16威胁感知天眼产品白皮书新一代威胁感知系统v4081520.docx
《16威胁感知天眼产品白皮书新一代威胁感知系统v4081520.docx》由会员分享,可在线阅读,更多相关《16威胁感知天眼产品白皮书新一代威胁感知系统v4081520.docx(11页珍藏版)》请在冰豆网上搜索。
16威胁感知天眼产品白皮书新一代威胁感知系统v4081520
网神新一代威胁感知系统V4.0
产品白皮书
奇安信集团
版本信息
文档名称
密级
创建人
创建日期
网神新一代威胁感知系统V4.0产品白皮书
公开
李闯
20170926
修订记录
修订日期
修订内容
修订人
20170925
新增
李闯
20180502
修改
李闯
20180713
修改
杨辉
20190426
修改
李玉才
©2019奇安信集团保留所有权利
本文档所有内容均为奇安信集团独立完成,未经奇安信集团作出明确书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形状)对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。
1.引言
近年来,具备国家和组织背景的APT攻击日益增多,例如:
2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014年APT攻击的主要目标行业是金融和政府,分别高达84%和77%。
2019年初,奇安信威胁情报中心发布了《2018年中国高级持续性威胁(APT)研究报告》。
报告中指出:
从公开披露的高级威胁活动中涉及目标行业情况来看(摘录自公开报告中提到的攻击目标所属行业标签),政府、外交、军队、国防依然是APT攻击者的主要目标,这也与APT攻击的主要意图和目的有关,值得注意的是国家的基础性行业也正面临着高级威胁攻击的风险,如能源、电力、工业、医疗等。
而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁,如MageCart、CobaltGroup等等,其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击,这与过去的普通黑客攻击是完全不同的。
除了针对金融、银行外,电子商务、在线零售等也是其攻击目标。
图1全球APT组织关注领域分布
高级威胁活动涉及目标的国家和地域分布情况统计如下图(摘录自公开报告中提到的受害目标所属国家或地域),可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。
图2高级威胁活动针对的国家和地区
2012年4月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。
根据该组织的某些攻击特点,奇安信公司将其命名为OceanLotus(海莲花)。
在2017年的监测中,海莲花仍处于活跃状态,同时在不断的更新攻击手法。
传统安全防御体系的设备和产品遍布网络2~7层的数据分析。
其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。
反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。
APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。
传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。
但依靠这种分析方式,传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。
如果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结构化数据、非结构化数据,涵盖了视频、图片、文本等等多种格式,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有价值的信息。
在安全形势不断恶化的今天,政府、军队、金融、大型企业等客户所处的特殊位置,经常会面临来自互联网的攻击威胁,虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设备,但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成泄漏、损坏或篡改等严重损失。
因此企业需要在其网络中部署威胁感知产品,及时发现潜藏在其网络中的安全威胁,对威胁的恶意行为实现早期的快速发现,对受害目标及攻击源头进行精准定位,对入侵途径及攻击者背景的研判与溯源,从源头上解决企业网络中的安全问题,尽可能地减少安全威胁对企业带来的损失。
2.产品概述
网神新一代威胁感知系统(以下简称“天眼”)可基于奇安信自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。
同时结合部署在客户本地的大数据平台,进行本地流量深度分析。
天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源,帮助企业防患于未然。
3.产品组成与架构
网神新一代威胁感知系统可基于奇安信自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。
同时结合部署在客户本地的软、硬件设备,天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。
天眼主要包括威胁情报、分析平台、传感器和文件威胁鉴定器四个模块。
图-1天眼架构图
3.1.威胁情报
威胁情报来自奇安信云端的分析成果,可对APT攻击、新型木马、特种免杀木马进行规则化描述。
奇安信公司依托于云端的海量数据,通过基于人工智能自学习的自动化数据处理技术,依靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进行人工干预,做到精细分析,确认攻击手段、攻击对象以及攻击的目的,通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供天眼系统使用的威胁情报。
3.2.分析平台
分析平台不仅将传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的检测报告进行存储,还能将存储的流量日志与威胁情报进行碰撞以及进行日志关联性分析产生告警,此外还能对内网告警事件进行监控以态势大屏的形式进行展示。
结合安服的分析经验,分析平台引入了场景分析视角和业务分析视角,帮助用户快速感知威胁。
(1)场景分析视角:
定义多个用户使用场景对流量日志进行分析产生线索,专家对线索再次分析生成告警
(2)业务分析视角:
定义多个业务视角对所有告警进行深层次分析和研判,研判完成后对告警进行溯源分析,从攻击链的视角重现整个攻击过程,并进行可视化展示,帮助用户了解这些威胁事件的来龙去脉。
分析平台支持与终端EDR和防火墙联动,能对恶意进程进行查杀、对攻击IP/受害IP/恶意请求的流量进行阻断,缩短用户的响应时间。
3.3.流量传感器
天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台,流量镜像中的PE和非PE文件还原后则加密传输给天眼文件威胁鉴定器进行检测。
天眼传感器通过对网络流量进行解码还原出真实流量,提取网络层、传输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平台进行统一处理。
传感器中应用的自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持HTTP(网页)、SMTP/POP3(邮件)等主流协议的高性能分析。
同时,天眼传感器内置的威胁检测进程serverids,可检测多种网络协议中的攻击行为,提供ids、webids、webshell、威胁情报多种维度的告警展示,可检测如多种网络应用、木马、广告、exploit等多种网络攻击行为,也可检测如sql注入、跨站、webshell、命令执行、文件包含等多种web攻击行为,内置的webshell沙箱可以精准检测php后门并记录相关信息,拥有威胁情报实时匹配能力,能发现恶意软件、APT事件等威胁,产生的多种告警都会加密,并传输给天眼分析平台进行统一分析管理。
3.4.文件威胁鉴定器
天眼文件威胁鉴定器主要负责对传感器、手动提交、FTP、SMB、URL等多数据来源通道的样本进行检测。
整个检测过程中文件进行威胁情报匹配、沙箱检测、静态检测与动态检测等多种检测,及时发现有恶意行为的文件并告警,告警日志可传给天眼分析平台供统一分析。
天眼通过文件威胁鉴定器对文件进行高级威胁检测,文件威胁鉴定器可以接收还原自传感器的大量PE和非PE文件,使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现传统安全设备无法发现的高级威胁,并将威胁相关情况以报告行为提供给企业安全管理人员。
天眼文件威胁鉴定器上的相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。
4.产品优势与特点
1.首创使用互联网数据发掘APT攻击线索,提升企业对威胁看见的能力
传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。
而由于企业网络防护系统缺少相关APT学习经验,而且攻击者的逃逸水平也在不断的进步发展,本地设备会经常性的出现误报和漏报现象,经常需要人工的二次分析进行筛选。
而且由于APT攻击的复杂性和背景的特殊性,仅依赖于单一企业的数据经常无法有效的发现APT攻击背景,难以做到真正的追踪溯源。
而天眼则创新性的从互联网数据进行发掘和分析,由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到,所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率,而且由于数据的覆盖面更大,可以做到攻击的更精准溯源。
2.以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,帮助企业从源头上解决安全问题
传统的防护体系在多台设备间进行联动往往需要通过特别开发的接口对一种或几种特殊类别的告警或信息进行分发和通知,这种设计往往会制约多种不同设备或系统之间的信息传递。
同时由于对于消息接口缺乏一个系统化的规范化的描述,很难对复杂的攻击行为进行准确定义。
而天眼的一大创新点在于用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输,而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化,可满足未来扩展攻击特征以及后续扩展联动设备的需要。
3.对告警进行深度分析以攻击链的视角重现攻击过程
传统的防护设备只能对攻击行为进行告警,无法向用户描述整个攻击过程以及给予相应的处置方案。
天眼依据多年的积累经验从用户的业务角度出发对告警进行分析和研判,确认告警事件后对告警进行深度调查分析,以告警中的受害主机为线索还原整个攻击过程(侦察-入侵-命令控制-横向渗透-数据外泄-痕迹清理)。
同时结合安全专家积累的经验给出相应的处置方案。
4.EDR/NDR联动提高响应处置的能力
天眼支持与终端EDR和防火墙进行联动,在天眼上发现告警后能对终端恶意进程进行查杀、对攻击IP/受害IP/恶意请求流量进行阻断,实现威胁发现到解决的闭环处置。
5.基于大数据挖掘分析的恶意代码智能检测技术,提升了客户检测恶意代码的能力
天眼采用了机器学习等人工智能算法,针对海量程序样本进行自动化分析,有效解决了大部分未知恶意程序的发现问题。
由于传统杀毒技术严重依赖于样本获得能力和病毒分析师的能力,基本只能处理已知问题,不能对可能发生的问题进行防范,具有严重的滞后性和局限性。
本技术对海量样本进行挖掘,能够找到恶意软件的内在规律,能对未来相当长时期的恶意软件技术做出前瞻性预测,实现不更新即可识别大量新型恶意软件,在全球处于领先水平。
6.基于多引擎沙箱的未知漏洞攻击检测技术,提升了客户检测未知漏洞的能力
所采用的多引擎沙箱的方法对未知的恶意代码进行检测,这种利用对恶意代码的行为进行动态分析的方法,可以避免因为无法提前获得未知恶意代码特征而漏检的问题,亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测,因为免杀木马是APT攻击的核心步骤,因此对未知恶意代码样本和利用0-day漏洞攻击具有良好效果。
7.基于轻量级沙箱的未知漏洞攻击检测技术,提升了客户检测未知漏洞的能力
现有的传统安全防护措施大多数使用基于签名(Signature)的机制对已知威胁进行检测和防护,而天眼的基于轻量级沙箱的未知漏洞攻击检测引擎是针对传统基于签名的局限性提出的解决方案,可以检测和发现主流客户端应用程序(IE/Office/AdobeReader)的可疑威胁为目标,能对客户端应用中已知漏洞和未知0day漏洞的攻击利用进行检测。
8.专业的专家运营团队,全天候为企业保驾护航
为了推进自动化分析技术的发展,并对未知威胁做最终定性和跟踪,奇安信长时间维持了一个近百人的庞大安全分析团队,该团队技术能力覆盖了操作系统、逆向、漏洞挖掘、渗透等安全的各个技术领域,该团队成员的经验为云端分析系统的运行提供了宝贵输入,并支持了国内多次重大APT事件的深度挖掘和定位。
奇安信的安全专家团队可为企业提供及时有效的安全服务,帮助企业保护自身网络的安全,减少企业遭受攻击时受到的损失。
5.产品价值
天眼可以为用户带来以下几方面的价值:
Ø高级威胁的精准检测
与传统的安全检测方案相比,天眼系统可以快速发现已知和未知的高级网络攻击,准确率高,误报率低。
Ø高级威胁的回溯和分析
天眼系统还原和存储网络流量的元数据,可以帮助客户回溯已经发生网络攻击行为,分析攻击路径、受感染面和信息泄露状况,同时结合业务场景从多个维度对攻击事件进行分析提高用户对威胁的认知。
Ø重大安全事件的快速响应
基于威胁情报的上下文,天眼系统可以帮助安全运营人员发现、研判重大安全事件(如:
永恒之蓝、APT事件、NotPetya、MaraiBotnet)。
此外天眼系统还能与终端EDR/防火墙联动能快速进行响应处置。
Ø专家服务
提供专家服务,支持设备与云端运营平台对接,安全专家在云端平台对数据进行分析生成分析报告提供给用户。
Ø满足新等保的合规要求
天眼系统满足了新等保2.0对网络攻击检测和分析要求,特别是针对未知的新型网络攻击和APT攻击。
6.典型部署
6.1.高级威胁检测、回溯和响应方案
6.1.1.部署拓扑图
图-2方案实施拓扑图
6.1.2高级威胁检测、回溯和响应方案说明
部署天眼高级威胁检测、回溯和响应方案可以帮助用户及时有效的发现未知威胁,提升管理人员对未知威胁的发现速度和效率,可以记录内网的任何一次网络行为为回溯提供强大的支撑,同时提供快速响应通道,缩短用户响应时间,将用户的损失降低到最小。
在此方案中,对用户网络中的流量进行全量检测和记录,所有网络行为都将以标准化的格式保存于天眼的数据平台,云端威胁情报和本地文件威胁鉴定器分析结果与本地分析平台进行对接,为用户提供基于情报和文件检测的威胁发现与溯源的能力,支持与天擎EDR和防火墙进行联动进行快速响应处置。
部署该方案后,可以为用户解决以下安全问题:
1.检测发现传统防护手段漏过的未知威胁
2.在隔离网络环境下检测未知威胁
3.对企业内的海量数据进行安全分析
4.对企业内已发现的问题进行攻击回溯
5.对终端感染病毒进行查杀
6.对攻击IP/受害IP/恶意请求流量进行阻断
6.2.本地威胁发现方案
6.3.1部署拓扑图
图-3方案实施拓扑图
6.3.2本地威胁发现方案说明
部署天眼本地威胁发现方案可以帮助用户及时有效的发现威胁,提升安全管理人员的发现速度和效率,最大限度的降低用户受攻击后的损失。
奇安信天眼实验室在云端共搜集了200PB与安全相关的数据,涵盖了DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,最终形成云端威胁情报,然后结合一个专家运营团队不断的通过不同的攻击思路挖掘大量数据,可有效帮助用户发现内部网络中的安全问题。
在此方案中,对用户网络中的流量进行全量检测和记录,所有网络行为都将以标准化的格式保存于天眼的数据平台,结合云端威胁情报与本地分析平台进行对接,为用户提供了一条崭新的发现本地威胁的通道。
部署该方案后,可以为用户解决以下安问题:
1.检测发现传统防护手段漏过的未知威胁
2.对企业内的海量数据进行安全分析
3.对企业内已发现的问题进行攻击回溯
6.3.文件威胁检测方案
6.4.1部署拓扑图
图-4方案实施拓扑图
6.4.2文件威胁检测方案说明
部署天眼文件威胁检测方案可以有效帮助用户在攻击日益泛滥的今天,应对手段更加高明、目的性更加明确的高级威胁,为用户网络安全建设提供文件威胁检测及分析能力,有效应对当前环境下的新型安全威胁。
在该方案中,传感器负责将所有镜像流量进行还原分析,提取HTTP、SMTP、POP3、FTP等文件传输协议中出现的文件内容,将文件通过加密通道传送到文件威胁鉴定器;文件威胁鉴定器对所有文件进行解压缩,格式检查后,将使用静态检测、半动态检测、沙箱检测等多种检测手段对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁。
部署该方案后,可以为用户解决以下安全问题:
1.检测发现传统防护手段漏过的未知威胁
2.在隔离网络环境下检测未知威胁
升级会员 