以網絡態勢感知平臺為核心的醫院局域網安全運維實踐_比特幣

以態勢感知平臺為核心闡述醫院局域網運維中主動防御系統設計以及具體實現。探索平臺技術原理，打造集檢測、可視、響應等多功能一體的大數據安全分析平臺和安全運營中心。指出該平臺從醫院網絡邊界、內部網絡、終端等方面可以提供全方位防護，極大提高響應威脅的時效性和精準度。提高局域網運維的效率，降低網絡安全風險的發生概率，可為同級別醫院提供有價值的參考。

醫療信息化的飛速發展使得醫院內的網絡與信息系統承載的價值越來越多、網絡的規模和復雜度越來越大，據貴港市人民醫院統計，總院和分院的生產桌面已經達到2500多個，服務器和虛擬化服務器接近200臺，互聯網醫院業務的發展使得醫院的局域網不得不暴露在互聯網環境之中，過去幾年，醫院局域網遭受的外部和內部網絡攻擊的數量大幅增長，針對高級威脅，傳統的頭痛醫頭腳痛醫腳的安全防御并無法解決問題，反而還帶來了割裂的安全，缺乏全過程的防護。同時多異構設備的疊加帶來了安全的碎片化，缺乏統一的視角和關聯能力，無法打破數據孤島，協同防御，給醫院的內部局域網安全運維帶來極大挑戰。

以態勢感知平臺為核心的安全產品部署

醫療系統安全事件頻發的本質是攻守雙方能力的不對等。在近年來的互聯網環境中，高級持續威脅、勒索軟件、針對物聯網的網絡攻擊等各類網絡犯罪行為越來越普遍的使用自動化、AI等新興技術提升隱蔽性和攻擊效率，而與之對應的安全防御技術普遍還相對落后，于是網絡安全態勢感知系統近年應運而生，將成為防御體系中的核心指揮中心，將不同安全組件有機結合、合理編排，提升防御門檻，消減攻擊帶來的危害。旨在為了解決上述網絡威脅帶來的大中型企事業單位內部的各種風險問題。

Brink與Marathon發起100萬美元捐款，用于資助Bitcoin Core的研發:5月19日消息，比特幣協議開發者資助機構 Brink 與比特幣礦業公司 Marathon Digital 發起 100 萬美元捐款，資金將用于資助 Bitcoin Core 的研發。Marathon 將對捐款進行 2 倍匹配，最高達 50 萬美元。此次捐除支持比特幣外，還支持 Apple Pay 和 Google Pay 在內的信用卡捐款以及 USDC、USDT、BUSD 等穩定幣。

Brink 表示，所有對 Brink 的捐贈都是 501(c)(3) 免稅的，捐贈將全部用于支持比特幣開發者構建、保護、測試和審查支撐比特幣網絡的 Bitcoin Core 軟件。[2023/5/19 15:12:50]

技術簡介網絡態勢感知平臺提供安全頂層聚合能力，實現最大化安全價值統一管理與分析。基于安全大數據中心，高效構建立體化、智能化、主動化的安全運營與態勢感知體系，實現安全控件外部與內部威脅、行為的實時監控，智能分析威脅事件及時進行通報處置，聯合威脅情報狩獵追蹤，自動響應第一時間降低危害。基于NTA技術、利用人工智能分析流量和載荷文件，從而識別異常協議、異常流量、主機異常行為；監控網絡流量、用戶群體、資產、設備，建模學習日常網絡行為，這樣對異常的連接、數據交互、用戶變更等可以實現安全可視和追蹤。

Messari：超3320萬枚APE在2023年第一季度解鎖給非DAO實體，未出現異常價格波動:4月7日消息，區塊鏈研究公司Messari發布報告稱，面對經濟萎縮，APE活動仍然保持彈性。代幣流通速度、新持有人、轉賬量、平均市值、平均DEX交換規模和平均獨立投票等指標均環比增長。與上一季度相比，APE在2023年第一季度的完全稀釋估值（FDV）增長20.6%。在2023年第一季度，超過3320萬枚APE被解鎖給非DAO實體，盡管存在拋售壓力，但這并未導致任何表明APE被大量拋售的異常價格波動。Yuga生態系統資產持有人和APE持有人認領了超過3140萬個APE。盡管拋售壓力持續存在，但APE代幣的平均價格仍比上一季度高出20.6%。APE質押于2022年12月上旬開啟，今年第一季度已質押3140萬枚。 Etherscan數據顯示，250個APE持有者占最大APE供應量約97.5%，其中至少有102個地址是由APE基金會控制的錢包，APE基金會至少控制27%的巨鯨錢包。[2023/4/8 13:50:48]

部署實踐結合貴港市人民醫院的網絡分區使用的實際情況，態勢感知平臺采用分層的數據處理結構設計，從數據采集到最終的數據分析呈現完整的處理邏輯過程。其層次劃分如圖1所示。

Web3可穿戴科技初創公司Spatial LABS完成400萬美元pre-seed輪融資:金色財經報道，Web3可穿戴科技初創公司Spatial LABS已完成400萬美元pre-seed輪融資，Jay-Z旗下Marcy Venture參投。據悉，該公司正在募集A輪融資。

Spatial LABS基于Polygon區塊鏈研發元宇宙可穿戴設備，并推出了將服裝、可穿戴物品和其他實物融合在一起的元宇宙項目LNQ，后續將探索音樂、藝術和零售等領域。（彭博社）[2022/11/30 21:10:48]

圖1態勢感知工作原理圖

核心組件潛伏威脅探針：基于X86的硬件結構，用于旁路部署核心交換機上，通過配置端口流量鏡像，對全流量進行采集和檢測，提取有效數據上報給安全感知平臺。潛伏威脅探針具備IDS檢測能力，包含WEB應用攻擊檢測規則和漏洞利用攻擊檢測規則，可從流量中檢測已知威脅，為平臺輸送安全日志。同時，內置異常行為檢測引擎，實時匹配流量，當發現存在異常行為時會將流量片段在采集的流量數據中進行標記，傳給平臺，由平臺進行深度關聯分析，挖掘潛在的威脅。

以下作為基礎安全體系的設備，用于作為安全感知平臺的擴展組件，在提供有針對性的安全數據輸入的同時，可聯動進行安全防護、檢測。

在外網出口部署上網行為管理平臺：使用X86硬件架構，用于出口管理用戶的上網行為。作為安全感知平臺的組件后，可以實現對用戶的定位及凍結風險主機的上網。通過分組策略禁止用戶主動或被動的高危訪問。

野村控股推出加密風險投資部門Laser Venture Capital:金色財經報道，野村控股將推出一個加密風險投資部門，作為其新數字資產業務的一部分。 該部門名為 Laser Venture Capital，將投資于數字生態系統中的公司，重點是去中心化金融 (DeFi)、集中式金融 (CeFi)、web3 和區塊鏈基礎設施。

Steven Ashley和Jez Mohideen將分別擔任野村激光數字加密業務的董事長和首席執行官。作為新職位的一部分，Ashley已辭去之前擔任銀行批發部門負責人的職務。[2022/9/21 7:11:24]

在外網路由器后方部署下一代防火墻：使用X86硬件架構，下一代防火墻一般部署在互聯網或數據中心的出口，作為安全感知平臺的組件后，用于采集外部攻擊和違反策略的違規訪問數據，并實現對攻擊源的聯動阻斷和異常訪問的ACL策略控制，讓安全感知平臺具備基礎防御能力。同時，由于安全感知平臺具備未知威脅檢測能力，可聯動形成對未知威脅的有效防御和脆弱性入口點的針對性策略控制，應對出口安全的攻擊繞過問題。

在PC終端部署端點檢測與響應軟件：終端安全響應平臺，針對終端主機的安全進行有效防護。以此作為組件，可以采集來自服務器/辦公PC的主機安全日志，增加安全感知平臺的端點分析、溯源取證能力，同時結合EDR的病查殺能力，可實現安全感知平臺的問題處置閉環。

安全團隊：約340枚ETH的Curve被盜資金被分別轉入Tornado Cash、FixedFloat和幣安:金色財經報道，據派盾（PeckShield）監測，Curve的被盜資金約有27.7枚ETH轉移至TornadoCash，約292枚ETH轉移至FixedFloat，約20枚ETH轉移至幣安。

此前消息，加密交易所FixedFloat發推稱，其安全部門已經凍結部分轉入其平臺的Curve被盜資金，數量為112枚ETH。[2022/8/10 12:14:53]

以態勢感知平臺為核心的局域網運維思路

貴港市人民醫院內部的局域網環境十分復雜，有與互聯網相連的外網部分，有運行醫院信息系統相關的內網部分，部署有網站，互聯網服務、各類專線的混合區，在部署態勢感知平臺之前，只能通過查看邊界防火墻日志，和終端殺軟件日志判斷存在安全問題的節點，即被動，處理也很滯后，網絡安全運維十分棘手。在部署以態勢感知為核心的主動安全管理平臺后，運維人員通過平臺以下幾個核心功能主動發現威脅并處置。

局域網內部異常感知內部異常感知通過失陷主機檢測、外連威脅感知、橫向威脅感知來發現已經成功繞過網關防御，進入到內部網絡后的潛伏威脅及從內部發起的內鬼行為。

失陷主機檢測失陷主機，指因遭受APT攻擊、僵木蠕等風險而被攻擊者控制的主機。安全感知平臺結合關聯分析引擎、智能分析技術、威脅情報關聯等，發現內部已經失陷的主機。結合攻擊鏈，發現主機在每個攻擊階段發生的所有事件。結合事件情況為主機評定狀態。包括確定性等級、威脅等級。確定性等級：判定主機失陷的可能性，包括已失陷、高可疑、低可疑、正常。威脅等級：評判主機對內、對外網已發生威脅的程度，來判定主機是否具備危害程度。包括：高威脅、中威脅、低威脅、正常。

外連威脅感知基于南北向流量的采集，分析挖掘存在異常外連行為的情況，包括以下幾點：①外發攻擊行為：識別主機從內向互聯網發起攻擊的行為。往往主機受控后會被攻擊者利用進行對外攻擊，如DDoS攻擊、永恒之藍攻擊等為其黑產牟利，通過外發攻擊行為發現可檢測受控主機或惡意內部主機。②隱蔽通信行為：隱蔽通信行為是APT攻擊、定向攻擊等常用的通信方式，用于逃避檢測。基于機器學習算法及遠控行為分析進行隱蔽隧道檢測，識別內網主機與外網進行隱蔽通信。③服務器風險訪問行為：基于網絡流量應用識別技術，發現服務器使用風險應用與外網進行通信的情況，及時使用非標準端口亦可準確識別應用，管理員結合業務特性即可發現服務器被遠控的風險。④可疑外連行為；檢測非外發攻擊行為，但行為存在可疑，非正常主機行為。如比特幣挖礦、從未知站點下載可執行文件、訪問惡意鏈接等。如果主機存在外連可疑行為，說明主機很可能已被黑客控制，用于黑產牟利。

橫向威脅感知基于對東西向流量的抓取，進行行為分析，挖掘內網主機之間存在的異常威脅行為，定位異常的內鬼主機。主要從下面幾個視角分析：①橫向攻擊視角：基于規則檢測、基線分析和機器學習算法識別內網主機對其他內網主機發起攻擊的情況，如漏洞利用攻擊、向SMB服務器傳等。可發現可疑的跳板源或內鬼。②違規訪問視角：提供一種基于ACL規則形式，針對具體IP，服務，端口，訪問時間等策略，管理員可主動建立針對性的業務和應用訪問邏輯規則，包括白名單和黑名單兩種方式，及時知道內網存在違規的行為。③可疑行為視角：識別內網主機對其他內網主機發起的區別于具體攻擊類型的可疑行為。包括異常的敏感文件下載、機器掃描行為、異常流量行為、異常文件上傳等，發現潛在的內鬼行為。④風險訪問視角：識別內網主機通過遠程登錄、數據庫等風險應用訪問其他主機或服務器的情況，審計訪問可達性等，為管理員梳理內網權限控制、發現可疑主機和異常賬號登陸情況提供有利支撐。

安全可視預警安全可視是安全檢測的核心。通過可視化技術將安全感知平臺檢測的全網問題進行綜合呈現和預警，以宏觀決策視角和微觀運維視角進行區分展示，便于不同角色人員進行決策處置。

綜合安全態勢主屏基于安全域視角，展示全網各個區域的整體安全實況及綜合評級。該大屏為三層結構，一層展示重要風險，不是簡單統計，而是從通報視角、資產可視、威脅視角、區域橫向威脅、外部威脅等多個角度呈現重要問題，讓預警更有價值。二層為各視角的詳細展示的大屏。三層為各視角大屏下鉆后的運維數據層面，展示風險問題的最終原始數據支撐數據，讓證據更明顯，以此形成可分析、可指派的安全監測指揮中心，見圖2。

圖2綜合安全態勢分析

聯動防御安全感知平臺本是旁路部署方式，并不具備防御能力。因此，需要各安全設備協同響應的安全聯動防御能力，讓安全感知平臺通過聯動具備防御能力或網絡隔離能力的設備以實現主動防御的能力。

通過打造三級協同聯動的響應機制，讓安全感知平臺成為智慧的安全大腦，精準分析全網未知威脅和針對性攻擊，利用協同聯動實現針對性加固防御和精準打擊，讓全網安全建設具備主動防御的能力。①一鍵阻斷：通過聯動防御設備來實現一鍵封堵威脅攻擊源，或阻斷與病木馬通信。具體方式包括：聯動封鎖：通過聯動內網準入系統完成。以IP+端口+封鎖時長形式進行所有協議/流量的封鎖。ACL策略封鎖：聯動聯動內網準入系統完成。提供基于ACL規則策略配置方式，執行精細化的防御，可細化到五元組+具體應用等。②凍結外網訪問：聯動上網行為管理完成。基于用戶認證場景，阻止風險主機進行上網，避免威脅擴散或發生對外威脅，影響單位信譽。在風險用戶上網時彈出自定義網頁，提醒其感染的威脅信息并提供詳細處置指引，簡化IT運維工作，實現多用戶下的自動化運維。③端點查殺：聯動EDR端點安全產品。對威脅主機進行聯動EDR查殺來形成閉環，對未知的可疑行為通過EDR的終端日志、進程信息采集相結合進行威脅追捕和進程文件定位。

效果

貴港市人民醫院的局域網防護體系經過上述方案部署整改后，實現了精準預防與威脅處置，所有經過核心交換機的網絡行為都會被記錄分析，第一時間在感知平臺上給出威脅程度判斷，在可視大屏或郵件及時告警，并與邊界防火墻和終端EDR系統良好聯動，自動阻斷外部非法訪問和攻擊，在內部能及時清理染終端甚至阻斷其網絡訪問防止病擴散，在一年的實際工作和最近開展的2020護網演練中取得了較為滿意的效果。

結論

隨著醫院對網絡安全環境要求越來越高，自身面臨的內外部安全威脅日益顯現，本文從工作實踐總結出目前較為適合醫院局域網環境的主動安全運維模式，對態勢感知平臺從發現隱患，聯動威脅處置、提高安全運維效率等方面進行全方位闡述，以期為相關工作提供參考。

戳這里！

Tags：EDRAPT比特幣EDR幣EDR價格APT價格APT幣比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢

火必