《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 《高級威脅檢測與響應解決方案》系列訪談——知道創(chuàng)宇篇

《高級威脅檢測與響應解決方案》系列訪談——知道創(chuàng)宇篇

2022-11-30
來源:安全419

  伴隨著對云計算的擁抱,、新的DevOps流程的普及、物聯(lián)網(wǎng)設備的蔓延,、供應鏈的復雜交織以及更多數(shù)字基建的涌現(xiàn),,新一代網(wǎng)絡攻擊手段也在持續(xù)演進,,有效的威脅檢測與響應能力作為重要的攻防手段,是提升實戰(zhàn)化對抗能力的關鍵因素,。

  我們推出《高級威脅檢測與響應解決方案》系列訪談,,邀請相關安全廠商分享主動感知、分析,、防御,、溯源高級威脅的成功經(jīng)驗,及其方案服務的能力和特色,,為企業(yè)用戶提升安全建設水平提供一定參考,。

  本期訪談的主角是業(yè)內(nèi)知名的網(wǎng)絡安全公司知道創(chuàng)宇,我們邀請了知道創(chuàng)宇404實驗室APT高級威脅情報團隊來分享自身在該領域的觀察思考和實踐,。知道創(chuàng)宇——全稱北京知道創(chuàng)宇信息技術股份有限公司,,是一家立足攻防一線,與客戶并肩戰(zhàn)斗,,擁有“實戰(zhàn)對抗”能力的網(wǎng)絡安全公司,。知道創(chuàng)宇成立于2007年,由數(shù)位資深安全專家創(chuàng)辦,,以“AI+安全大數(shù)據(jù)”為底層能力,,為客戶提供云防御、云監(jiān)測,、云測繪產(chǎn)品與服務,。

  APT攻擊愈演愈烈

  網(wǎng)絡空間安全形勢持續(xù)升級

  今年6月,西北工業(yè)大學表示,,西工大電子郵件系統(tǒng)遭受網(wǎng)絡攻擊,。9月5日,國家計算機病毒應急處理中心發(fā)布《西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調(diào)查報告》,,揭露了境外黑客組織長期滲透控制中國基礎設施核心設備,,竊取中國用戶隱私信息的事實。

  這一安全事件讓APT高級可持續(xù)性威脅這一行業(yè)用語走到臺前,,讓社會各界加深了對活躍在網(wǎng)絡陰暗面的網(wǎng)絡攻擊活動的認知,。事實上,在大眾視野之外,,APT攻擊,、勒索攻擊、超大規(guī)模數(shù)據(jù)泄露,、波及范圍極廣的重大安全漏洞等類型眾多的安全事件時刻都在發(fā)生,,網(wǎng)絡空間的安全形勢日漸嚴峻。

  ● APT攻擊頻次劇增 攻擊手段更加復雜

  在采訪中,知道創(chuàng)宇404實驗室APT高級威脅情報團隊的安全專家告訴我們,,近兩年來,,知道創(chuàng)宇發(fā)現(xiàn),APT攻擊頻次日益增多,,僅今年上半年便發(fā)現(xiàn)了100多起APT攻擊活動,數(shù)量遠高于去年全年APT事件的總和,,且攻擊對象涵蓋了政府,、軍工、能源,、金融等眾多領域,。在攻防對抗中,漏洞利用攻擊,、無文件攻擊,、供應鏈攻擊等各類高級攻擊手法頻頻出現(xiàn),0day漏洞攻擊數(shù)量顯著,。

  安全專家們談到,,知道創(chuàng)宇404實驗室APT高級威脅情報團隊在2021年末發(fā)布的APT攻擊趨勢報告總結中曾指出,以海蓮花為首的一系列APT組織正在逐步放棄釣魚郵件的傳統(tǒng)攻擊手段,,轉為采用漏洞攻擊,、滲透攻擊等更高級的方式發(fā)起攻擊活動,攻擊目標也逐步轉為優(yōu)先攻擊安全公司,、終端軟件管理公司,、科技公司等,再通過上述攻擊在供應鏈中植入惡意代碼,,實現(xiàn)供應鏈攻擊,,抵達攻擊者的最終攻擊目標。從不斷爆發(fā)的大規(guī)模攻擊事件中不難看出,,APT組織越發(fā)猖獗,,APT攻擊活動也越發(fā)頻繁,采取相應措施抵御威脅刻不容緩,?!?/p>

  ● 攻防對抗日趨激烈 傳統(tǒng)安全思維日漸式微

  安全專家們進一步指出,隨著攻防雙方對抗手段的持續(xù)升級,,漏洞利用攻擊,、無文件攻擊、供應鏈攻擊等各類高級攻擊手段出現(xiàn),,其攻擊手法隱蔽,、破壞性強,給傳統(tǒng)防護安全帶來了極大挑戰(zhàn),傳統(tǒng)的被動防護思維和技術手段已無法對層出不窮的新型攻擊手法進行有效檢測和識別,,無形中降低了客戶信息系統(tǒng)的安全防護能力,。

  ”在某些案例里,我們發(fā)現(xiàn)海蓮花組織專門針對國內(nèi)某知名反病毒廠商的殺軟做了免殺,。在安裝了某殺軟的機器上運行后,,殺軟全盤掃描也無法識別該木馬文件,這凸顯了一線攻防對抗的激烈性,?!?/p>

  他們表示,為應對日益更新的攻擊手法,,業(yè)內(nèi)主流的防護手段也逐步從傳統(tǒng)特征,、情報等單一檢測手段,演變成多種檢測手段融合的方式,,通過對高級威脅全周期的不同攻擊階段利用不同的檢測手段進行檢測,,進一步縮短對APT攻擊的發(fā)現(xiàn)周期。同時,,將AI技術引進網(wǎng)絡安全領域也已成為新趨勢,,AI技術基于大數(shù)據(jù)對不同業(yè)務場景威脅進行建模分析,挖掘數(shù)據(jù)規(guī)律及目標特征,,提升高級威脅及未知威脅的檢出率,,提高網(wǎng)絡分析的效率及準確性。

  404實驗室APT高級威脅情報團隊認為,,當前業(yè)內(nèi)主流防護手段更應注重向前防御理念打破被動防御,,即在攻擊者發(fā)起攻擊前,就對可疑IP,、域名進行持續(xù)追蹤,,確保攻擊被扼殺在搖籃。作為一線攻防廠商,,知道創(chuàng)宇在APT高級威脅檢測與防御方面已經(jīng)積累了大量經(jīng)驗和實踐,,利用全網(wǎng)獨家的測繪情報,知道創(chuàng)宇已能幫助用戶在APT發(fā)起攻擊前就可識別到可疑IP,、域名,,有效進行提前監(jiān)控,同時結合基因圖譜檢測,、復雜位運算,、沙箱檢測等先進技術,實現(xiàn)對未知威脅的積極防御,。

  安全產(chǎn)品+專業(yè)服務一體化

  以APT測繪及APT防御應對高級威脅

  404實驗室APT高級威脅情報團隊表示,,知道創(chuàng)宇在早期就意識到了APT攻擊的嚴峻性,為了掌握APT攻擊在全球的活動情況,以便快速高效地應對APT攻擊,,知道創(chuàng)宇與監(jiān)管客戶共同進行一線攻擊跟蹤,,加強對APT組織的研究,并與國家單位進行深度的實戰(zhàn)化合作,,長期對全球范圍內(nèi)的APT組織進行深入的,、持續(xù)化的跟蹤和研究分析。

  目前知道創(chuàng)宇已經(jīng)形成了安全產(chǎn)品+專業(yè)服務一體化,,通過APT測繪+APT防御的完整解決方案,,幫助用戶構建精準和高效的APT全面防御能力。

  微信圖片_20221130205413.jpg

  圖:知道創(chuàng)宇APT檢測與響應解決方案框架

  向前防御

  知道創(chuàng)宇通過在全球網(wǎng)絡空間資產(chǎn)測繪,、漏洞挖掘研究以及云防御持續(xù)十余年的一線實戰(zhàn)對抗,積累了海量向前防御大數(shù)據(jù)和外網(wǎng)持續(xù)交火大數(shù)據(jù),,能夠為用戶構建向前防御能力,,在空間層面將對抗地點放在自身網(wǎng)絡疆界以外,在時間層面提前獲取攻擊者資產(chǎn),、畫像,、漏洞等一手信息,實現(xiàn)網(wǎng)絡安全防御關口前移,,贏得時間和空間的主動,。

  邊界防御

  通過在互聯(lián)網(wǎng)邊界旁路部署創(chuàng)宇云圖威脅檢測系統(tǒng)、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng),,對進出互聯(lián)網(wǎng)的流量進行全流量深度分析,,基于基因圖譜檢測、復雜位運算,、APT情報測繪,、沙箱檢測等技術,對流量中存在的0Day漏洞攻擊,、勒索病毒,、惡意代碼變種、惡意文件,、異常訪問行為,、數(shù)據(jù)泄露、暗網(wǎng)通訊,、APT攻擊等進行檢測與識別,,構建針對攻擊鏈的交叉檢測驗證體系。

  內(nèi)網(wǎng)防御

  通過在內(nèi)網(wǎng)主機或云主機上部署創(chuàng)宇云影內(nèi)網(wǎng)主機安全監(jiān)測系統(tǒng)輕量級客戶端,,提供對抗黑客攻擊及惡意代碼的能力,,有效檢測及攔截已知和未知安全威脅如0Day攻擊、勒索病毒攻擊、橫向滲透,、無文件攻擊,、供應鏈攻擊、APT攻擊等,,并且可以提供資產(chǎn)清點,、端點取證、溯源分析,、系統(tǒng)恢復等能力,,將預防、檢測和響應集中在統(tǒng)一的控制臺流程中,,為端點提供全面的全生命周期安全防護,。

  協(xié)同聯(lián)防

  通過將檢測結果同步給旁路部署的威脅情報網(wǎng)關進行聯(lián)動,實現(xiàn)對攻擊者的旁路阻斷,,形成監(jiān)測預警,、威脅檢測、溯源分析和響應處置能力閉環(huán),,同時可與云端進行實時情報更新,,實現(xiàn)全網(wǎng)聯(lián)防聯(lián)控。創(chuàng)宇威脅感知大數(shù)據(jù)平臺(CIC)則可以收集多源的高級威脅檢測數(shù)據(jù),,通過大數(shù)據(jù)建模和關聯(lián)分析,,實現(xiàn)全局視角的威脅態(tài)勢感知和風險研判。

  專家服務

  知道創(chuàng)宇404實驗室APT高級威脅情報團隊由經(jīng)驗豐富的安全專家組成,,長期為國家相關部門進行APT監(jiān)測相關技術支撐,,可為客戶提供專業(yè)的一手APT情報、APT木馬及流量分析服務,,協(xié)助客戶實現(xiàn)安全事件的溯源分析,,持續(xù)提升高級威脅檢測與響應能力。

  多管齊下

  助力企業(yè)客戶打好應對APT攻擊的組合拳

  404實驗室APT高級威脅情報團隊的專家介紹,,在產(chǎn)品層面,,知道創(chuàng)宇主要通過:創(chuàng)宇云圖威脅檢測系統(tǒng)、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng),、創(chuàng)宇云影內(nèi)網(wǎng)主機安全監(jiān)測系統(tǒng),、創(chuàng)宇威脅感知大數(shù)據(jù)平臺(CIC)在內(nèi)的四款安全產(chǎn)品,來幫助用戶打好應對APT攻擊的組合拳,。

  ”創(chuàng)宇云圖威脅檢測系統(tǒng),、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng)實現(xiàn)了基于網(wǎng)絡全流量的高級威脅檢測。創(chuàng)宇云影提供了覆蓋個人終端,、主機側的高級威脅檢測和響應處置的能力,。創(chuàng)宇威脅感知大數(shù)據(jù)平臺(CIC)則可以收集多源的高級威脅檢測數(shù)據(jù),,通過大數(shù)據(jù)建模和關聯(lián)分析,實現(xiàn)全局視角的威脅態(tài)勢感知和風險研判,?!?/p>

  客戶案例:

  助力某央企精準感知未知威脅 實現(xiàn)高級威脅防護

  在采訪中,404實驗室APT高級威脅情報團隊的專家為我們分享了知道創(chuàng)宇成功幫助某央企構建APT檢測與防御能力的成功案例,。據(jù)介紹,,此前該企業(yè)客戶也曾部署過其他安全廠商旗下的NTA、NDR,、EDR類型設備進行嘗試,,但經(jīng)檢測分析結果發(fā)現(xiàn),其在未知威脅攻擊防護方面效果仍然欠佳,,無法實現(xiàn)精準檢測和事后的溯源分析,。因此迫切需要找到一套真正符合自身安全建設需求的系統(tǒng)性解決方案,更全面,、及時地監(jiān)測到各類APT攻擊信息,,增強對于重要系統(tǒng)的安全監(jiān)控。

  關鍵挑戰(zhàn)

  在對客戶的安全現(xiàn)狀進行全面深入的檢測和梳理過后,,知道創(chuàng)宇發(fā)現(xiàn)該企業(yè)主要存在三個方面的痛點:

  01 APT攻擊來去無影蹤,難以獲取APT組織的線索,,無法做到及時防御,,信息泄露造成嚴重損失;

  02 當前分析流量主要依靠人工,,高級安全分析人員人手欠缺,,無法支撐大量的告警分析,且不可控因素較強,;

  03 溯源困難,,無法全面了解已發(fā)生的APT事件背景包括攻擊目標、范圍,、趨勢等信息,,無法對未來的安全規(guī)劃提供合理化建議。

  解決方案

  針對這一企業(yè)存在的安全問題,,知道創(chuàng)宇安全團隊通過多次現(xiàn)場溝通和調(diào)研,,最終在該客戶總部數(shù)據(jù)中心互聯(lián)網(wǎng)邊界旁路部署了創(chuàng)宇云圖威脅檢測系統(tǒng)、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng)對進出互聯(lián)網(wǎng)的流量進行全流量深度分析,,為了減少對原有鏈路的影響,,采用1分2分光器以80:20的分光比例對流量進行采集。

  同時在辦公PC,、云主機,、物理主機上分別部署創(chuàng)宇云影內(nèi)網(wǎng)主機安全監(jiān)測系統(tǒng)輕量級客戶端進行安全檢測,,并將安全檢測的數(shù)據(jù)匯總于管理中心進行安全分析。在發(fā)生告警后,,知道創(chuàng)宇安全專家協(xié)助客戶進行現(xiàn)場取證,,結合創(chuàng)宇智腦威脅情報進行深入分析,對攻擊鏈完整還原,,提供分析報告并給出安全策略的優(yōu)化建議,。

  應用效果

  在該系列產(chǎn)品全面部署上線后,僅一周的時間內(nèi),,知道創(chuàng)宇就在該企業(yè)內(nèi)網(wǎng)中發(fā)現(xiàn)包括內(nèi)網(wǎng)webshell滲透攻擊,、內(nèi)網(wǎng)主機感染mozi木馬進行橫向傳播、內(nèi)網(wǎng)主機感染Polaris木馬進行橫向傳播,、內(nèi)網(wǎng)主機對其他內(nèi)網(wǎng)主機進行漏洞攻擊,、內(nèi)網(wǎng)主機感染多個APT組織木馬及其他各類木馬,以及多起外部IP對內(nèi)網(wǎng)進行漏洞攻擊事件,,隨后快速有效幫助該客戶精準感知未知威脅并進行快速處置,。

  專家們談到,能否真正助力客戶精準感知未知威脅,、實現(xiàn)高級威脅防護,,是衡量廠商安全能力和APT攻擊檢測與響應解決方案價值的唯一準繩。他們認為,,知道創(chuàng)宇這一套APT攻擊檢測與響應解決方案價值主要體現(xiàn)在以下四個方面:

  01 首創(chuàng)將ZoomEye全球網(wǎng)絡空間測繪與APT情報相結合,,產(chǎn)出精準的高價值APT測繪情報并落地到產(chǎn)品,有效提升APT攻擊的感知能力,。

  02 對Seebug 漏洞平臺進行規(guī)則轉化,,形成特有的漏洞規(guī)則,有效提升產(chǎn)品針對漏洞利用攻擊的檢出能力,。

  03 對用戶關鍵的網(wǎng)絡流量進行全流量威脅分析,,將人工智能落地到網(wǎng)絡安全領域,利用大數(shù)據(jù)與人工智能技術構建網(wǎng)絡攻擊檢測預溯源解決方案,。

  04 對云端情報,、全流量檢測、終端檢測多種技術發(fā)現(xiàn)的威脅進行進一步的關聯(lián)分析,,基于APT攻擊鏈及攻擊場景模型挖掘出高級威脅,。

  APT攻擊將持續(xù)復雜化和隱蔽化

  更加難以檢測和防范

  采訪最后,談及APT攻擊未來攻防趨勢以及知道創(chuàng)宇的應對思路時,,404實驗室APT高級威脅情報團隊的專家談到,,”未來3-5年黑客會更加有針對性、有組織性地對關基單位,、企業(yè)發(fā)起攻擊,,以達到竊取重要信息,,非法盈利的目的。比如前段時間,,勒索組織對國際知名安全廠商思科進行定向勒索,。類似的這些攻擊也往往具有強時效性,漏洞剛被披露甚至是未被察覺的時候,,黑客就發(fā)起了攻擊,,讓大家措手不及,難以及時應對,?!?/p>

  此外,未來高級威脅可能會更多地針對現(xiàn)有特征檢測技術的對抗,,實現(xiàn)對特征檢測技術的繞過,,如IDS類檢測特征繞過、殺軟特征繞過,,也有研究利用人工智能技術,,如強化學習,訓練對抗現(xiàn)有檢測手段的繞過能力工具或樣本,,以及更多地使用加密或隱蔽隧道方式,,隱藏攻擊行為和內(nèi)容。

  他們表示:”知道創(chuàng)宇404實驗室APT高級威脅情報團隊針對未來趨勢,,將依照向前防御理念,,從國內(nèi)領先的Seebug漏洞平臺上提取實時披露的最新漏洞信息,在第一時間將最新高危漏洞轉化為規(guī)則特征,,確保N day漏洞攻擊的優(yōu)越檢測性能?!?/p>

  同時知道創(chuàng)宇404實驗室也將持續(xù)深研測繪與情報結合的解決方案,,增加APT情報提前獲取的準確性、高效性,。對于某些復雜攻擊,,知道創(chuàng)宇404實驗室將專門定制模型算法,結合機器學習,、大數(shù)據(jù)處理,,有針對性地對其進行檢測,目前已在實戰(zhàn)中驗證了隱蔽隧道檢測模型針對加密流量進行檢測的優(yōu)越性,。此外,,知道創(chuàng)宇相關產(chǎn)品還將進一步的與云防御持續(xù)交火大數(shù)據(jù)融合,以數(shù)據(jù)情報為全線產(chǎn)品動態(tài)賦能,,形成云地聯(lián)動,、多點協(xié)同的聯(lián)防聯(lián)控能力,,協(xié)助客戶構建積極防御體系。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。