

       资产面板

       在获得资产信息后，将结合业务情况，形成“概览视图”与“分级视图”，展示企业整体资产状况,多维度剖析单一资产，详细分析内部情况；引导客户从安全维度发现一些问题。

2. 风险发现：

       发现未安装的重要补丁

       持续更新的补丁库，以及agent探针式扫描，能及时、精准地发现系统需要打的重要补丁。同时，深入检测系统中应用、内核模块、安装包等，各类软件的重要更新，智能提取最急需修复的补丁。

       发现应用配置缺陷导致的安全问题

       自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。及时发现并处理了某个配置缺陷后，将有效解决潜在安全隐患、阻断黑客的进一步活动。

       快速发现系统和应用的新型漏洞

        持续关注国内外最新安全动态，及漏洞利用方法，不断推出最新漏洞的检测能力。基于agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出来系统漏洞。

       智能化的弱口令检测，支持多种应用

       精准识别十几种应用弱密码，包括：SSH系统应用、Tomcat、Mysql、Redis等。识别方法以离线破译优先，且并将离线文件哈希入库，极大地提高了检测效率。系统可以智能识别 组合弱口令，支持用户自定义弱口令字典。

       3.入侵检测

       Web后门监控

       通过自动化地监控关键路径，结合正则库，相似度匹配，沙箱等多种检测方法，实时感知文件变化，从而能够及时发现Web后门，并对后门影响部分进行清晰标注

       反弹Shell监控

       通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell连接操作产生的反弹Shell行为，有效感知0day漏洞利用的行为痕迹，并提供反弹Shell的详细进程操树。

       本地提权

       通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。

       系统后门监控

       通过对进程关联信息的分析，结合模式识别和行为检测，提供不依赖Hash的自动化系统后门检测方式，实现在多系统中进行多维度、高准度、快速度的后门发现

        微蜜罐

       可以简易灵活的配置，让主机对各端口进行监听，从而扩大监控范围。通过这样消耗小而覆盖面广的蜜罐配置，发现黑客端攻击行为的概率就会大大提升。所谓“微””蜜罐，也有“大”作用

优势

安全稳定低资源的主机探针

       主机探针纯绿色软件，不嵌入系统内核，杜绝由于探针软件的问题而影响操作系统的稳定。在系统负载过高时，独特的降级机制会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。

       自动适配各种物理机、虚拟机和云环境。运行稳定、消耗低，能够持续收集主机进程、端口、账号、应用配置等信息，并实时监控进程、网络连接等行为，还能与Server端通信，执行其下发的任务，主动发现主机问题。

       精准快速的主机发现

       从安全角度自动化构建细粒度资产信息，支持对业务层资产精准识别和动态感知，让保护对象清晰可见。精确支持10余类主机关键信息清点，200余类业务应用自动识别，并拥有良好的扩展能力。

       通过主机探针，可在15秒内，从正在运行的环境中，反向自动化构建主机业务资产结构，上报管控平台，集中统一管理；对Web资产与数据库资产等高价值高敏感业务资产，进行了针对性资产建模，确保不漏掉一个可用主机。

       高效安全的检测技术

       提供多控制点的检测能力，能够实时、准确地感知入侵事件，发现失陷主机，对攻击路径的每个节点都进行监控，并提供跨平台多系统的支持能力，保证能实时发现失陷主机，对入侵行为进行实时告警。

       结合专家经验，威胁情报、大数据、机器学习等多种分析方法，通过对用户主机环境的实时监控和深度了解，有效发现包括“0day”在内的各种未知黑客攻击。

案例

中国平安、中国光大银行、宜信，映客、斗鱼，借贷宝、91金融，阳光保险集团、医渡云、天翼云