业务挑战

網絡安全事件的發展顯示,黑客正在使用越來越精密且有效率的方式來進行攻擊。在金融行業,很多APT攻擊都是通過魚叉式釣魚郵件或者水坑式攻擊的方式,利用高級惡意軟件去攻擊終端主機,以進入組織的內部網絡,進行偷竊或破壞。這種高級攻擊通常採用多種逃避檢測技術,主要針對特定目標,經常利用零日漏洞,因此傳統安全產品很難及時發現它們。

如果不能有效的抵禦這些高級惡意軟件,就會面臨以下風險:

• 競爭力受損:攻擊者有可能盜竊商業機密、客户記錄等業務資料,也有可能竊取知識產權信息,這些數據的曝光或者被競爭對手掌握,都可能嚴重損害競爭力。

• 聲譽受損:客户和合作夥伴的信任是市場成功的關鍵,被曝光的安全事件、泄露客户個人資料以及成為攻擊跳板都可能迅速的破壞這種信任關係。

解决方案

金融行業未知威脅感知解決方案基於奇安信自有的多維度海量互聯網數據,彙集流量傳感器、多引擎沙箱檢測文件威脅鑑定器、郵件告警、防火牆、雲鎖等多種告警數據,進行自動化挖掘與雲端關聯分析,提前洞悉各種安全威脅,向金融客户推送定製專屬安全威脅情報,幫助金融客户對未知威脅的惡意行為實現早期快速發現,對受害目標及攻擊源頭進行精準定位,最終達到對入侵途徑及攻擊者背景的研判與溯源。而且,方案支持運用奇安信自研的SOAR編排技術,實現對確定的威脅進行多種類型的響應處置,實現監測預警、威脅檢測、溯源分析和響應處置一體化安全目標。

1.雲端威脅情報

奇安信公司依託於雲端的海量數據,通過基於人工智能自學習的自動化數據處理技術,依靠奇安信高水平安全研究實驗室,為未知威脅的最終確認提供專業高水平的技術支撐,所有大數據分析出的未知威脅都會通過專業的人員進行人工干預,做到精細分析,確認攻擊手段、攻擊對象以及攻擊的目的,通過人工智能結合大數據知識以及攻擊者的多個維度特徵,還原出攻擊者的全貌,包括程序形態,不同編碼風格和不同攻擊原理的同源木馬程序,惡意服務器(C&C)等。通過全貌特徵‘跟蹤’攻擊者,持續的發現未知威脅,最終確保發現的未知威脅的準確性,並生成了可供天眼系統使用的威脅情報。

2.流量傳感器-全流量威脅檢測

天眼傳感器主要負責對網絡流量的鏡像流量進行採集並還原,還原後的流量日誌會加密傳輸給天眼分析平台,流量鏡像中的PE和非PE文件還原後則加密傳輸給天眼文件威脅鑑定器進行檢測。天眼傳感器通過對網絡流量進行解碼還原出真實流量,提取網絡層、傳輸層和應用層的頭部信息,甚至是重要負載信息,這些信息將通過加密通道傳送到分析平台進行統一處理。傳感器中應用的自主知識產權的協議分析模塊,可以在IPv4/IPv6網絡環境下,支持 HTTP(網頁)、SMTP/POP3(郵件)等主流協議的高性能分析。同時,天眼傳感器內置的威脅檢測引擎,可檢測多種網絡協議中的攻擊行為,提供網頁漏洞利用、webshell上傳、網絡攻擊、威脅情報多種維度的告警展示,可檢測如網絡應用、木馬、廣告、exploit等多種網絡攻擊行為,也可檢測如sql注入、跨站、webshell、命令執行、文件包含等多種web攻擊行為,內置的webshell沙箱和webshell機器學習模塊可以精準檢測php、asp、jsp等後門並記錄相關信息,擁有威脅情報實時匹配能力,能發現惡意軟件、APT事件等威脅,產生的多種告警都會加密,並傳輸給天眼分析平台進行統一分析管理。

3.文件威脅鑑定器-文件威脅檢測

天眼文件威脅鑑定器主要負責對傳感器、手動提交、FTP、SMB、URL等多數據來源通道的樣本進行檢測。整個檢測過程中文件進行威脅情報匹配、沙箱檢測、靜態檢測與動態檢測等多種檢測,及時發現有惡意行為的文件並告警,告警日誌可傳給天眼分析平台供統一分析。天眼通過文件威脅鑑定器對文件進行高級威脅檢測,文件威脅鑑定器可以接收還原自傳感器的大量PE和非PE文件,使用靜態檢測、動態檢測、沙箱檢測等一系列無簽名檢測方式發現傳統安全設備無法發現的高級威脅,並將威脅相關情況以報告行為提供給企業安全管理人員。天眼文件威脅鑑定器上的相關告警也可發送至分析平台實現告警的統一管理和後續的進一步分析。

4.威脅感知平台-威脅分析和回溯

天眼威脅分析平台用於存儲傳感器提交的流量日誌、告警日誌以及文件威脅鑑定器提交的告警日誌。其次天眼分析平台不僅可對所有數據進行快速的處理併為檢索提供支持,還能將存儲的日誌與威脅情報進行碰撞以及進行日誌關聯性分析產生告警展示威脅態勢,此外天眼分析平台支持對告警進行深度分析,支持以告警字段進行狩獵分析及可視化展示,以攻擊鏈的視角還原告警中的受害主機被攻擊的整個過程。分析平台承擔對所有數據進行存儲、預處理和檢索的工作。由於傳統關係型數據庫在面對大量數據存儲時經常出現性能不足導致查詢相關數據緩慢,天眼分析平台底層的數據檢索模塊採用了分佈式計算和搜索引擎技術對所有數據進行處理,可通過多台設備建立集羣以保證存儲空間和計算能力的供應。結合全包存儲系統,分析平台可以實現針對精確告警的全包取證分析和自定義數據包分析能力。

客户价值

1.提升網絡資產威脅檢測能力

2.提升未知威脅定位和溯源能力

3.提升快速響應處置的能力

方案优势

1.使用互聯網數據發掘APT攻擊線索,提升金融企業對威脅看見的能力。

2.以威脅情報形式打通攻擊定位、溯源與阻斷多個工作環節,幫助金融企業從源頭上解決安全問題。

3.對告警進行深度分析,以攻擊鏈的視角重現攻擊過程。

4.結合業務對原始日誌進行自動化深度分析,幫助金融企業發現可疑行為。

5.分級部署,對告警進行統一管理和分析。

6.高效的快速搜索技術,幫助金融企業提升數據查找的能力。

7.基於大數據挖掘分析的惡意代碼智能檢測技術,提升了金融企業檢測惡意代碼的能力。

8.基於輕量級沙箱的未知漏洞攻擊檢測技術,提升了金融企業檢測未知漏洞的能力。