自2010年攻擊伊朗核電站的“震網病毒”、針對Google郵件服務器的“極光攻擊”、2013年韓國金融和電視媒體網絡被大面積入侵而癱瘓等爆出以來,具備國家和組織背景的APT攻擊日益增多。運營商作為通信類關鍵信息基礎設施,彙集了大量的客户信息,在進行數字化轉型、政企業務拓展過程中,更是與其它行業產生了大量交集,因此成為APT攻擊的主要目標。
目前,運營商組織中均設立網絡與信息安全相關部門,並在網絡中的不同位置部署了大量安全設備,但關鍵信息基礎設施和重要數據仍然面臨着各種安全風險。由於缺乏必要的威脅感知能力,運營商很難及時發現潛藏在網絡中的安全威脅,對惡意行為無法實現早期快速發現,對受害目標及攻擊源頭無法進行精準定位,對入侵途徑及攻擊者背景的研判與溯源更是無從談起。
奇安信運營商威脅態勢感知解決方案通過構建基於全流量與沙箱檢測技術的威脅監測、預警、處置響應及溯源平台,幫助運營商提升對網絡與系統重要出入口、高風險網絡節點的監控能力,對有組織網絡攻擊、未知威脅、0Day、隱蔽隧道等高級安全事件的發現能力,對已失陷系統的發現與溯源處置能力,使運營商能夠有效應對網絡空間安全壓力、實戰化安全攻防壓力和重大安全保障壓力。
1.方案架構
奇安信新一代威脅態勢感知系統(天眼)基於奇安信自有的多維度海量互聯網數據,進行自動化挖掘與雲端關聯分析,提前洞悉各種安全威脅,並向客户推送定製的專屬威脅情報。同時結合部署在客户本地的軟、硬件設備,天眼能夠對未知威脅的惡意行為實現早期的快速發現,並可對受害目標及攻擊源頭進行精準定位,最終達到對入侵途徑及攻擊者背景的研判與溯源。奇安信新一代威脅態勢感知系統(天眼)主要包括威脅情報、分析平台、流量傳感器和文件威脅鑑定器四個模塊。
奇安信集團面向運營商的安全監測體系具有資源充足、調度迅速的特點,近年來在護網、重大安全保障等嚴苛的任務中形成了具有行業屬性的最佳實踐與專業隊伍。安全服務內容全面,不僅能應用運營商自身新技術新業務的發展,還能夠在運營商能力外化過程中,協助運營商在政企業領域、等保合規領域開展安全服務。
2.威脅情報
威脅情報來自奇安信雲端的分析成果,可對APT攻擊、新型木馬、特種免殺木馬進行規則化描述。
3.分析平台
分析平台用於存儲傳感器提交的流量日誌和文件威脅鑑定器提交的告警日誌,可對所有數據進行快速處理,併為檢索提供支持,還可以與威脅情報或其他告警進行關聯,幫助進一步分析,對攻擊進行準確回溯定位。
4.流量傳感器
流量傳感器主要負責對網絡流量的鏡像文件進行採集並還原,還原後的流量日誌會加密傳輸給分析平台,流量鏡像中的PE和非PE文件還原後則加密傳輸給文件威脅鑑定器進行檢測。傳感器通過對網絡流量進行解碼還原出真實流量,提取網絡層、傳輸層和應用層的頭部信息,甚至是重要負載信息,這些信息將通過加密通道傳送到分析平台進行統一處理。傳感器中應用的自主知識產權的協議分析模塊,可以在IPv4/IPv6網絡環境下,支持 HTTP (網頁)、SMTP/POP3(郵件)等主流協議的高性能分析。
5.文件威脅鑑定器
文件威脅鑑定器主要負責對傳感器還原後的文件進行沙箱檢測、靜態檢測與動態檢測等多種檢測,及時發現有惡意行為的文件並告警,告警日誌可傳給威脅態勢感知分析平台供統一分析。IPv4/IPv6網絡環境下,支持 HTTP (網頁)、SMTP/POP3(郵件)等主流協議的高性能分析。
6.產品模塊間數據流程描述
傳感器對企業網內部的重要網絡流量的鏡像文件進行抓取並全量還原,還原後的流量日誌由威脅態勢感知傳感器加密傳輸給威脅態勢感知分析平台,流量鏡像中的PE和非PE文件還原後則加密傳輸給文件威脅鑑定器。文件威脅鑑定器對威脅態勢感知傳感器傳輸過來的PE和非PE文件進行沙箱檢測、靜態檢測和動態檢測等,以發現其中具有惡意行為的文件。當發現具有惡意行為的文件後,文件威脅鑑定器會產生告警,並將告警日誌加密傳輸給分析平台。分析平台存儲威脅態勢感知傳感器傳輸過來的日誌文件和文件威脅鑑定器傳輸過來的告警日誌,結合雲端單向導入的威脅情報進行自動化匹配,及時發現內網的攻擊行為並告警。
7.部署方案
本方案的關鍵部署因素為天眼傳感器的位置,可以部署於運營商網絡與系統重要出入口、高風險網絡節點。
• 依託互聯網數據發掘APT攻擊線索,提升威脅發現能力。
• 以威脅情報形式打通攻擊定位、溯源與阻斷多個工作環節,從源頭上解決安全問題。
• 高效的快速搜索技術,提升數據查找的能力。
• 基於大數據挖掘分析的惡意代碼智能檢測技術,提升惡意代碼檢測能力。
• 基於輕量級沙箱的未知漏洞攻擊檢測技術,提升未知漏洞檢測能力。
• 專業的專家運營團隊,全天候為客户保駕護航。
1.效果顯著
基於APT產品的HW,2019年收到27個單位的感謝信,並被廣東省、新疆、內蒙古、青海等授予2019HW優秀支撐單位,被中國移動授予2019HW精英團稱號。
2.技術精湛
豐富的威脅情報、全面的威脅發現、動靜態結合的文件檢測、精準的威脅事件檢測、完整的威脅事件溯源、完善的行為分析模型、精湛的ATT&CK技術應用、全貌的閉環聯動處置、實戰化威脅運營等。