行業應用解決方案

海峽信息始終專注于中國的信息網絡安全建設,結合最新的網絡安全技術,為客戶提供全面的網絡安全整體解決方案和構建立體式安全防護體系。

首頁行業應用解決方案下一代應用威脅感知與防御解決方案

下一代應用威脅感知與防御解決方案

產品淵源:

 概述

隨著網絡與信息技術的發展,業務對信息和網絡的逐漸依賴對社會的各行各業產生了巨大深遠的影響,信息安全的重要性也在不斷提升。網絡安全事件的發展顯示,駭客正在使用越來越精密且有效率的方式來進行攻擊。

APT攻擊在21世紀開始蓬勃發展起來,有重要信息資產的部門都成為APT指向的目標。2010年的Google Aurora(極光)攻擊是一個十分著名的APT攻擊,Google的一名雇員點擊即時消息中的一條惡意鏈接,引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月,并且造成各種系統的數據被竊取。2011年3月,EMC公司下屬的RSA公司遭受入侵,部分SecurID技術及客戶資料被竊取,其后果導致很多使用SecurID作為認證憑據建立VPN網絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊,重要資料被竊取。APT攻擊已成為最具威脅性的信息安全攻擊手段。

 網絡安全面臨變革

伴隨著APT攻擊造成的重大損失的同時,是傳統安全監測與防御手段針對APT攻擊的無能為力。從國家級的核設施網絡到美國NASA,從世界互聯網巨頭GOOGLE到安全公司翹楚RSA,無一不是APT攻擊的受害者。如果說他們的安全做的不好,那世界上又有幾家能說比他們的安全做的更好呢?APT劍指之下,沒有哪個部門能幸免。試想一下,當攻擊者可以肆意進出和控制軍事指揮系統、核系統、能源系統、交通指揮系統、金融系統,那么除了信息的安全,我們實體的財產與生命安全,也將變得無比脆弱。在傳統的企業安全防御系統中,IDS、IPS、防火墻、安全網關等安全產品并非針對APT的檢測、防護而生。所以,原有的防護系統在APT攻擊面前起到的作用非常之小。如何在新舊技術交疊應用的變革過程中,更有效地檢測和防御系統網絡面臨的安全問題,已成為各方關注的重點。

 什么是APT攻擊

APT攻擊是指融合情報、黑客技術、社會工程等各種手段,針對有價值的信息資產或通過IT系統控制的重要系統,發起復雜而專業的攻擊。由于IT系統復雜性,目前還沒有很好的檢測措施完全發現IT產品中的后門、漏洞以及應用運行時的可信性。

APT攻擊從滲透進內網到竊取高價值信息,是一種多階段多維度的過程。攻擊者通過混合了基于網頁、郵件和文檔的多種攻擊技術,讓APT攻擊變得難以感知。整個APT攻擊過程可歸納為情報收集階段、攻擊階段、控制階段和內部擴散階段四個階段,下圖為APT攻擊流程示意圖:

目前我們仍在使用 的Firewall、IPS、IDS、AV、上網行為管理、DLP都不具備相應的能力可以檢測到利用了0DAY、變形木馬的APT攻擊,存在著“未知攻,焉知防”的尷尬。APT攻擊之所以能無往而不利,因為傳統的安全技術主要是依靠靜態簽名或者是基于特征匹配的檢測原理。我們來看看APT是如何對抗傳統安全技術:

(1)防火墻:防火墻通常允許HTTP流量,下一代防火墻強調了對用戶和應用程序的控制。下一代防火墻雖然包含了IPS、AV、應用控制、流量控制等新功能,但依然使用的是傳統的安全檢測引擎,所以仍然無法使得防火墻具備檢測APT攻擊的能力。

(2)IDS、IPS:基于靜態簽名的檢測、包檢査、DNS分析依然對使用0DAY漏洞利用技術的APT攻擊是無感知的。

(3)反垃圾郵件:釣魚網站經常使用動態域名和URL,而反垃圾郵件的黒名單的更新往往是滯后,有數據顯示釣魚網站被關閉前平均能存活26個小時。

(4)殺毒軟件和防毒墻:因為惡意程序、漏洞是未知的,網站本身有好的信譽,殺軟和防毒墻不會對它們采取任何措施。

(5)上網行為管理:大多數出網過濾名單禁止的是成人和游戲網站,對其他類型網站很 少限制。另外動態URL、黑客自己建立的合法網站使得靜態的URL過濾列表失去作用。

(6)DLP (數據防泄漏):DLP關心的是用戶個人信息,比如密碼、銀行帳號等私密信息,但黒客在竊取信息后通常會做壓縮和加密操作,然后再通過隱蔽信道發送出去,這些技 術手段都是DLP的檢測機制無法感知的。

 需要什么樣的網絡安全威脅與防御產品

1.全方位的APT攻擊檢測

2.深度分析已知漏洞攻擊和0day攻擊

3.web、郵件、文件檢測系統

4.關聯分析能力強,快速識別APT攻擊行為

5.直觀展現APT攻擊路徑,安全威脅可視化

產品介紹:

 概述

APT攻擊本身具有復雜性、隱蔽性、持續性等特點,這些特點導致了現有安全防御體系 在技術層面的對抗上就存在天然的缺陷,并且由于對APT攻擊的認知不足,加劇了攻防之間的差距。黑盾安全威脅檢測與防御系統( 以下簡稱:“CCS-APT”)是福建海峽信息技術有限公司對信息安全十余年研究積累基礎上,在針對APT攻擊的這些特點深入研究后,投入巨資研發推出的、擁有自主知識產權的安全產品。

 設計理念

針對新一代的網絡威脅的特點與特殊要求,CCS-APT基于如下理念而設計: 黑盾安全威脅檢測與防御系統設計目標旨在適應攻防的最新發展,準確監測網絡異常流量,第一時間將安全威脅阻隔在企業網絡外部。該產品彌補了防火墻、入侵檢測等產品的不足,提供動態的、深度的、主動的安全防御,是對現有安全防御體系的很好補充。

APT攻擊存在一個完整的生命周期,黑盾安全威脅檢測與防御系統針對其整個生命周期里必須使用的技術點進行監控,提供了全方位的未知威脅分析:深度分析已知漏洞攻擊和0day攻擊,幫助用戶發現真正的黑客攻擊;通過web、郵件、文件檢測系統的配合檢測,全方位的發現APT攻擊;關聯分析能力強,快速識別APT攻擊行為;直觀展現APT攻擊路徑,安全威脅可視化。

同時,福建海峽信息技術有限公司提供高級分析服務,對于用戶無法確定的攻擊行為和攻擊樣本,可提供高級技術支持,協助用戶對攻擊進行分析,用以對抗高技術的黑客。

 技術優勢

1)智能協議深度識別和分析

協議識別是新一代網絡安全產品的核心技術。傳統安全產品如防火墻,通過協議端口映射表(或類似技術)來判斷流經的網絡報文屬于何種協議。

但是,事實上,協議與端口是完全無關的兩個概念,我們僅僅可以認為某個協議運行在一個相對固定的缺省端口。包括木馬、后門在內的惡意程序,以及P2P應用、IMS、網絡在線游戲等應用都可以運行在任意一個指定的端口,從而逃避傳統安全產品的檢測和控制。

系統采用獨有的智能協議深度識別技術,通過動態分析網絡報文中包含的協議特征,發現其所在協議,然后遞交給相應的協議分析引擎進行處理,能夠在完全不需要管理員參與的情況下,高速、準確地檢測出通過動態端口實施的惡意入侵,可以準確發現綁定在任意端口的各種木馬、后門。

2)證據關聯分析

利用對多種網絡數據的智能協議深度解析和處理引擎,解讀流量數據,不斷跟蹤、記錄網絡中的網絡行為和事件,建立日常行為基準,形成獨有的證據庫。

通過對證據庫進行大數據挖掘分析的基礎上,匹配ARTsmart攻擊鏈庫,能夠將事件從多角度進行智能關聯分析,追蹤源頭,找出隱秘異常行為,發現安全威脅。用戶可以通過上鉆、下鉆操作方式多角度了解攻擊事件的流程,及時發現網絡中的惡意行為、漏洞、以及攻擊等安全隱患,將APT攻擊消滅在萌芽期。

 產品主要功能介紹

1)維修檢測功能

全方面的檢測機制:從已知簽名檢測、無簽名的深度內容檢測、動態行為檢測及事件關聯分析等維度,對各類威脅進行深度檢測并在漏洞利用、后門植入、竊密等攻擊環節上形成縱深立體的檢測體系。

全面覆蓋威脅載體:擁有最新、最全的漏洞特征庫,并采用第二代VM虛擬引擎技術,能夠準確的檢測出利用0Day和NDay漏洞攻擊行為。

安全漏洞檢測:針對網絡中的URL、文檔文件、可執行程序、郵件、網絡通道、流量等威脅載體進行檢 測,全面阻擊APT可能存在的載體。

強大的入侵規則庫:產品擁有強大的入侵檢測規則庫,十大類的規則分類包含超過40000條的規則,能夠覆蓋常用的攻擊方法和漏洞,具有清晰明了的攻擊劃分和描述,能夠識別各種黑客攻擊或入侵的方法和手段,如掃描、后門、惡意代碼、拒絕服務等。

熱點攻擊地圖:系統為用戶提供攻擊事件的地理位置視圖,全方位、快速、可視化的動態展示攻擊事件的信息,幫助用戶了解自身網絡狀態。

多種部署模式:系統提供了各種規模的系統全面檢測功能,能夠在一套解決方案中支持眾多環境和眾多協議的檢測,通過網絡旁路監聽的方式接入網絡,通過在核心交換機上設置端口鏡像模式,使安全檢測引擎能夠監聽到所有用戶通過交換機進行通訊的所有操作。在實現監控檢測功能的同時,完全不改變用戶的網絡環境,避免設備對用戶網絡造成中斷的風險。用戶可以根據需要將CCS-APT引擎安放在網絡的不同位置,其典型的安裝方式有: ① 監控、檢測內部網絡中所有的網絡連接和攻擊行為。 ② 多路監控和檢測外網對內網所做的攻擊。

2)威脅管理功能

關聯事件告警管理:事件查看提供了關聯攻擊事件的完整信息:攻擊發生時間范圍、事件名稱、事件類別、關鍵IP、關聯證據數、持續時間、攻擊結果等。

多維度證據展示與統計:提供多維度證據展示與統計,包括證據分類、分層統計以及基于線性矩陣視角的敏感時段分割展示。

安全分析報告:系統定期自動生成安全分析報告,提供最近一周或最近一月時間范圍內的監控記錄分析以及結論,形成系統告警分析報告,以供分析了解網絡安全狀況。同時,報告支持WORD、HTML、PDF格式導出,方便用戶離線查看或進行打印匯報。

豐富的響應方式:提供豐富的響應方式,包括:郵件報警、界面顯示、日志數據庫記錄、windows消息、網關聯動等,同時提供標準 syslog接口,可接受第三方管理平臺的安全事件集中監控、報告和管理。

高級人工分析:為解決用戶“設備報了警后,如何判斷是真假?無法確定的攻擊行為或樣本? ”等問題, CCS-APT提供高級分析服務,利用福建海峽信息技術有限公司專家團隊,協助用戶對攻擊進行分析,確認樣本的真實危害性,大大減輕用戶的運維壓力。

產品應用:

 部署方式

系統提供了各種規模的系統全面檢測功能,能夠在一套解決方案中支持眾多環境和眾多協議的檢測,通過網絡旁路監聽的方式接入網絡,通過在核心交換機上設置端口鏡像模式,使安全檢測引擎能夠監聽到所有用戶通過交換機進行通訊的所有操作。在實現監控檢測功能的同時,完全不改變用戶的網絡環境,避免設備對用戶網絡造成中斷的風險。用戶可以根據需要將CCS-APT引擎安放在網絡的不同位置,其典型的安裝方式有: ① 監控、檢測內部網絡中所有的網絡連接和攻擊行為。 ② 多路監控和檢測外網對內網所做的攻擊。

 監控、檢測內部網絡中所有的網絡連接和攻擊行為

 多路監控和檢測外網對內網所做的攻擊

 用戶價值

黑盾安全威脅檢測與防御系統能全面感知APT攻擊行為(如 0 DAY漏洞攻擊、高級木馬、隱蔽信道),將威脅行為可視化動態展示。通過對證據庫進行大數據挖掘分析的基礎上,匹配ARTsmart攻擊鏈庫,能夠將事件從多角度進行智能關聯分析,追蹤源頭,找出隱秘異常行為,發現安全威脅,及時發現網絡中的惡意行為、漏洞、以及攻擊等安全隱患,將APT攻擊消滅在萌芽期。

福建省海峽信息技術有限公司 版權所有  聯系: [email protected] 閩ICP備06011901號 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部

加拿大快乐8开奖结果