APT防御产品-铁穹高级持续性威胁预警系统

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,东巽科技（南京）有限公司,*,单击此处编辑母版标题样式,铁穹高级持续性威胁预警系统,Copyright All Rights Reserved.,东巽科技（南京）有限公司,1,安全现状,1,产品介绍,2,产品应用,3,现有网络环境很安全么？,2,APT,攻击事件频繁,APT,（,Advanced Persistent Threat,）高级持续性威胁,，是针对特定组织所作的复杂且多方位的高级渗透攻击。,2011,：窃取,RSA,令牌种子,2010,：震网攻击核电站,2011,：夜龙攻击,2013,：媒体和银行瘫痪,2013:,棱镜计划,(PRISM),2009,：极光攻击,2011,：三一,vs,中联,针对性很强,隐蔽能力极强,防范难度高,攻击范围广,攻击手段丰富,APT,攻击,3,事件剖析,引诱企业内部人员访问,挂马,站点,发送,捆绑木马,的文档附件的邮件,利用,SSL,加密通道访问,C&C,服务器，获取敏感信息,全球,20,多家高科技企业被波及，大量核心信息资产泄漏,木马控守,窃取,极光攻击,木马植入,控制补丁服务器，向终端推送,木马程序,。,定时激活数据毁灭功能，造成硬盘数据永久性毁坏。,从终端尝试连接到服务器，成功后执行破坏程序并执行。,木马植入,木马控守,破坏,韩国,KBS,事件,特种木马,4,特种木马特点,精心准备的一颗毒药,在投放前就针对性的使用各种杀毒软件进行了测试，能够和杀毒软件“和平共处”,能够在使用了包过滤、应用网关、状态检测、复合型、,ISA,代理等防火墙的网络环境保证数据回传,能够躲避一般管理员常用的检测工具，使之能够在系统中隐身,免杀,能力,穿透,能力,隐蔽,能力,5,传统防御手段的困局,防火墙、,IDS,、,IPS,、防毒等传统防御产品无法遏制特种木马攻击。,国外知名反,APT,安全公司（,FireEye,）调查的结论：超过,95%,的企业网络中有主机遭受过特种木马入侵，且特种木马样本检测率低于,10%,。,2013,年，国家应急中心监测发现我国境内,1.5,万,台主机被特种木马控制，对我国关键基础设施和重要信息系统安全造成严重威胁。,赛门铁克高级副总裁,:,“杀毒软件已死。杀毒软件仅能拦截,45%,的网络攻击,”,。,6,特种木马分类,下载类,自动下载木马的程序,植入时使用,体积小，便于隐藏，可快速执行,控守类,隐秘控制远程目标资源的程序,搭建,C&C,网络,文件下载、键盘记录、密码捕获、屏幕控制、命令行控制等,驻留类,深入隐藏以期更长时间拥有目标控制权的程序,通常驻留在,MBR,、,BIOS,、,Ghost,镜像文件、虚拟机文件、网卡、应用软件等位置,直连型木马,绑定对外开放端口，攻击者可直接连接控制目标主机,端口复用型木马,劫持已经使用的通信端口，对正常连接进行重复利用,操作系统,能够运行在,Windows,、,Linux,、,Mac OS,、,Android,、,IOS,等操作系统下,应用程序,隐藏在浏览器、,Java,虚拟机、,Ghost,系统等应用程序中,硬件,隐藏在硬盘、主板、网卡、路由器、芯片等位置,按功能分类,反弹端口型木马,由隐藏在目标主机上的木马服务端主动连接远程木马控制端,隐蔽性高，防火墙、,IDS,、,IPS,等难以防范,按通信方式分类,按隐藏环境分类,7,政策法规,移动互联网恶意程序监测与处置机制,关于印发木马和僵尸网络监测与处置机制的通知,信息安全技术 信息系统安全等级保护基本要求,信息安全技术 信息系统安全等级保护测评要求,（银监办发,20,1162号）关于进一步加强网上银行风险防控工作的通知,工业和信息化部：,公安部：,银监办：,木马检测与防御相关政策法规要求：,8,安全现状,1,产品介绍,2,产品应用,3,9,产品概述,铁穹高级持续性威胁预警系统是专门针对日益严重的,APT,攻击中广泛使用的特种木马而研发的一款硬件设备。该产品部署在网络出口处采集网络通信数据，分析通信数据中的木马通信痕迹，识别木马特征和行为，在网络层实现对全网范围内木马识别与追踪，并能够对关键资产所遭受的损失进行审计。,上网区域,Internet,路由器,交换机,PC1,PC2,PCn,防火墙,铁穹设备,获取网络通信数据，识别特种木马,10,产品架构,采集引擎,采集引擎,采集引擎,协议分析引擎,木马分析引擎,行为分析引擎,资产关联引擎,综合分析引擎,数据存储模块,可视化展示,分析引擎,采集引擎,事件告警,/,会话还原,/,资产威胁统计,数据存储模块,远程分析,远程管理,网络通信流量,网络通信流量,网络通信流量,11,主要功能,综合分析,2,1,木马检测,威胁告警,4,统计报表,5,资产关联,3,12,木马检测,-,核心思想,根据木马的生存特点，铁穹从木马,全生命周期,入手，深入挖掘网络流量数据，在木马,植入、潜伏、活跃,三个阶段分别采用不同的方法有针对性地解决特种木马识别难题。,植入阶段,潜伏阶段,活跃阶段,通过虚拟引擎技术虚拟执行协议还原得到的可执行文件样本,通过文件读写、进程创建、注册表读写、网络上传下载等行为来判定,通过判断正常协议通信中的蛛丝马迹来检测,APT,攻击的伪装技术,周期性的心跳数据包、规律性的,DNS,请求、规律性的,IP,地址访问,异常的数据格式、异常的通信协议,罕见,或特殊的,IP,访问、罕见或特殊的,DNS,请求,木马命令通信数据中将携带一些固有特征,异常的通信时间段分布,异常的上行、下行通信数据比,长时间保持通信连接且传输数据量异常,13,木马检测,-,核心技术,14,木马检测,-,行为识别,对异常行为进行分析，识别木马,心跳信号,规律域名解析请求；,固定时间间隔下内容一致的通信行为,协议异常,HTTP,协议；,DNS,协议；,邮件类型协议,流量判断,境外,IP,长时间连接；,上下行流量比；,传输总量；,传输时间异常,异常访问次数,内外网,IP,；,域名访问；,URL,访问,综合分析,数据关联分析,特殊筛选算法分析,15,黑名单,黑,IP,黑域名,黑,URL,通信行为特征,用户自定义,威胁识别,恶意连接,HTTP,访问,文件传输,木马协议特征,PI,Gh0st,ZXShell,宙斯,对网络流量中的通信特征进行分析，识别木马,木马检测,-,特征识别,16,文件特征码检测主要采用,MD5,值校验和广谱特征码匹配技术进行检测,MD5,值校验,对通信流量中的文件与已提取的样本文件,MD5,值进行校验，识别已知木马,广,谱特征码,提取文件的广谱特征，并采用多模的匹配方式与通信流量中的文件进行匹配，识别已知和未知木马,木马检测,-,文件检测,17,综合分析,综合分析是先抽象出,APT,中使用的各种特种木马通信行为模型，再综合行为分析引擎搜集和整理的各种行为因素，通过模式匹配的方法分析和挖掘特种木马的通信行为，识别已知和未知木马。,协议异常,流量判断,心跳信号,异常访问次数,HTTP,协议异常,DNS,协议异常,邮件类型协议异常,1,、,Type,数据类型不匹配,特种木马通信,固定时间间隔下,内容一致的通信行为,规律域名,解析请求,境外,IP,长时间连接,传输总量,上下行流量比,传输时间异常,3,、非正常工作时间,2,、上行超过下行,10,倍,内外网,IP,URL,访问,域名访问,4,、同一,URL,访问次数,18,资产关联,对关键资产、普通资产、业务系统进行统计管理。并将检测出的安全威胁信息与资产信息进行关联。资产关联能够让用户直观了解到威胁感染的位置和速度，准确定位攻击的目的性。,19,威胁告警,系统采用基于时间框架、威胁事件聚合量、资产相关性等的灵活配置，管理员根据实际状况制定相应的威胁告警策略。,告警信息可通过邮件发送给指定接收者。,20,统计报表,系统提供了木马统计、恶意连接统计、,HTTP,访问统计、文件传输统计、可疑邮件统计等报表功能，支持生成：日、周、月报表。,支持Excel、PDF格式导出。,21,产品特点,主要特点,木马全生命周期检测方法,基于行为分析检测技术,全流量、大数据分析,事件、资产关联分析,木马植入、活跃、潜伏三个阶段分别采用不同的方法有针对性进行木马识别。,通过对心跳信号、协议异常、流量异常、访问异常等行为进行分析，识别木马通信行为。,铁穹对威胁事件和企业重要资产进行关联分析，准确定位攻击位置和意图。,通信数据全流量捕获分析，对关键事件通信数据进行存储，可完全回溯事件过程。,22,主流技术对比,对比项,IDS/IPS,防毒墙,铁穹,木马检测技术,以规则,/,特征码为侦测基础,以规则,/,特征码检测技术为主，启发式检测为辅,文件特征码、木马通信特征扫描、行为分析等检测技术,流量分析技术,实时分析,实时分析,全流量、大数据分析，可回溯,深层协议分析,封包层级的扫瞄，有限的交叉分析结合,文件扫描，缺少关联分析，难以发现未知恶意程序,文件扫描，网络协议分析与木马通信行为分析和综合关联分析,文件检测技术,文件特征码为主,文件特征码和启发式检测,文件特征码和虚拟执行引擎检测,多级分部式部署,不支持,不支持,支持,资产关联分析,不支持,不支持,支持,23,同类产品对比,产品对比项,东巽,-,铁穹,国内某,APT,安全厂商产品,国内某互联网安全厂商产品,支持协议,支持多种协议，包括,TCP、UDP、ICMP、HTTP、SMTP、POP3、IMAP、FTP、SMB、DNS,等,少，,HTTP、FTP、POP3,少，支持,POP3,、,HTTP,等协议,核心检测技术,特种木马通信行为检测技术,虚拟执行引擎检测技术,多沙箱引擎检测技术,功能,主要通过全生命周期检测的思想来检测发现,APT,攻击中的特种木马，以及其它攻击行为和恶意代码（挂马、钓鱼邮件等）,用于检测,APT,攻击中的恶意代码，主要侧重,0DAY/NDAY,的检测,用于检测,APT,攻击中的恶意代码，主要侧重,0DAY/NDAY,的检测,优缺点,优点：按照木马生命周期检测，采用多种木马通信行为检测技术相互组合，能够检测木马生命周期中植入、潜伏、活跃各个阶段的行为，检测更加深入、细致。同时系统提供接口，可与其它设备联动缺点：只能检测木马通信行为，无法检测漏洞利用行为。,优点：通过虚拟执行技术来检测,0DAY,和,NDAY,漏洞，以及部分其他恶意代码。缺点：只能针对植入阶段的检测，木马或者其它恶意代码已经存在或者躲过虚拟执行引擎检测后不能进行检测,优点：通过多沙箱引擎来检测,0DAY,和,NDAY,漏洞，以及部分其它恶意代码。缺点：只能针对植入阶段的检测，木马或者其它恶意代码已经存在或者躲过虚拟执行引擎检测后不能进行检测；此外，很多功能需要联动,360,其它产品才能深度检测,告警方式,邮件告警支持自定义告警策略,地图式告警，,UI,弹出式告警，邮件告警，声音告警,未知,全流量回溯,支持,不支持,不支持,攻击行为溯源,强。根据通信行为能够定位木马攻击路径。,弱，只能检测木马程序文件，缺少木马内网攻击路径展示。,弱，只能检测木马程序文件，缺少木马内网攻击路径展示。,资产关联分析,支持,不支持,不支持,事件关联分析,支持,支持,不支持,部署方式,旁路部署，支持多级、分布式部署,旁路部署，支持分布式，不支持多级部署,旁路部署，单设备部署,24,产品部署,单一部署,在重要网络节点或网络出口部署铁穹设备。,25,多级分布式部署,从重要网络节点到网络出口再到云端多级分布式部署。,产品部署,26,产品形态,铁穹产品分为两大部分，分别为,铁穹监控中心,和,铁穹前端设备。,铁穹前端设备有三款不同型号,标准百兆（,1U/200M,）,标准千兆（,2U/1000M,）,高端千兆（,2U/4000M,）,标准百兆,标准千兆,高端千兆,监控中心,27,安全现状,1,产品介绍,2,产品应用,3,28,典型用户,中国航空工业集团,中国石化,北京移动,中国电子科技集团公司,中国电子信息产业集团有限公司,中国铁建,上海世茂集团,29,谢 谢,Thank You,！,30,