业务挑战

2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等爆出以来,具备国家和组织背景的APT攻击日益增多。运营商作为通信类关键信息基础设施,汇集了大量的客户信息,在进行数字化转型、政企业务拓展过程中,更是与其它行业产生了大量交集,因此成为APT攻击的主要目标。

目前,运营商组织中均设立网络与信息安全相关部门,并在网络中的不同位置部署了大量安全设备,但关键信息基础设施和重要数据仍然面临着各种安全风险。由于缺乏必要的威胁感知能力,运营商很难及时发现潜藏在网络中的安全威胁,对恶意行为无法实现早期快速发现,对受害目标及攻击源头无法进行精准定位,对入侵途径及攻击者背景的研判与溯源更是无从谈起。

客户需求
解决方案

奇安信运营商威胁态势感知解决方案通过构建基于全流量与沙箱检测技术的威胁监测、预警、处置响应及溯源平台,帮助运营商提升对网络与系统重要出入口、高风险网络节点的监控能力,对有组织网络攻击、未知威胁、0Day、隐蔽隧道等高级安全事件的发现能力,对已失陷系统的发现与溯源处置能力,使运营商能够有效应对网络空间安全压力、实战化安全攻防压力和重大安全保障压力。

1.方案架构

奇安信新一代威胁态势感知系统(天眼)基于奇安信自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备,天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。奇安信新一代威胁态势感知系统(天眼)主要包括威胁情报、分析平台、流量传感器和文件威胁鉴定器四个模块。 

奇安信集团面向运营商的安全监测体系具有资源充足、调度迅速的特点,近年来在护网、重大安全保障等严苛的任务中形成了具有行业属性的最佳实践与专业队伍。安全服务内容全面,不仅能应用运营商自身新技术新业务的发展,还能够在运营商能力外化过程中,协助运营商在政企业领域、等保合规领域开展安全服务。


2.威胁情报

威胁情报来自奇安信云端的分析成果,可对APT攻击、新型木马、特种免杀木马进行规则化描述。

3.分析平台

分析平台用于存储传感器提交的流量日志和文件威胁鉴定器提交的告警日志,可对所有数据进行快速处理,并为检索提供支持,还可以与威胁情报或其他告警进行关联,帮助进一步分析,对攻击进行准确回溯定位。

4.流量传感器

流量传感器主要负责对网络流量的镜像文件进行采集并还原,还原后的流量日志会加密传输给分析平台,流量镜像中的PE和非PE文件还原后则加密传输给文件威胁鉴定器进行检测。传感器通过对网络流量进行解码还原出真实流量,提取网络层、传输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平台进行统一处理。传感器中应用的自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持 HTTP (网页)、SMTP/POP3(邮件)等主流协议的高性能分析。

5.文件威胁鉴定器

文件威胁鉴定器主要负责对传感器还原后的文件进行沙箱检测、静态检测与动态检测等多种检测,及时发现有恶意行为的文件并告警,告警日志可传给威胁态势感知分析平台供统一分析。IPv4/IPv6网络环境下,支持 HTTP (网页)、SMTP/POP3(邮件)等主流协议的高性能分析。

6.产品模块间数据流程描述

传感器对企业网内部的重要网络流量的镜像文件进行抓取并全量还原,还原后的流量日志由威胁态势感知传感器加密传输给威胁态势感知分析平台,流量镜像中的PE和非PE文件还原后则加密传输给文件威胁鉴定器。文件威胁鉴定器对威胁态势感知传感器传输过来的PE和非PE文件进行沙箱检测、静态检测和动态检测等,以发现其中具有恶意行为的文件。当发现具有恶意行为的文件后,文件威胁鉴定器会产生告警,并将告警日志加密传输给分析平台。分析平台存储威胁态势感知传感器传输过来的日志文件和文件威胁鉴定器传输过来的告警日志,结合云端单向导入的威胁情报进行自动化匹配,及时发现内网的攻击行为并告警。

7.部署方案

本方案的关键部署因素为天眼传感器的位置,可以部署于运营商网络与系统重要出入口、高风险网络节点。


客户价值

• 依托互联网数据发掘APT攻击线索,提升威胁发现能力。

• 以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,从源头上解决安全问题。

• 高效的快速搜索技术,提升数据查找的能力。

• 基于大数据挖掘分析的恶意代码智能检测技术,提升恶意代码检测能力。

• 基于轻量级沙箱的未知漏洞攻击检测技术,提升未知漏洞检测能力。

• 专业的专家运营团队,全天候为客户保驾护航。

方案优势

1.效果显著

基于APT产品的HW,2019年收到27个单位的感谢信,并被广东省、新疆、内蒙古、青海等授予2019HW优秀支撑单位,被中国移动授予2019HW精英团称号。

2.技术精湛

丰富的威胁情报、全面的威胁发现、动静态结合的文件检测、精准的威胁事件检测、完整的威胁事件溯源、完善的行为分析模型、精湛的ATT&CK技术应用、全貌的闭环联动处置、实战化威胁运营等。