業務挑戰

網絡安全事件的發展顯示,黑客正在使用越來越精密且有效率的方式來進行攻擊。在金融行業,很多APT攻擊都是通過魚叉式釣魚郵件或者水坑式攻擊的方式,利用高級惡意軟件去攻擊終端主機,以進入組織的內部網絡,進行偷竊或破壞。這種高級攻擊通常采用多種逃避檢測技術,主要針對特定目標,經常利用零日漏洞,因此傳統安全產品很難及時發現它們。

如果不能有效的抵御這些高級惡意軟件,就會面臨以下風險:

? 競爭力受損:攻擊者有可能盜竊商業機密、客戶記錄等業務資料,也有可能竊取知識產權信息,這些數據的曝光或者被競爭對手掌握,都可能嚴重損害競爭力。

? 聲譽受損:客戶和合作伙伴的信任是市場成功的關鍵,被曝光的安全事件、泄露客戶個人資料以及成為攻擊跳板都可能迅速的破壞這種信任關系。

解決方案

金融行業未知威脅感知解決方案基于奇安信自有的多維度海量互聯網數據,匯集流量傳感器、多引擎沙箱檢測文件威脅鑒定器、郵件告警、防火墻、云鎖等多種告警數據,進行自動化挖掘與云端關聯分析,提前洞悉各種安全威脅,向金融客戶推送定制專屬安全威脅情報,幫助金融客戶對未知威脅的惡意行為實現早期快速發現,對受害目標及攻擊源頭進行精準定位,最終達到對入侵途徑及攻擊者背景的研判與溯源。而且,方案支持運用奇安信自研的SOAR編排技術,實現對確定的威脅進行多種類型的響應處置,實現監測預警、威脅檢測、溯源分析和響應處置一體化安全目標。

1.云端威脅情報

奇安信公司依托于云端的海量數據,通過基于人工智能自學習的自動化數據處理技術,依靠奇安信高水平安全研究實驗室,為未知威脅的最終確認提供專業高水平的技術支撐,所有大數據分析出的未知威脅都會通過專業的人員進行人工干預,做到精細分析,確認攻擊手段、攻擊對象以及攻擊的目的,通過人工智能結合大數據知識以及攻擊者的多個維度特征,還原出攻擊者的全貌,包括程序形態,不同編碼風格和不同攻擊原理的同源木馬程序,惡意服務器(C&C)等。通過全貌特征‘跟蹤’攻擊者,持續的發現未知威脅,最終確保發現的未知威脅的準確性,并生成了可供天眼系統使用的威脅情報。

2.流量傳感器-全流量威脅檢測

天眼傳感器主要負責對網絡流量的鏡像流量進行采集并還原,還原后的流量日志會加密傳輸給天眼分析平臺,流量鏡像中的PE和非PE文件還原后則加密傳輸給天眼文件威脅鑒定器進行檢測。天眼傳感器通過對網絡流量進行解碼還原出真實流量,提取網絡層、傳輸層和應用層的頭部信息,甚至是重要負載信息,這些信息將通過加密通道傳送到分析平臺進行統一處理。傳感器中應用的自主知識產權的協議分析模塊,可以在IPv4/IPv6網絡環境下,支持 HTTP(網頁)、SMTP/POP3(郵件)等主流協議的高性能分析。同時,天眼傳感器內置的威脅檢測引擎,可檢測多種網絡協議中的攻擊行為,提供網頁漏洞利用、webshell上傳、網絡攻擊、威脅情報多種維度的告警展示,可檢測如網絡應用、木馬、廣告、exploit等多種網絡攻擊行為,也可檢測如sql注入、跨站、webshell、命令執行、文件包含等多種web攻擊行為,內置的webshell沙箱和webshell機器學習模塊可以精準檢測php、asp、jsp等后門并記錄相關信息,擁有威脅情報實時匹配能力,能發現惡意軟件、APT事件等威脅,產生的多種告警都會加密,并傳輸給天眼分析平臺進行統一分析管理。

3.文件威脅鑒定器-文件威脅檢測

天眼文件威脅鑒定器主要負責對傳感器、手動提交、FTP、SMB、URL等多數據來源通道的樣本進行檢測。整個檢測過程中文件進行威脅情報匹配、沙箱檢測、靜態檢測與動態檢測等多種檢測,及時發現有惡意行為的文件并告警,告警日志可傳給天眼分析平臺供統一分析。天眼通過文件威脅鑒定器對文件進行高級威脅檢測,文件威脅鑒定器可以接收還原自傳感器的大量PE和非PE文件,使用靜態檢測、動態檢測、沙箱檢測等一系列無簽名檢測方式發現傳統安全設備無法發現的高級威脅,并將威脅相關情況以報告行為提供給企業安全管理人員。天眼文件威脅鑒定器上的相關告警也可發送至分析平臺實現告警的統一管理和后續的進一步分析。

4.威脅感知平臺-威脅分析和回溯

天眼威脅分析平臺用于存儲傳感器提交的流量日志、告警日志以及文件威脅鑒定器提交的告警日志。其次天眼分析平臺不僅可對所有數據進行快速的處理并為檢索提供支持,還能將存儲的日志與威脅情報進行碰撞以及進行日志關聯性分析產生告警展示威脅態勢,此外天眼分析平臺支持對告警進行深度分析,支持以告警字段進行狩獵分析及可視化展示,以攻擊鏈的視角還原告警中的受害主機被攻擊的整個過程。分析平臺承擔對所有數據進行存儲、預處理和檢索的工作。由于傳統關系型數據庫在面對大量數據存儲時經常出現性能不足導致查詢相關數據緩慢,天眼分析平臺底層的數據檢索模塊采用了分布式計算和搜索引擎技術對所有數據進行處理,可通過多臺設備建立集群以保證存儲空間和計算能力的供應。結合全包存儲系統,分析平臺可以實現針對精確告警的全包取證分析和自定義數據包分析能力。

客戶價值

1.提升網絡資產威脅檢測能力

2.提升未知威脅定位和溯源能力

3.提升快速響應處置的能力

方案優勢

1.使用互聯網數據發掘APT攻擊線索,提升金融企業對威脅看見的能力。

2.以威脅情報形式打通攻擊定位、溯源與阻斷多個工作環節,幫助金融企業從源頭上解決安全問題。

3.對告警進行深度分析,以攻擊鏈的視角重現攻擊過程。

4.結合業務對原始日志進行自動化深度分析,幫助金融企業發現可疑行為。

5.分級部署,對告警進行統一管理和分析。

6.高效的快速搜索技術,幫助金融企業提升數據查找的能力。

7.基于大數據挖掘分析的惡意代碼智能檢測技術,提升了金融企業檢測惡意代碼的能力。

8.基于輕量級沙箱的未知漏洞攻擊檢測技術,提升了金融企業檢測未知漏洞的能力。