智能制造網(wǎng)APP
智能制造網(wǎng)手機(jī)站
智能制造網(wǎng)小程序
智能制造網(wǎng)官微
智能制造網(wǎng)服務(wù)號(hào)
智能控制
機(jī)器人
儀器儀表
物聯(lián)網(wǎng)
3D打印
工業(yè)軟件
回放
浙江升級(jí)版恒溫恒濕試驗(yàn)箱熱銷設(shè)備
升級(jí)版恒溫恒濕試驗(yàn)箱,臥式恒溫恒濕試驗(yàn)箱,恒溫恒濕試驗(yàn)房,恒溫恒濕機(jī)維修,恒溫恒濕房定制品牌
皓天鑫
12月28日,奇安信正式對(duì)外發(fā)布一站式威脅情報(bào)運(yùn)營(yíng)系統(tǒng)星軌(簡(jiǎn)稱TIOS)。TIOS包含樣本鑒定平臺(tái)(Singularity)、情報(bào)運(yùn)營(yíng)平臺(tái)(Tide)、威脅情報(bào)平臺(tái)(Quark)、郵件檢測(cè)系統(tǒng)(White hole)、同源分析系統(tǒng)(Megalodon)五大安全組件平臺(tái),融合公有云和私有云多數(shù)據(jù)情報(bào)來(lái)源,結(jié)合威脅圖譜分析的關(guān)聯(lián)視圖展示,實(shí)現(xiàn)威脅情報(bào)數(shù)據(jù)生產(chǎn)、共享、處理、運(yùn)營(yíng)與消費(fèi)的閉環(huán)建設(shè),幫助政企機(jī)構(gòu)快速精準(zhǔn)發(fā)現(xiàn)網(wǎng)絡(luò)威脅,了解網(wǎng)絡(luò)安全態(tài)勢(shì)。
威脅情報(bào)需要閉環(huán)運(yùn)營(yíng)
眾所周知,網(wǎng)絡(luò)安全是一個(gè)攻防雙方動(dòng)態(tài)博弈的過(guò)程。網(wǎng)絡(luò)威脅技術(shù)手段和形式在不斷變化,一次網(wǎng)絡(luò)攻擊往往涉及多層攻擊面,專業(yè)的分工和豐富的資源使攻擊者往往具備較高和成熟的網(wǎng)絡(luò)攻擊水平,采用傳統(tǒng)方法一旦漏掉部分細(xì)節(jié)就意味著永遠(yuǎn)錯(cuò)過(guò),很難還原攻擊全貌,導(dǎo)致攻擊者得手之后“逃之夭夭”。
“盡管攻擊手法日新月異,但攻擊者使用的基礎(chǔ)設(shè)施卻不會(huì)頻繁發(fā)生變化。”奇安信威脅情報(bào)中心負(fù)責(zé)人汪列軍表示,攻擊者并不會(huì)為每次新的攻擊更換基礎(chǔ)資源,相反為實(shí)現(xiàn)利益最大化,減少購(gòu)買全新基礎(chǔ)設(shè)施所消耗的成本,很可能重復(fù)使用基礎(chǔ)設(shè)施資源,只需要修改所利用的惡意程序即可。
因此,基于威脅情報(bào)進(jìn)行事件關(guān)聯(lián)是使網(wǎng)絡(luò)安全戰(zhàn)略更加有效的一種方法,它能夠精準(zhǔn)檢測(cè)攻擊者使用的基礎(chǔ)設(shè)施,同時(shí)提供豐富的上下文,來(lái)確保用戶在威脅狩獵的過(guò)程中,不漏掉任何攻擊細(xì)節(jié)。
但是,僅僅依靠外部威脅情報(bào)輸入還是遠(yuǎn)遠(yuǎn)不夠的,威脅情報(bào)驅(qū)動(dòng)的威脅運(yùn)營(yíng)是一個(gè)運(yùn)行閉環(huán),威脅情報(bào)從生產(chǎn)、應(yīng)用到運(yùn)行要在政企機(jī)構(gòu)落地,更需要“嵌入”內(nèi)部的信息化和業(yè)務(wù)系統(tǒng)和流程中,并作用于積極防御,建立自身的情報(bào)生產(chǎn)和消費(fèi)能力,挖掘出潛在和未知威脅,并及時(shí)有效的彌補(bǔ)防御弱點(diǎn)。
五大組件全面覆蓋威脅情報(bào)所有環(huán)節(jié)
汪列軍稱,此次奇安信發(fā)布的TIOS基于威脅情報(bào)中心多年的實(shí)戰(zhàn)積累,通過(guò)提供一套包含五大組件的組合級(jí)解決方案,支持各安全組件按需靈活擴(kuò)展和組合,在隔離網(wǎng)或聯(lián)網(wǎng)場(chǎng)景下均適用,幫助政企機(jī)構(gòu)完成威脅情報(bào)生產(chǎn)與生產(chǎn)的有效運(yùn)營(yíng)。
具體如下:
第一,樣本鑒定平臺(tái)(Singularity)。
《2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示,惡意程序傳播與治理對(duì)抗性加劇,全年捕獲惡意程序樣本數(shù)量超過(guò)4200萬(wàn)個(gè),僅日均傳播次數(shù)就達(dá)482萬(wàn)余次。
樣本鑒定平臺(tái)通過(guò)靜態(tài)+動(dòng)態(tài)的多引擎檢測(cè)方式,結(jié)合自研和業(yè)界多款知名反病毒引擎、高級(jí)威脅檢測(cè)引擎、高對(duì)抗行為分析、威脅情報(bào)關(guān)聯(lián)、自動(dòng)化標(biāo)定文件tag等,提供實(shí)時(shí)在線檢測(cè)分析能力,輸出精準(zhǔn)的檢測(cè)結(jié)果、具體的威脅類別以及直觀的分析報(bào)告,滿足多個(gè)場(chǎng)景下對(duì)惡意樣本的檢測(cè)、研判、分析溯源需求。
第二,情報(bào)運(yùn)營(yíng)平臺(tái)(Tide)。
奇安信威脅情報(bào)中心作為國(guó)內(nèi)首個(gè)商用威脅情報(bào)中心,已經(jīng)建立了一整套完善的“高價(jià)值情報(bào)運(yùn)營(yíng)體系”,在兼顧威脅情報(bào)的準(zhǔn)確率和召回率的同時(shí),能以“情報(bào)內(nèi)生”的方式,將威脅情報(bào)生產(chǎn)+運(yùn)營(yíng)能力下沉至用戶本地。
情報(bào)運(yùn)營(yíng)平臺(tái)具備強(qiáng)大的威脅研判分析能力,為用戶提供情報(bào)鑒定、人工運(yùn)營(yíng)等功能。并且通過(guò)對(duì)象研判處理、元數(shù)據(jù)提取、狀態(tài)變更、情報(bào)標(biāo)定以及運(yùn)營(yíng)判斷等處置流程,對(duì)樣本運(yùn)營(yíng)進(jìn)行全生命周期管理。與此同時(shí),為保證威脅情報(bào)檢測(cè)的準(zhǔn)確率,所有生產(chǎn)的情報(bào)IOC必須經(jīng)人工審核流程處理后才會(huì)投入使用。
第三,威脅情報(bào)平臺(tái)(Quark)。
需要注意的是,由于不同威脅情報(bào)供應(yīng)商在數(shù)據(jù)覆蓋度和專注領(lǐng)域的區(qū)別,采用單一威脅情報(bào)源極易產(chǎn)生漏報(bào)現(xiàn)象。奇安信威脅情報(bào)平臺(tái)引入了多源威脅情報(bào),經(jīng)聚合及綜合研判后輸出可信度較高的信息,還能夠通過(guò)各類高速查詢接口為本地的大數(shù)據(jù)平臺(tái)提供豐富的上下文,大幅提升威脅情報(bào)檢測(cè)的準(zhǔn)確率,降低誤報(bào)率和漏報(bào)率。
不僅如此,威脅情報(bào)平臺(tái)還可實(shí)現(xiàn)用戶自身環(huán)境內(nèi)自產(chǎn)威脅情報(bào)數(shù)據(jù)的導(dǎo)入,并以標(biāo)準(zhǔn)STIX格式,實(shí)現(xiàn)本地威脅情報(bào)的共享,提升整個(gè)行業(yè)的安全基線。
第四,郵件檢測(cè)系統(tǒng)(White hole)。
在APT分析中,郵件攻擊檢測(cè)主要采用攻擊郵件探針的探測(cè),再結(jié)合規(guī)則引擎的分析檢測(cè)結(jié)果,將攻擊郵件探針?biāo)捎玫哪繕?biāo)IP、收發(fā)件人、郵件正文等內(nèi)容與“威脅情報(bào)+私有情報(bào)”進(jìn)行匹配,即可判斷是否遭受高級(jí)APT郵件攻擊。
郵件檢測(cè)系統(tǒng)利用多項(xiàng)技術(shù)挖掘郵件正文、郵件附件中高級(jí)威脅信息,依賴團(tuán)隊(duì)長(zhǎng)期跟蹤的高級(jí)威脅團(tuán)伙對(duì)各類郵件中的云附件進(jìn)行標(biāo)記,檢測(cè)出實(shí)際的攻擊類型、郵件中包含的特征以及各類攻擊手段,追蹤并跟進(jìn)到更多的高級(jí)APT攻擊團(tuán)伙,是企業(yè)實(shí)現(xiàn)高級(jí)威脅郵件檢測(cè)與APT追蹤的一種有效手段。
第五,同源分析系統(tǒng)(Megalodon)。
為了躲避檢測(cè),惡意樣本不斷采用多態(tài)和變形等方式,使得分析師很難發(fā)現(xiàn)樣本中的同源關(guān)系(若惡意樣本由同一惡意代碼采用代碼復(fù)用的方式演變而來(lái),或行為具有相似性,而出現(xiàn)存在先后的關(guān)系,則稱它們?yōu)橥?,給攻擊組織溯源帶來(lái)了極大的挑戰(zhàn),難以制定具有針對(duì)性的防御策略。
在經(jīng)過(guò)樣本鑒定平臺(tái)后,用戶可將滿足條件的樣本投入文件同源分析平臺(tái)。該組件利用基于機(jī)器學(xué)習(xí)的(高級(jí))惡意樣本分類識(shí)別引擎,抽取樣本文件的元數(shù)據(jù),通過(guò)同源分類算法(和已有典型樣本文件或指定病毒文件的元數(shù)據(jù)進(jìn)行相似性計(jì)算)快速找出已知APT攻擊團(tuán)伙、惡意家族的未知相似樣本,確定是否存在明顯的同源性或者是否可以歸為一個(gè)家族,來(lái)判斷樣本的同源性和家族屬性,協(xié)助研判未知威脅發(fā)現(xiàn)。
汪列軍強(qiáng)調(diào),TIOS集威脅情報(bào)研判能力、運(yùn)營(yíng)數(shù)據(jù)處理能力、文件深度鑒定能力、郵件攻擊檢測(cè)能力及樣本同源分析能力于一體,是使生產(chǎn)私有情報(bào)落地、利用情報(bào)完善攻擊發(fā)現(xiàn)、安全事件分析響應(yīng)處置及預(yù)防相關(guān)工作的最佳利器。
浙公網(wǎng)安備 33010602000006號(hào)
智能制造網(wǎng)APP
智能制造網(wǎng)小程序
微信公眾號(hào)
