高级持续性威胁(Advanced Persistent Threat,简称APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。
传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。
从传统安全防御体系的设备和产品可以看到,这些产品遍布网络2 ~ 7层的数据分析,其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。
以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等)缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力。在安全形势极不乐观环境下,如何摆脱传统思路,寻求精确的APT攻击检测方法是亟需解决的问题。
虎特ThreatEye高级威胁检测系统是一款基于网络流量数据检测,结合威胁情报以及大数据分析技术,用来发现、定位和分析网络当中APT攻击的产品。通过旁路镜像的方式将网络中的流量数据进行归一化处理和存储,准确发现包括APT在内的各类高级威胁事件,提升用户精准发现威胁和溯源分析的能力。
全流量采集和分析有效提升威胁溯源能力
通过旁路部署的方式,将网络流量进行集中存储和还原分析,全面记录网络运行状况。
引入动态沙箱技术增强未知恶意软件发现能力
针对未知的恶意软件和大量的恶意软件变种,引入了动态沙箱技术,通过构造仿真的环境来引爆恶意软件。并且支持与卡巴斯基终极版沙箱深度整合,增强产品在未知恶意软件发现方面的能力。
失陷确定性与告警关联分析检测预警
更清晰的了解网内安全风险,更准确的进行威胁追查与处置。针对产生告警自动关联一定时间段内主机登录等危险行为日志便于溯源分析。并且高亮告警对应的攻击阶段。方便用户更直观的了解网内主机受攻击的阶段,针对性的采取处置措施。
使用威胁情报来提升APT攻击检测能力
利用威胁情报丰富的上下文信息和攻击指标信息对当前网络流量进行匹配,有效发现未知恶意软件,未知漏洞利用等情况,进而实现对APT攻击的检测。
威胁可视化的应用降低安全事件响应和处置难度
将安全事件以及告警通过可视化的方式进行直观展现,实现对威胁的快速定位和快速处置,降低安全事件响应和处置难度。并支持邮件、短信、钉钉以及平台自身的消息中心通知的功能。
工单管理功能有利于威胁处置流程的跟踪记录
流程化工单管理通过对与威胁告警相关的工单流转状态及处置进展进行跟踪,有利于威胁处置工作的分配、记录以及威胁处置经验的沉淀。
通过使用虎特ThreatEye高级威胁检测系统给用户带来以下价值:
实现了对全网流量的采集和分析,为威胁发现和追踪溯源提供了数据支撑
帮助用户解决了未知威胁带来的安全隐患,有效防御APT攻击
通过威胁可视化的方式,提升了用户安全事件响应和处置的能力
通过关联分析和可视化展示,为用户提供了当前网络安全态势情况
通过对威胁处置流程的跟踪记录,有利于威胁处置经验的积累与沉淀