本文作者:sukai

apt网络安全设备图(网络安全 arp)

sukai 09-19 105

  

  银行等金融机构是网络攻击的重要目标,更是高级持续攻击(APT)攻击的热点领域,高级持续攻击往往采用多种综合的攻击手法,多种恶意软件,甚至0day漏洞与社会工程方法,能够绕过传统基于规则的防护产品的检测。面对日渐增多的高级威胁,传统安全防护产品无法做到有效的发现,失去防御能力。

  案例背景

  随着信息化建设的深入和互联网的普及,某国有大型商业银行互联网业务发展迅猛,包括网银、网站、电商等在内的互联网系统极大地丰富了业务种类,拓展了业务窗口,优化了客户体验。然而,随着互联网业务的发展,某国有大型商业银行信息化建设所面临的安全威胁也随之增大。

  某国有大型商业银行已经通过部署专业的防火墙、IPS、防病毒软件、终端安全软件等安全防护手段,能够针对主流威胁实现防护。然而基于特征检测的传统安全防御手段只能识别已知威胁,以APT为代表的高级威胁使得传统的“依靠特征检测的方法”失效,如何应对以APT为代表的下一代威胁成为所有企业的必修课之一。

  核心需求

  ? APT检测需求

  APT攻击往往采用0day漏洞恶意代码,安全防御体系无法识别这些攻击流量,因而也无法拦截;APT程序获取重要数据后向外部发送时,利用了合法的数据传输通道和加密、压缩方式,难易分辨出其与正常流量的差别,因此基于特征库匹配的检测系统无法响应。

  ? 恶意文件检测需求

  需要有效的防范攻击者使用合法邮件地址捆绑病毒附件发送给内部员工;安全防御体系对于钓鱼网站的识别能力存在不足;缺乏权威的恶意网址库支撑。

  解决方案

  由于日益频繁的APT攻击为企业内网带来了更多的安全威胁,而现阶段企业搭建的安全防御产品对于未知威胁检测的能力明显不足,所以360天眼新一代威胁感知系统的设计目标是基于360自有的多维度海量互联网数据,通过自动化挖掘与云端关联分析,提前洞悉未知安全威胁;并通过在客户本地部署的硬件设备,进行本地流量深度分析,实现未知威胁的早期快速发现;对受害目标和攻击源头进行精准定位,实现威胁入侵途径回溯,帮助企业防患于未然。

  360天眼新一代威胁感知系统提供针对网络高级威胁的检测、响应、溯源的一体化解决方案,360天眼具有高级样本的本地检测能力,网络行为取证和威胁情报也正在成为APT发现的重要助力,可以帮助某国有大型商业银行有效解决传统沙箱检测模式带来的误报问题和无法背景研判的问题。通过网络流量取证可以还原威胁在本地的历史行为,再结合威胁情报可以清楚的发现威胁的外网行为和背景,可清晰的给安全管理人员呈现APT攻击的完整流程。

  以APT为代表的高级威胁主要通过钓鱼邮件和Web浏览进行传播并结合某国有大型商业银行信息业务特点,因此我们建议在互联网出口处部署360天眼新一代威胁感知系统,分别针对办公网、互联网和业务网进行持续监测以防护APT威胁。

  

  360天眼部署示意图

  部署360天眼后,弥补了传统防火墙、IPS、AV这类安全设备对APT攻击防护能力的不足。系统可以部署在接入层、汇聚层等网络的多个层面,通过还原网络流量,在一个模拟的环境中对网络中传输的文件进行检测,通过对文件在虚拟环境中安全威胁行为的判断,实现对未知的恶意文件的检测。有效弥补了传统安全设备在防护APT等攻击上的缺陷,助力某国有大型商业银行全面提升网络安全能力,免遭未知威胁的攻击,减少损失。

  客户价值

  1、 通过使用互联网数据发掘APT攻击线索,提升了某国有大型商业银行对威胁看见的能力;

  2、 以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,帮助某国有大型商业银行从源头上解决安全问题;

  3、 通过高效的快速搜索技术帮助某国有大型商业银行提升数据查找的能力;

  4、 通过基于大数据挖掘分析的恶意代码智能检测技术,提升了某国有大型商业银行检测恶意代码的能力;

  5、 通过基于轻量级沙箱的未知漏洞攻击检测技术,提升了某国有大型商业银行检测未知漏洞的能力。

  友情提示

  2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。

  360天眼可以帮助用户及时有效的发现高级威胁,能够提供覆盖高级威胁全生命周期的检测能力,提升管理人员对勒索蠕虫类高级威胁的发现速度和效率,最大限度的降低用户受攻击后的损失,可以记录内网的任何一次网络行为,为回溯提供强大的支撑。

  

  覆盖高级威胁全生命周期的检测能力

  360天眼针对用户提供以下应急处置方案:

  1、360天眼未知威胁感知系统的流量探针已经在4月中旬加入了对ms17-010的SMBv1漏洞的几个最严重的远程代码执行漏洞的攻击检测,包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等,并对检测特征进行了更新。

  

  360天眼流量探针(传感器)通过:系统配置-设备升级-规则升级,选择“网络升级”或“本地升级”。

  

  2、360天眼可通过离线或在线方式更新威胁情报IOC即可检测WanaCry(永恒之蓝)勒索蠕虫。

  3、360威胁情报中心已经第一时间协助360杀毒处理了涉及到的相关勒索软件。

apt网络安全设备图(网络安全 arp)

▲360发布国内首个业务安全解决方案 1个月限时免费试用

▲360企业安全集团总裁吴云坤:不做别人做过的事

▲企业安全武汉研发中心开始招人啦!

  喜欢的话

  记得点关注

  哦~

阅读
分享