一、新威胁现状
近年来关于高级持续攻击的报道逐渐增多,这种新兴攻击行为越来越多的利用各种系统的高危漏洞和后门,针对各类高价值目标实施高级网络攻击,攻击目标涵盖了从政府部门到大型基础设施企业,以及大量具有高价值资产的企业和机构,造成了难以估量的损失。传统的网络安全防御技术是基于已知的黑名单、木马病毒特征签名等进行检测,对于APT攻击根本无法检测和发现。
传统安全体系之困传统的检测技术主要在网络边界和主机边界进行检测,具体为防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统。但是它们均缺乏对未知攻击的检测能力和对流量的深度分析能力。
二、主要思路
主要思路目前市面上已经拥有了多种的APT检测产品,但这些产品大多同质化与单一化,很难对高级的APT进行检测。不足之处具体表现为:
1、检测APT变成检测邮件附件,检测攻击源的单一化
2、针对来自WEB的攻击,如浏览器的flash溢出,IE 0day等检测能力不足
3、越来越多的沙箱逃逸技术,对抗一直在升级
4、没有一个完整的解决方案
5、真正的0day发现很困难,虚拟环境一直是一个无法攻破的难题
随着大数据时代的到来,全流量回溯分析技术和异常流量检测技术已经成为目前业内主流的APT检测方案,而为了解决特征匹配对新型攻击滞后的问题又引入了动态行为分析技术。
1、动态行为分析技术原理:将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态处理过程,判断样本中是否包含恶意代码。
目的:解决APT攻击中的0Day漏洞利用检测等问题。
挑战:1、恶意代码的反制;2、全面的用户环境模拟。
2、异常流量检测技术原理:对网络中的正常行为模式建模,通过分析流量对于正常行为模式的偏离而识别网络攻击。
目的:解决APT攻击中的隐蔽传输与内网探测检测等问题。
挑战:简单准确的定义正常行为模式
3、全流量回溯分析技术原理:在全流量存储的条件下,回溯分析相关流量,对流量进行深层次的协议解析和应用还原,识别其中是否包含攻击行为。
目的:解决APT攻击长期潜伏的发现与追溯问题。
挑战:1、高性能的数据捕获;2、快速回溯分析能力。
三、解决方案
科来APT安全监控解决方案基于动态行为分析、异常流量检测及全流量回溯分析三大技术,解决APT攻击中的0Day漏洞利用检测、隐蔽传输与内网探测检测、APT攻击长期潜伏的发现与追溯等诸多问题。科来APT安全监控解决方案是一个真正能够对已知和未知APT攻击做到及时发现、追踪、取证并做到有效防御的网络安全解决方案。
未知恶意代码深度动态分析基于硬件的虚拟化高性能动态分析技术,全面捕捉和分析样本动态行为,准确识别未知攻击或恶意代码。
可疑流量与异常网络行为检测 智能的异常流量与网络通讯多模态检测,能对攻击前、攻击中、攻击后的流量进行深入检查,更有效的发现APT攻击线索。
全流量保存和回溯查询取证任何攻击行为都必将产生流量,全流量回溯分析可以确保在攻击行为绕过传统检测系统后,依然能够进行事后的回溯挖掘分析和取证。
方案价值科来APT安全监控解决方案,深入分析APT攻击特点,针对APT攻击周期的不同阶段,提供完整的检测和分析手段,既能有效发现针对目标网络实施的新型高级攻击行为,又能对发现的攻击行为进行及时拦截和阻断,为客户解决传统网络安全设施无法有效发现和防御APT攻击的难题,弥补系统安全架构存在的缺陷。
四、技术优势- 充分模拟真实环境应对恶意样本的环境检测;
- 用网络异常行为的模型检测取代基于特征的检测,能发现高级的攻击行为;
- 全周期,多维度的攻击事件发现能力:针对的攻击行为的不同阶段,以全面的多维度的分析检测技术予以发现;
- 全面的事件关联分析:对攻击事件的全局数据信息进行多维关联展示,全面呈现攻击事件的全貌;
- 灵活多样的产品部署形态:既有适合集团客户大型网络的分布式部署方式,也有针对中小型企业客户的单一网络出口进行检测防御的单机部署方式。
|
发表于 2016-3-4 16:19:41
发表于 2016-3-5 08:44:15