业务挑战

网络安全事件的发展显示,黑客正在使用越来越精密且有效率的方式来进行攻击。在金融行业,很多APT攻击都是通过鱼叉式钓鱼邮件或者水坑式攻击的方式,利用高级恶意软件去攻击终端主机,以进入组织的内部网络,进行偷窃或破坏。这种高级攻击通常采用多种逃避检测技术,主要针对特定目标,经常利用零日漏洞,因此传统在线看片韩国免费人成视频很难及时发现它们。

如果不能有效的抵御这些高级恶意软件,就会面临以下风险:

• 竞争力受损:攻击者有可能盗窃商业机密、客户记录等业务资料,也有可能窃取知识产权信息,这些数据的曝光或者被竞争对手掌握,都可能严重损害竞争力。

• 声誉受损:客户和合作伙伴的信任是市场成功的关键,被曝光的安全事件、泄露客户个人资料以及成为攻击跳板都可能迅速的破坏这种信任关系。

解决方案

金融行业未知威胁感知解决方案基于奇安信自有的多维度海量互联网数据,汇集流量传感器、多引擎沙箱检测文件威胁鉴定器、邮件告警、防火墙、云锁等多种告警数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,向金融客户推送定制专属安全威胁情报,帮助金融客户对未知威胁的恶意行为实现早期快速发现,对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。而且,方案支持运用奇安信自研的SOAR编排技术,实现对确定的威胁进行多种类型的响应处置,实现监测预警、威胁检测、溯源分析和响应处置一体化安全目标。

1.云端威胁情报

奇安信公司依托于云端的海量数据,通过基于人工智能自学习的自动化数据处理技术,依靠奇安信高水平安全研究实验室,为未知威胁的最终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进行人工干预,做到精细分析,确认攻击手段、攻击对象以及攻击的目的,通过人工智能结合大数据知识以及攻击者的多个维度特征,还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等。通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供天眼系统使用的威胁情报。

2.流量传感器-全流量威胁检测

天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台,流量镜像中的PE和非PE文件还原后则加密传输给天眼文件威胁鉴定器进行检测。天眼传感器通过对网络流量进行解码还原出真实流量,提取网络层、传输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平台进行统一处理。传感器中应用的自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持 HTTP(网页)、SMTP/POP3(邮件)等主流协议的高性能分析。同时,天眼传感器内置的威胁检测引擎,可检测多种网络协议中的攻击行为,提供网页漏洞利用、webshell上传、网络攻击、威胁情报多种维度的告警展示,可检测如网络应用、木马、广告、exploit等多种网络攻击行为,也可检测如sql注入、跨站、webshell、命令执行、文件包含等多种web攻击行为,内置的webshell沙箱和webshell机器学习模块可以精准检测php、asp、jsp等后门并记录相关信息,拥有威胁情报实时匹配能力,能发现恶意软件、APT事件等威胁,产生的多种告警都会加密,并传输给天眼分析平台进行统一分析管理。

3.文件威胁鉴定器-文件威胁检测

天眼文件威胁鉴定器主要负责对传感器、手动提交、FTP、SMB、URL等多数据来源通道的样本进行检测。整个检测过程中文件进行威胁情报匹配、沙箱检测、静态检测与动态检测等多种检测,及时发现有恶意行为的文件并告警,告警日志可传给天眼分析平台供统一分析。天眼通过文件威胁鉴定器对文件进行高级威胁检测,文件威胁鉴定器可以接收还原自传感器的大量PE和非PE文件,使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现传统安全设备无法发现的高级威胁,并将威胁相关情况以报告行为提供给企业安全管理人员。天眼文件威胁鉴定器上的相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。

4.威胁感知平台-威胁分析和回溯

天眼威胁分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。其次天眼分析平台不仅可对所有数据进行快速的处理并为检索提供支持,还能将存储的日志与威胁情报进行碰撞以及进行日志关联性分析产生告警展示威胁态势,此外天眼分析平台支持对告警进行深度分析,支持以告警字段进行狩猎分析及可视化展示,以攻击链的视角还原告警中的受害主机被攻击的整个过程。分析平台承担对所有数据进行存储、预处理和检索的工作。由于传统关系型数据库在面对大量数据存储时经常出现性能不足导致查询相关数据缓慢,天眼分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。结合全包存储系统,分析平台可以实现针对精确告警的全包取证分析和自定义数据包分析能力。

客户价值

1.提升网络资产威胁检测能力

2.提升未知威胁定位和溯源能力

3.提升快速响应处置的能力

方案优势

1.使用互联网数据发掘APT攻击线索,提升金融企业对威胁看见的能力。

2.以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,帮助金融企业从源头上解决安全问题。

3.对告警进行深度分析,以攻击链的视角重现攻击过程。

4.结合业务对原始日志进行自动化深度分析,帮助金融企业发现可疑行为。

5.分级部署,对告警进行统一管理和分析。

6.高效的快速搜索技术,帮助金融企业提升数据查找的能力。

7.基于大数据挖掘分析的恶意代码智能检测技术,提升了金融企业检测恶意代码的能力。

8.基于轻量级沙箱的未知漏洞攻击检测技术,提升了金融企业检测未知漏洞的能力。