一号站娱乐登录

 

 产品渊源:

 概述

随着网络与信息技术的发展,业务对信息和网络的逐渐依赖对社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不断提升。网络安全事件的发展显示,骇客正在使用越来越精密且有效率的方式来进行攻击。

APT攻击在21世纪开始蓬勃发展起来,有重要信息资产的部门都成为APT指向的目标。2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击,Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取,其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。APT攻击已成为最具威胁性的信息安全攻击手段。

 网络安全面临变革

伴随着APT攻击造成的重大损失的同时,是传统安全监测与防御手段针对APT攻击的无能为力。从国家级的核设施网络到美国NASA,从世界互联网巨头GOOGLE到安全公司翘楚RSA,无一不是APT攻击的受害者。如果说他们的安全做的不好,那世界上又有几家能说比他们的安全做的更好呢?APT剑指之下,没有哪个部门能幸免。试想一下,当攻击者可以肆意进出和控制军事指挥系统、核系统、能源系统、交通指挥系统、金融系统,那么除了信息的安全,我们实体的财产与生命安全,也将变得无比脆弱。在传统的企业安全防御系统中,IDS、IPS、防火墙、安全网关等安全产品并非针对APT的检测、防护而生。所以,原有的防护系统在APT攻击面前起到的作用非常之小。如何在新旧技术交叠应用的变革过程中,更有效地检测和防御系统网络面临的安全问题,已成为各方关注的重点。

 什么是APT攻击

APT攻击是指融合情报、黑客技术、社会工程等各种手段,针对有价值的信息资产或通过IT系统控制的重要系统,发起复杂而专业的攻击。由于IT系统复杂性,目前还没有很好的检测措施完全发现IT产品中的后门、漏洞以及应用运行时的可信性。

APT攻击从渗透进内网到窃取高价值信息,是一种多阶段多维度的过程。攻击者通过混合了基于网页、邮件和文档的多种攻击技术,让APT攻击变得难以感知。整个APT攻击过程可归纳为情报收集阶段、攻击阶段、控制阶段和内部扩散阶段四个阶段,下图为APT攻击流程示意图:

目前我们仍在使用 的Firewall、IPS、IDS、AV、上网行为管理、DLP都不具备相应的能力可以检测到利用了0DAY、变形木马的APT攻击,存在着“未知攻,焉知防”的尴尬。APT攻击之所以能无往而不利,因为传统的安全技术主要是依靠静态签名或者是基于特征匹配的检测原理。我们来看看APT是如何对抗传统安全技术:

(1)防火墙:防火墙通常允许HTTP流量,下一代防火墙强调了对用户和应用程序的控制。下一代防火墙虽然包含了IPS、AV、应用控制、流量控制等新功能,但依然使用的是传统的安全检测引擎,所以仍然无法使得防火墙具备检测APT攻击的能力。

(2)IDS、IPS:基于静态签名的检测、包检査、DNS分析依然对使用0DAY漏洞利用技术的APT攻击是无感知的。

(3)反垃圾邮件:钓鱼网站经常使用动态域名和URL,而反垃圾邮件的黒名单的更新往往是滞后,有数据显示钓鱼网站被关闭前平均能存活26个小时。

(4)杀毒软件和防毒墙:因为恶意程序、漏洞是未知的,网站本身有好的信誉,杀软和防毒墙不会对它们采取任何措施。

(5)上网行为管理:大多数出网过滤名单禁止的是成人和游戏网站,对其他类型网站很 少限制。另外动态URL、黑客自己建立的合法网站使得静态的URL过滤列表失去作用。

(6)DLP (数据防泄漏):DLP关心的是用户个人信息,比如密码、银行帐号等私密信息,但黒客在窃取信息后通常会做压缩和加密操作,然后再通过隐蔽信道发送出去,这些技 术手段都是DLP的检测机制无法感知的。

 需要什么样的网络安全威胁与防御产品

1.全方位的APT攻击检测

2.深度分析已知漏洞攻击和0day攻击

3.web、邮件、文件检测系统

4.关联分析能力强,快速识别APT攻击行为

5.直观展现APT攻击路径,安全威胁可视化

 产品介绍:

 概述

APT攻击本身具有复杂性、隐蔽性、持续性等特点,这些特点导致了现有安全防御体系 在技术层面的对抗上就存在天然的缺陷,并且由于对APT攻击的认知不足,加剧了攻防之间的差距。一号站娱乐登录安全威胁检测与防御系统是一号站娱乐登录对信息安全十余年研究积累基础上,在针对APT攻击的这些特点深入研究后,投入巨资研发推出的、拥有自主知识产权的安全产品。

 设计理念

针对新一代的网络威胁的特点与特殊要求,安全威胁检测与防御系统基于如下理念而设计: 安全威胁检测与防御系统设计目标旨在适应攻防的最新发展,准确监测网络异常流量,第一时间将安全威胁阻隔在企业网络外部。该产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,是对现有安全防御体系的很好补充。

APT攻击存在一个完整的生命周期,安全威胁检测与防御系统针对其整个生命周期里必须使用的技术点进行监控,提供了全方位的未知威胁分析:深度分析已知漏洞攻击和0day攻击,帮助用户发现真正的黑客攻击;通过web、邮件、文件检测系统的配合检测,全方位的发现APT攻击;关联分析能力强,快速识别APT攻击行为;直观展现APT攻击路径,安全威胁可视化。

同时,一号站娱乐登录提供高级分析服务,对于用户无法确定的攻击行为和攻击样本,可提供高级技术支持,协助用户对攻击进行分析,用以对抗高技术的黑客。

 技术优势

1)智能协议深度识别和分析

协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙,通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议。

但是,事实上,协议与端口是完全无关的两个概念,我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序,以及P2P应用、IMS、网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的检测和控制。

系统采用独有的智能协议深度识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,能够在完全不需要管理员参与的情况下,高速、准确地检测出通过动态端口实施的恶意入侵,可以准确发现绑定在任意端口的各种木马、后门。

2)证据关联分析

利用对多种网络数据的智能协议深度解析和处理引擎,解读流量数据,不断跟踪、记录网络中的网络行为和事件,建立日常行为基准,形成独有的证据库。

通过对证据库进行大数据挖掘分析的基础上,匹配ARTsmart攻击链库,能够将事件从多角度进行智能关联分析,追踪源头,找出隐秘异常行为,发现安全威胁。用户可以通过上钻、下钻操作方式多角度了解攻击事件的流程,及时发现网络中的恶意行为、漏洞、以及攻击等安全隐患,将APT攻击消灭在萌芽期。

 产品主要功能介绍

1)维修检测功能

全方面的检测机制:从已知签名检测、无签名的深度内容检测、动态行为检测及事件关联分析等维度,对各类威胁进行深度检测并在漏洞利用、后门植入、窃密等攻击环节上形成纵深立体的检测体系。

全面覆盖威胁载体:拥有最新、最全的漏洞特征库,并采用第二代VM虚拟引擎技术,能够准确的检测出利用0Day和NDay漏洞攻击行为。

安全漏洞检测:针对网络中的URL、文档文件、可执行程序、邮件、网络通道、流量等威胁载体进行检 测,全面阻击APT可能存在的载体。

强大的入侵规则库:产品拥有强大的入侵检测规则库,十大类的规则分类包含超过40000条的规则,能够覆盖常用的攻击方法和漏洞,具有清晰明了的攻击划分和描述,能够识别各种黑客攻击或入侵的方法和手段,如扫描、后门、恶意代码、拒绝服务等。

热点攻击地图:系统为用户提供攻击事件的地理位置视图,全方位、快速、可视化的动态展示攻击事件的信息,帮助用户了解自身网络状态。

多种部署模式:系统提供了各种规模的系统全面检测功能,能够在一套解决方案中支持众多环境和众多协议的检测,通过网络旁路监听的方式接入网络,通过在核心交换机上设置端口镜像模式,使安全检测引擎能够监听到所有用户通过交换机进行通讯的所有操作。在实现监控检测功能的同时,完全不改变用户的网络环境,避免设备对用户网络造成中断的风险。用户可以根据需要将安全威胁检测与防御系统引擎安放在网络的不同位置,其典型的安装方式有: ① 监控、检测内部网络中所有的网络连接和攻击行为。 ② 多路监控和检测外网对内网所做的攻击。

2)威胁管理功能

关联事件告警管理:事件查看提供了关联攻击事件的完整信息:攻击发生时间范围、事件名称、事件类别、关键IP、关联证据数、持续时间、攻击结果等。

多维度证据展示与统计:提供多维度证据展示与统计,包括证据分类、分层统计以及基于线性矩阵视角的敏感时段分割展示。

安全分析报告:系统定期自动生成安全分析报告,提供最近一周或最近一月时间范围内的监控记录分析以及结论,形成系统告警分析报告,以供分析了解网络安全状况。同时,报告支持WORD、HTML、PDF格式导出,方便用户离线查看或进行打印汇报。

丰富的响应方式:提供丰富的响应方式,包括:邮件报警、界面显示、日志数据库记录、windows消息、网关联动等,同时提供标准 syslog接口,可接受第三方管理平台的安全事件集中监控、报告和管理。

高级人工分析:为解决用户“设备报了警后,如何判断是真假?无法确定的攻击行为或样本? ”等问题, 安全威胁检测与防御系统提供高级分析服务,利用一号站娱乐登录专家团队,协助用户对攻击进行分析,确认样本的真实危害性,大大减轻用户的运维压力。

 产品应用:

 部署方式

系统提供了各种规模的系统全面检测功能,能够在一套解决方案中支持众多环境和众多协议的检测,通过网络旁路监听的方式接入网络,通过在核心交换机上设置端口镜像模式,使安全检测引擎能够监听到所有用户通过交换机进行通讯的所有操作。在实现监控检测功能的同时,完全不改变用户的网络环境,避免设备对用户网络造成中断的风险。用户可以根据需要将安全威胁检测与防御系统引擎安放在网络的不同位置,其典型的安装方式有: ① 监控、检测内部网络中所有的网络连接和攻击行为。 ② 多路监控和检测外网对内网所做的攻击。

 监控、检测内部网络中所有的网络连接和攻击行为

 多路监控和检测外网对内网所做的攻击

 用户价值

安全威胁检测与防御系统能全面感知APT攻击行为(如 0 DAY漏洞攻击、高级木马、隐蔽信道),将威胁行为可视化动态展示。通过对证据库进行大数据挖掘分析的基础上,匹配ARTsmart攻击链库,能够将事件从多角度进行智能关联分析,追踪源头,找出隐秘异常行为,发现安全威胁,及时发现网络中的恶意行为、漏洞、以及攻击等安全隐患,将APT攻击消灭在萌芽期。

一号站娱乐登录

Fujian Ctrust Information Corporation, All Rights Reserved.闽ICP备17032026号