首頁 > 企業動態 > 公司新聞 > 威脅情報驅動:威脅無處躲 “天眼”看得見

威脅情報驅動:威脅無處躲 “天眼”看得見

釋出日期:2018-12-06 作者:奇安信

分享到:

有人説,從前的網絡空間裏,黑白之間涇渭分明,肉眼可見,我們只需要告訴機器什麼是黑,什麼是白;但現在的網絡空間裏,黑白之間盤根錯節、星羅棋佈,甚至形成了大片的灰色地帶。網絡威脅就躲在其中,蠢蠢欲動。

洞悉網絡空間的“眼睛”

從防火牆這類邊界設備誕生之日開始,它們就從來沒有停止過與外部威脅的鬥爭。一邊絞盡腦汁希望繞過它們直取目標“首級”,另一邊想方設法把威脅攔在外邊,不得動彈。能看到的是,這場戰鬥還將持續下去,此消彼長。

但俗話説“不怕賊偷,就怕賊惦記”。面對無論怎樣高明的邊界防禦能力,狡詐的黑客總能找到辦法繞過大家心中的“馬奇諾防線”,並且在得手後全身而退。這裏可以引用電影《地道戰》裏的一句經典台詞來形容攻擊者的攻擊狀態:你打我時,讓你打不到、摸不着;我打你時,就要打準你,吃掉你。

於是大家很快意識到,邊界只是網絡安全的第一道關卡,單單依靠圍堵是遠遠不夠的。在圍牆式的防禦體系裏,攻擊者一旦採用0day、免殺等手段繞過邊界防禦後,就如入無人之境,沒人知道威脅到底在哪裏,做了哪些壞事兒。面對這樣情況,受害者肯定特別希望能有一雙洞悉一切的“天眼”,讓威脅無所遁形。

幸運的是,這雙“天眼”被奇安信拿了出來。天眼新一代威脅感知系統可對本地流量進行全量還原、存儲與深度分析,同時結合威脅情報、規則引擎、場景化分析、機器學習和沙箱檢測,從多個維度來發現高級威脅事件,並且以攻擊鏈的視角重現整個攻擊過程,從而為客户提供圍繞高級威脅的檢測、溯源和響應的完整解決方案。

看清那些原來看不到的未知威脅,這正是天眼的特點。

威脅情報+聯動防禦

當然,一片“葉子”上的威脅感知,必須要藉助針對整個“森林”的威脅研究。對於一個機構而言,想要在入侵早期就把威脅抓住,必須得藉助互聯網大數據的力量。顯而易見的是,威脅情報至關重要。

補天威脅情報中心可以將所有與攻擊相關的信息,如攻擊團體,惡意域名,受害者IP,惡意文件MD5等相關信息彙總,按照標準格式封裝成威脅情報並通過加密通道統一下發到天眼系統內。鑑於威脅情報有着特別強的行業屬性,天眼可以為客户提供定製化的專屬威脅情報服務。

威脅情報做為天眼整個方案的核心內容承擔了連接互聯網信息和企業本地信息的重要作用,為APT事件在企業側的最終定位提供了數據線索和定位依據。在這樣一個過程中,威脅情報能夠起到兩個非常重要的作用:

第一,快速定位。天眼可以將來自補天威脅情報中心的威脅情報,與檢測到的特定事件或者異常行為進行關聯分析和數據挖掘,並且規則關聯引擎+人工智能引擎+虛擬執行檢測引擎的多引擎檢測架構,從而快速對事件定性,並且鎖定失陷主機、遠控木馬或者其他潛在的威脅。

第二,精準溯源。當天眼發現威脅後,安全人員可以利用本地全量的網絡和主機行為日誌,並且結合威脅情報進行深入的調查,並且利用搜索、統計、可視化關聯等方法和技術,為企業客户呈現一次攻擊的完整過程,覆蓋攻擊的源頭、手段、目標、範圍等相關信息。

舉個簡單的例子。假設一家店裏的攝像頭髮現一個人在顧客當中東張西望、鬼鬼祟祟,同時你通過新聞得知,穿這種衣服的可能是某盜竊團伙中的一員,並且專挑年輕女性下手。這時候,你就可以偷偷安排保安針對年輕女性進行特別保護,一旦發現小偷下手就可以當場抓獲。

攝像頭(天眼)發現異常,結合新聞(威脅情報)上下文信息,這家店挽回了一筆可能發生的損失。

另外,威脅情報在天眼系統中還有一項非常重要的作用。大家都知道,傳統的防護體系在多台設備間進行聯動往往需要通過特別開發的接口對一種或幾種特殊類別的告警或信息進行分發和通知,這種設計往往會制約多種不同設備或系統之間的信息傳遞。

同時由於對消息接口缺乏一個系統化、規範化的描述,很難對複雜的攻擊行為進行準確定義。天眼的一大創新點在於用威脅情報的形式對各種攻擊中常出現的特點和背景信息進行記錄和傳輸,而威脅情報將通過統一的規範化格式將攻擊中出現的多種攻擊特徵進行標準化,可滿足未來擴展攻擊特徵以及後續擴展聯動設備的需要。

銀行業客户實踐

在天眼服務過的各行各業中,金融行業由於其高價值的特性,往往成為網絡攻擊的重點目標。伴隨着互聯網業務的發展,銀行等傳統金融機構同樣在大力發展電商、網銀、在線理財等互聯網金融業務。與此同時,其受攻擊面也大大增加。

例如,國內某商業銀行已經通過部署專業的防火牆、IPS、防病毒軟件、終端安全軟件等安全防護手段,能夠針對主流威脅實現防護。然而基於特徵檢測的傳統安全防禦手段只能識別已知威脅,卻難以防範以APT為代表的高級威脅,並且難以解決防禦設備的誤報和聯動防禦的問題。

部署天眼後,可以採集企業網絡流量、終端日誌等全量數據,並結合定製化的威脅情報上下文,對特定事件進行關聯分析,有效幫助該銀行解決了高級威脅檢測和誤報率高的問題。同時,天眼通過網絡流量取證可以還原威脅在本地的歷史行為,可清晰的給安全管理人員呈現APT攻擊的完整流程。

從2013年推出至今,天眼服務客户近千家,在公檢法、金融、政府部委、運營商、石油石化、電力、教育、醫療等行業都具有成功案例,累計成功幫助客户發現和處置超過百餘起APT攻擊事件,包括海蓮花、摩訶草、蔓靈花、黃金鼠等等。