智能制造網(wǎng)APP
智能制造網(wǎng)手機(jī)站
智能制造網(wǎng)小程序
智能制造網(wǎng)官微
智能制造網(wǎng)服務(wù)號
智能控制
機(jī)器人
儀器儀表
物聯(lián)網(wǎng)
3D打印
工業(yè)軟件
回放
回放
品牌
GEMPLE
12月28日,奇安信正式對外發(fā)布一站式威脅情報運營系統(tǒng)星軌(簡稱TIOS)。TIOS包含樣本鑒定平臺(Singularity)、情報運營平臺(Tide)、威脅情報平臺(Quark)、郵件檢測系統(tǒng)(White hole)、同源分析系統(tǒng)(Megalodon)五大安全組件平臺,融合公有云和私有云多數(shù)據(jù)情報來源,結(jié)合威脅圖譜分析的關(guān)聯(lián)視圖展示,實現(xiàn)威脅情報數(shù)據(jù)生產(chǎn)、共享、處理、運營與消費的閉環(huán)建設(shè),幫助政企機(jī)構(gòu)快速精準(zhǔn)發(fā)現(xiàn)網(wǎng)絡(luò)威脅,了解網(wǎng)絡(luò)安全態(tài)勢。
威脅情報需要閉環(huán)運營
眾所周知,網(wǎng)絡(luò)安全是一個攻防雙方動態(tài)博弈的過程。網(wǎng)絡(luò)威脅技術(shù)手段和形式在不斷變化,一次網(wǎng)絡(luò)攻擊往往涉及多層攻擊面,專業(yè)的分工和豐富的資源使攻擊者往往具備較高和成熟的網(wǎng)絡(luò)攻擊水平,采用傳統(tǒng)方法一旦漏掉部分細(xì)節(jié)就意味著永遠(yuǎn)錯過,很難還原攻擊全貌,導(dǎo)致攻擊者得手之后“逃之夭夭”。
“盡管攻擊手法日新月異,但攻擊者使用的基礎(chǔ)設(shè)施卻不會頻繁發(fā)生變化。”奇安信威脅情報中心負(fù)責(zé)人汪列軍表示,攻擊者并不會為每次新的攻擊更換基礎(chǔ)資源,相反為實現(xiàn)利益最大化,減少購買全新基礎(chǔ)設(shè)施所消耗的成本,很可能重復(fù)使用基礎(chǔ)設(shè)施資源,只需要修改所利用的惡意程序即可。
因此,基于威脅情報進(jìn)行事件關(guān)聯(lián)是使網(wǎng)絡(luò)安全戰(zhàn)略更加有效的一種方法,它能夠精準(zhǔn)檢測攻擊者使用的基礎(chǔ)設(shè)施,同時提供豐富的上下文,來確保用戶在威脅狩獵的過程中,不漏掉任何攻擊細(xì)節(jié)。
但是,僅僅依靠外部威脅情報輸入還是遠(yuǎn)遠(yuǎn)不夠的,威脅情報驅(qū)動的威脅運營是一個運行閉環(huán),威脅情報從生產(chǎn)、應(yīng)用到運行要在政企機(jī)構(gòu)落地,更需要“嵌入”內(nèi)部的信息化和業(yè)務(wù)系統(tǒng)和流程中,并作用于積極防御,建立自身的情報生產(chǎn)和消費能力,挖掘出潛在和未知威脅,并及時有效的彌補(bǔ)防御弱點。
五大組件全面覆蓋威脅情報所有環(huán)節(jié)
汪列軍稱,此次奇安信發(fā)布的TIOS基于威脅情報中心多年的實戰(zhàn)積累,通過提供一套包含五大組件的組合級解決方案,支持各安全組件按需靈活擴(kuò)展和組合,在隔離網(wǎng)或聯(lián)網(wǎng)場景下均適用,幫助政企機(jī)構(gòu)完成威脅情報生產(chǎn)與生產(chǎn)的有效運營。
具體如下:
第一,樣本鑒定平臺(Singularity)。
《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示,惡意程序傳播與治理對抗性加劇,全年捕獲惡意程序樣本數(shù)量超過4200萬個,僅日均傳播次數(shù)就達(dá)482萬余次。
樣本鑒定平臺通過靜態(tài)+動態(tài)的多引擎檢測方式,結(jié)合自研和業(yè)界多款知名反病毒引擎、高級威脅檢測引擎、高對抗行為分析、威脅情報關(guān)聯(lián)、自動化標(biāo)定文件tag等,提供實時在線檢測分析能力,輸出精準(zhǔn)的檢測結(jié)果、具體的威脅類別以及直觀的分析報告,滿足多個場景下對惡意樣本的檢測、研判、分析溯源需求。
第二,情報運營平臺(Tide)。
奇安信威脅情報中心作為國內(nèi)首個商用威脅情報中心,已經(jīng)建立了一整套完善的“高價值情報運營體系”,在兼顧威脅情報的準(zhǔn)確率和召回率的同時,能以“情報內(nèi)生”的方式,將威脅情報生產(chǎn)+運營能力下沉至用戶本地。
情報運營平臺具備強(qiáng)大的威脅研判分析能力,為用戶提供情報鑒定、人工運營等功能。并且通過對象研判處理、元數(shù)據(jù)提取、狀態(tài)變更、情報標(biāo)定以及運營判斷等處置流程,對樣本運營進(jìn)行全生命周期管理。與此同時,為保證威脅情報檢測的準(zhǔn)確率,所有生產(chǎn)的情報IOC必須經(jīng)人工審核流程處理后才會投入使用。
第三,威脅情報平臺(Quark)。
需要注意的是,由于不同威脅情報供應(yīng)商在數(shù)據(jù)覆蓋度和專注領(lǐng)域的區(qū)別,采用單一威脅情報源極易產(chǎn)生漏報現(xiàn)象。奇安信威脅情報平臺引入了多源威脅情報,經(jīng)聚合及綜合研判后輸出可信度較高的信息,還能夠通過各類高速查詢接口為本地的大數(shù)據(jù)平臺提供豐富的上下文,大幅提升威脅情報檢測的準(zhǔn)確率,降低誤報率和漏報率。
不僅如此,威脅情報平臺還可實現(xiàn)用戶自身環(huán)境內(nèi)自產(chǎn)威脅情報數(shù)據(jù)的導(dǎo)入,并以標(biāo)準(zhǔn)STIX格式,實現(xiàn)本地威脅情報的共享,提升整個行業(yè)的安全基線。
第四,郵件檢測系統(tǒng)(White hole)。
在APT分析中,郵件攻擊檢測主要采用攻擊郵件探針的探測,再結(jié)合規(guī)則引擎的分析檢測結(jié)果,將攻擊郵件探針?biāo)捎玫哪繕?biāo)IP、收發(fā)件人、郵件正文等內(nèi)容與“威脅情報+私有情報”進(jìn)行匹配,即可判斷是否遭受高級APT郵件攻擊。
郵件檢測系統(tǒng)利用多項技術(shù)挖掘郵件正文、郵件附件中高級威脅信息,依賴團(tuán)隊長期跟蹤的高級威脅團(tuán)伙對各類郵件中的云附件進(jìn)行標(biāo)記,檢測出實際的攻擊類型、郵件中包含的特征以及各類攻擊手段,追蹤并跟進(jìn)到更多的高級APT攻擊團(tuán)伙,是企業(yè)實現(xiàn)高級威脅郵件檢測與APT追蹤的一種有效手段。
第五,同源分析系統(tǒng)(Megalodon)。
為了躲避檢測,惡意樣本不斷采用多態(tài)和變形等方式,使得分析師很難發(fā)現(xiàn)樣本中的同源關(guān)系(若惡意樣本由同一惡意代碼采用代碼復(fù)用的方式演變而來,或行為具有相似性,而出現(xiàn)存在先后的關(guān)系,則稱它們?yōu)橥?,給攻擊組織溯源帶來了極大的挑戰(zhàn),難以制定具有針對性的防御策略。
在經(jīng)過樣本鑒定平臺后,用戶可將滿足條件的樣本投入文件同源分析平臺。該組件利用基于機(jī)器學(xué)習(xí)的(高級)惡意樣本分類識別引擎,抽取樣本文件的元數(shù)據(jù),通過同源分類算法(和已有典型樣本文件或指定病毒文件的元數(shù)據(jù)進(jìn)行相似性計算)快速找出已知APT攻擊團(tuán)伙、惡意家族的未知相似樣本,確定是否存在明顯的同源性或者是否可以歸為一個家族,來判斷樣本的同源性和家族屬性,協(xié)助研判未知威脅發(fā)現(xiàn)。
汪列軍強(qiáng)調(diào),TIOS集威脅情報研判能力、運營數(shù)據(jù)處理能力、文件深度鑒定能力、郵件攻擊檢測能力及樣本同源分析能力于一體,是使生產(chǎn)私有情報落地、利用情報完善攻擊發(fā)現(xiàn)、安全事件分析響應(yīng)處置及預(yù)防相關(guān)工作的最佳利器。
浙公網(wǎng)安備 33010602000006號
智能制造網(wǎng)APP
智能制造網(wǎng)小程序
微信公眾號
