APT防御產(chǎn)品-鐵穹高級(jí)持續(xù)性威脅預(yù)警系統(tǒng)

鐵穹高級(jí)持續(xù)性威脅預(yù)警系統(tǒng)Copyright?AllRightsReserved.東巽科技（南京）有限公司1安全現(xiàn)狀1產(chǎn)品介紹2產(chǎn)品應(yīng)用32現(xiàn)有網(wǎng)絡(luò)環(huán)境很安全么？APT攻擊事件頻繁APT（AdvancedPersistentThreat）高級(jí)持續(xù)性威脅，是針對(duì)特定組織所作的復(fù)雜且多方位的高級(jí)滲透攻擊。2011：竊取RSA令牌種子2010：震網(wǎng)攻擊核電站2011：夜龍攻擊2013：媒體和銀行癱瘓2013:棱鏡計(jì)劃(PRISM)2009：極光攻擊2011：三一vs中聯(lián)針對(duì)性很強(qiáng)隱蔽能力極強(qiáng)防范難度高攻擊范圍廣攻擊手段豐富APT攻擊3事件剖析引誘企業(yè)內(nèi)部人員訪問(wèn)掛馬站點(diǎn)發(fā)送捆綁木馬的文檔附件的郵件利用SSL加密通道訪問(wèn)C&C服務(wù)器，獲取敏感信息全球20多家高科技企業(yè)被波及，大量核心信息資產(chǎn)泄漏木馬控守竊取極光攻擊木馬植入控制補(bǔ)丁服務(wù)器，向終端推送木馬程序。定時(shí)激活數(shù)據(jù)毀滅功能，造成硬盤數(shù)據(jù)永久性毀壞。從終端嘗試連接到服務(wù)器，成功后執(zhí)行破壞程序并執(zhí)行。木馬植入木馬控守破壞韓國(guó)KBS事件特種木馬4特種木馬特點(diǎn)精心準(zhǔn)備的一顆毒藥在投放前就針對(duì)性的使用各種殺毒軟件進(jìn)行了測(cè)試，能夠和殺毒軟件“和平共處”能夠在使用了包過(guò)濾、應(yīng)用網(wǎng)關(guān)、狀態(tài)檢測(cè)、復(fù)合型、ISA代理等防火墻的網(wǎng)絡(luò)環(huán)境保證數(shù)據(jù)回傳能夠躲避一般管理員常用的檢測(cè)工具，使之能夠在系統(tǒng)中隱身免殺能力穿透能力隱蔽能力5傳統(tǒng)防御手段的困局防火墻、IDS、IPS、防毒等傳統(tǒng)防御產(chǎn)品無(wú)法遏制特種木馬攻擊。國(guó)外知名反APT安全公司（FireEye）調(diào)查的結(jié)論：超過(guò)95%的企業(yè)網(wǎng)絡(luò)中有主機(jī)遭受過(guò)特種木馬入侵，且特種木馬樣本檢測(cè)率低于10%。2013年，國(guó)家應(yīng)急中心監(jiān)測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)1.5萬(wàn)臺(tái)主機(jī)被特種木馬控制，對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全造成嚴(yán)重威脅。賽門鐵克高級(jí)副總裁:“殺毒軟件已死。殺毒軟件僅能攔截45%的網(wǎng)絡(luò)攻擊”。6特種木馬分類下載類自動(dòng)下載木馬的程序植入時(shí)使用體積小，便于隱藏，可快速執(zhí)行控守類隱秘控制遠(yuǎn)程目標(biāo)資源的程序搭建C&C網(wǎng)絡(luò)文件下載、鍵盤記錄、密碼捕獲、屏幕控制、命令行控制等駐留類深入隱藏以期更長(zhǎng)時(shí)間擁有目標(biāo)控制權(quán)的程序通常駐留在MBR、BIOS、Ghost鏡像文件、虛擬機(jī)文件、網(wǎng)卡、應(yīng)用軟件等位置直連型木馬綁定對(duì)外開放端口，攻擊者可直接連接控制目標(biāo)主機(jī)端口復(fù)用型木馬劫持已經(jīng)使用的通信端口，對(duì)正常連接進(jìn)行重復(fù)利用操作系統(tǒng)能夠運(yùn)行在Windows、Linux、MacOS、Android、IOS等操作系統(tǒng)下應(yīng)用程序隱藏在瀏覽器、Java虛擬機(jī)、Ghost系統(tǒng)等應(yīng)用程序中硬件隱藏在硬盤、主板、網(wǎng)卡、路由器、芯片等位置按功能分類反彈端口型木馬由隱藏在目標(biāo)主機(jī)上的木馬服務(wù)端主動(dòng)連接遠(yuǎn)程木馬控制端隱蔽性高，防火墻、IDS、IPS等難以防范按通信方式分類按隱藏環(huán)境分類7政策法規(guī)《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制》關(guān)于印發(fā)《木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制》的通知《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（銀監(jiān)辦發(fā)〔2011〕62號(hào)）關(guān)于進(jìn)一步加強(qiáng)網(wǎng)上銀行風(fēng)險(xiǎn)防控工作的通知工業(yè)和信息化部：公安部：銀監(jiān)辦：木馬檢測(cè)與防御相關(guān)政策法規(guī)要求：8安全現(xiàn)狀1產(chǎn)品介紹2產(chǎn)品應(yīng)用39產(chǎn)品概述

鐵穹高級(jí)持續(xù)性威脅預(yù)警系統(tǒng)是專門針對(duì)日益嚴(yán)重的APT攻擊中廣泛使用的特種木馬而研發(fā)的一款硬件設(shè)備。該產(chǎn)品部署在網(wǎng)絡(luò)出口處采集網(wǎng)絡(luò)通信數(shù)據(jù)，分析通信數(shù)據(jù)中的木馬通信痕跡，識(shí)別木馬特征和行為，在網(wǎng)絡(luò)層實(shí)現(xiàn)對(duì)全網(wǎng)范圍內(nèi)木馬識(shí)別與追蹤，并能夠?qū)﹃P(guān)鍵資產(chǎn)所遭受的損失進(jìn)行審計(jì)。上網(wǎng)區(qū)域Internet路由器交換機(jī)PC1PC2PCn…防火墻鐵穹設(shè)備獲取網(wǎng)絡(luò)通信數(shù)據(jù)，識(shí)別特種木馬10產(chǎn)品架構(gòu)采集引擎采集引擎采集引擎協(xié)議分析引擎木馬分析引擎行為分析引擎資產(chǎn)關(guān)聯(lián)引擎綜合分析引擎數(shù)據(jù)存儲(chǔ)模塊可視化展示分析引擎采集引擎事件告警/會(huì)話還原/資產(chǎn)威脅統(tǒng)計(jì)數(shù)據(jù)存儲(chǔ)模塊遠(yuǎn)程分析遠(yuǎn)程管理網(wǎng)絡(luò)通信流量網(wǎng)絡(luò)通信流量網(wǎng)絡(luò)通信流量11主要功能綜合分析21木馬檢測(cè)威脅告警4統(tǒng)計(jì)報(bào)表5資產(chǎn)關(guān)聯(lián)312木馬檢測(cè)--核心思想根據(jù)木馬的生存特點(diǎn)，鐵穹從木馬全生命周期入手，深入挖掘網(wǎng)絡(luò)流量數(shù)據(jù)，在木馬植入、潛伏、活躍三個(gè)階段分別采用不同的方法有針對(duì)性地解決特種木馬識(shí)別難題。植入階段潛伏階段活躍階段通過(guò)虛擬引擎技術(shù)虛擬執(zhí)行協(xié)議還原得到的可執(zhí)行文件樣本通過(guò)文件讀寫、進(jìn)程創(chuàng)建、注冊(cè)表讀寫、網(wǎng)絡(luò)上傳下載等行為來(lái)判定通過(guò)判斷正常協(xié)議通信中的蛛絲馬跡來(lái)檢測(cè)APT攻擊的偽裝技術(shù)周期性的心跳數(shù)據(jù)包、規(guī)律性的DNS請(qǐng)求、規(guī)律性的IP地址訪問(wèn)異常的數(shù)據(jù)格式、異常的通信協(xié)議罕見或特殊的IP訪問(wèn)、罕見或特殊的DNS請(qǐng)求木馬命令通信數(shù)據(jù)中將攜帶一些固有特征異常的通信時(shí)間段分布異常的上行、下行通信數(shù)據(jù)比長(zhǎng)時(shí)間保持通信連接且傳輸數(shù)據(jù)量異常13木馬檢測(cè)--核心技術(shù)硬件VM虛擬引擎對(duì)郵件附件、下載文件、傳輸文件采用硬件VM虛擬執(zhí)行引擎技術(shù)進(jìn)行分析行為分析引擎對(duì)心跳信號(hào)、協(xié)議異常、流量異常、訪問(wèn)異常等進(jìn)行分析通信特征掃描檢測(cè)對(duì)網(wǎng)絡(luò)流量中的通信數(shù)據(jù)進(jìn)行黑名單、威脅特征和木馬協(xié)議特征識(shí)別文件特征碼檢測(cè)采用MD5值校驗(yàn)和廣譜特征碼匹配技術(shù)進(jìn)行檢測(cè)14木馬檢測(cè)--行為識(shí)別對(duì)異常行為進(jìn)行分析，識(shí)別木馬心跳信號(hào)規(guī)律域名解析請(qǐng)求；固定時(shí)間間隔下內(nèi)容一致的通信行為協(xié)議異常HTTP協(xié)議；DNS協(xié)議；郵件類型協(xié)議流量判斷境外IP長(zhǎng)時(shí)間連接；上下行流量比；傳輸總量；傳輸時(shí)間異常異常訪問(wèn)次數(shù)內(nèi)外網(wǎng)IP；域名訪問(wèn)；URL訪問(wèn)綜合分析數(shù)據(jù)關(guān)聯(lián)分析特殊篩選算法分析15黑名單黑IP黑域名黑URL通信行為特征用戶自定義威脅識(shí)別惡意連接HTTP訪問(wèn)文件傳輸木馬協(xié)議特征PIGh0stZXShell宙斯…對(duì)網(wǎng)絡(luò)流量中的通信特征進(jìn)行分析，識(shí)別木馬木馬檢測(cè)--特征識(shí)別16文件特征碼檢測(cè)主要采用MD5值校驗(yàn)和廣譜特征碼匹配技術(shù)進(jìn)行檢測(cè)MD5值校驗(yàn)對(duì)通信流量中的文件與已提取的樣本文件MD5值進(jìn)行校驗(yàn)，識(shí)別已知木馬廣譜特征碼提取文件的廣譜特征，并采用多模的匹配方式與通信流量中的文件進(jìn)行匹配，識(shí)別已知和未知木馬木馬檢測(cè)--文件檢測(cè)17綜合分析綜合分析是先抽象出APT中使用的各種特種木馬通信行為模型，再綜合行為分析引擎搜集和整理的各種行為因素，通過(guò)模式匹配的方法分析和挖掘特種木馬的通信行為，識(shí)別已知和未知木馬。協(xié)議異常流量判斷心跳信號(hào)異常訪問(wèn)次數(shù)HTTP協(xié)議異常DNS協(xié)議異常郵件類型協(xié)議異常1、Type數(shù)據(jù)類型不匹配特種木馬通信固定時(shí)間間隔下內(nèi)容一致的通信行為規(guī)律域名解析請(qǐng)求境外IP長(zhǎng)時(shí)間連接傳輸總量上下行流量比傳輸時(shí)間異常3、非正常工作時(shí)間2、上行超過(guò)下行10倍內(nèi)外網(wǎng)IPURL訪問(wèn)域名訪問(wèn)4、同一URL訪問(wèn)次數(shù)18資產(chǎn)關(guān)聯(lián)對(duì)關(guān)鍵資產(chǎn)、普通資產(chǎn)、業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)計(jì)管理。并將檢測(cè)出的安全威脅信息與資產(chǎn)信息進(jìn)行關(guān)聯(lián)。資產(chǎn)關(guān)聯(lián)能夠讓用戶直觀了解到威脅感染的位置和速度，準(zhǔn)確定位攻擊的目的性。19威脅告警系統(tǒng)采用基于時(shí)間框架、威脅事件聚合量、資產(chǎn)相關(guān)性等的靈活配置，管理員根據(jù)實(shí)際狀況制定相應(yīng)的威脅告警策略。告警信息可通過(guò)郵件發(fā)送給指定接收者。20統(tǒng)計(jì)報(bào)表系統(tǒng)提供了木馬統(tǒng)計(jì)、惡意連接統(tǒng)計(jì)、HTTP訪問(wèn)統(tǒng)計(jì)、文件傳輸統(tǒng)計(jì)、可疑郵件統(tǒng)計(jì)等報(bào)表功能，支持生成：日、周、月報(bào)表。支持Excel、PDF格式導(dǎo)出。21產(chǎn)品特點(diǎn)主要特點(diǎn)木馬全生命周期檢測(cè)方法基于行為分析檢測(cè)技術(shù)全流量、大數(shù)據(jù)分析事件、資產(chǎn)關(guān)聯(lián)分析木馬植入、活躍、潛伏三個(gè)階段分別采用不同的方法有針對(duì)性進(jìn)行木馬識(shí)別。通過(guò)對(duì)心跳信號(hào)、協(xié)議異常、流量異常、訪問(wèn)異常等行為進(jìn)行分析，識(shí)別木馬通信行為。鐵穹對(duì)威脅事件和企業(yè)重要資產(chǎn)進(jìn)行關(guān)聯(lián)分析，準(zhǔn)確定位攻擊位置和意圖。通信數(shù)據(jù)全流量捕獲分析，對(duì)關(guān)鍵事件通信數(shù)據(jù)進(jìn)行存儲(chǔ)，可完全回溯事件過(guò)程。22主流技術(shù)對(duì)比對(duì)比項(xiàng)IDS/IPS防毒墻鐵穹木馬檢測(cè)技術(shù)以規(guī)則/特征碼為偵測(cè)基礎(chǔ)以規(guī)則/特征碼檢測(cè)技術(shù)為主，啟發(fā)式檢測(cè)為輔文件特征碼、木馬通信特征掃描、行為分析等檢測(cè)技術(shù)流量分析技術(shù)實(shí)時(shí)分析實(shí)時(shí)分析全流量、大數(shù)據(jù)分析，可回溯深層協(xié)議分析封包層級(jí)的掃瞄，有限的交叉分析結(jié)合文件掃描，缺少關(guān)聯(lián)分析，難以發(fā)現(xiàn)未知惡意程序文件掃描，網(wǎng)絡(luò)協(xié)議分析與木馬通信行為分析和綜合關(guān)聯(lián)分析文件檢測(cè)技術(shù)文件特征碼為主文件特征碼和啟發(fā)式檢測(cè)文件特征碼和虛擬執(zhí)行引擎檢測(cè)多級(jí)分部式部署不支持不支持支持資產(chǎn)關(guān)聯(lián)分析不支持不支持支持23同類產(chǎn)品對(duì)比產(chǎn)品

對(duì)比項(xiàng)東巽-鐵穹國(guó)內(nèi)某APT安全廠商產(chǎn)品國(guó)內(nèi)某互聯(lián)網(wǎng)安全廠商產(chǎn)品支持協(xié)議支持多種協(xié)議，包括TCP、UDP、ICMP、HTTP、SMTP、POP3、IMAP、FTP、SMB、DNS等少，HTTP、FTP、POP3少，支持POP3、HTTP等協(xié)議核心檢測(cè)技術(shù)特種木馬通信行為檢測(cè)技術(shù)虛擬執(zhí)行引擎檢測(cè)技術(shù)多沙箱引擎檢測(cè)技術(shù)功能主要通過(guò)全生命周期檢測(cè)的思想來(lái)檢測(cè)發(fā)現(xiàn)APT攻擊中的特種木馬，以及其它攻擊行為和惡意代碼（掛馬、釣魚郵件等）用于檢測(cè)APT攻擊中的惡意代碼，主要側(cè)重0DAY/NDAY的檢測(cè)用于檢測(cè)APT攻擊中的惡意代碼，主要側(cè)重0DAY/NDAY的檢測(cè)優(yōu)缺點(diǎn)優(yōu)點(diǎn)：按照木馬生命周期檢測(cè)，采用多種木馬通信行為檢測(cè)技術(shù)相互組合，能夠檢測(cè)木馬生命周期中植入、潛伏、活躍各個(gè)階段的行為，檢測(cè)更加深入、細(xì)致。同時(shí)系統(tǒng)提供接口，可與其它設(shè)備聯(lián)動(dòng)

缺點(diǎn)：只能檢測(cè)木馬通信行為，無(wú)法檢測(cè)漏洞利用行為。優(yōu)點(diǎn)：通過(guò)虛擬執(zhí)行技術(shù)來(lái)檢測(cè)0DAY和NDAY漏洞，以及部分其他惡意代碼。

缺點(diǎn)：只能針對(duì)植入階段的檢測(cè)，木馬或者其它惡意代碼已經(jīng)存在或者躲過(guò)虛擬執(zhí)行引擎檢測(cè)后不能進(jìn)行檢測(cè)優(yōu)點(diǎn)：通過(guò)多沙箱引擎來(lái)檢測(cè)0DAY和NDAY漏洞，以及部分其它惡意代碼。

缺點(diǎn)：只能針對(duì)植入階段的檢測(cè)，木馬或者其它惡意代碼已經(jīng)存在或者躲過(guò)虛擬執(zhí)行引擎檢測(cè)后不能進(jìn)行檢測(cè)；此外，很多功能需要聯(lián)動(dòng)360其它產(chǎn)品才能深度檢測(cè)告警方式郵件告警

支持自定義告警策略地圖式告警，UI彈出式告警，郵件告警，聲音告警未知全流量回溯支持不支持不支持攻擊行為溯源強(qiáng)。根據(jù)通信行為能夠定位木馬攻擊路徑。弱，只能檢測(cè)木馬程序文件，缺少木馬內(nèi)網(wǎng)攻擊路徑展示。弱，只能檢測(cè)木馬程序文件，缺少木馬內(nèi)網(wǎng)攻擊路徑展示。資產(chǎn)關(guān)聯(lián)分析支持不支持不支持事件關(guān)聯(lián)分析支持支持不支持部署方式旁路部署，支持多級(jí)、分布式部署旁路部署，支持分布式，不支持多級(jí)部署旁路部署，單設(shè)備部署24產(chǎn)品部署單一部署在重要網(wǎng)絡(luò)節(jié)點(diǎn)或網(wǎng)絡(luò)出口部署鐵穹設(shè)備。25多級(jí)分布式部署從重要網(wǎng)絡(luò)節(jié)點(diǎn)到網(wǎng)