• <button id="qiake"><tr id="qiake"></tr></button>
    <bdo id="qiake"></bdo>
  • 小梁說安全(三)——五分鐘讀懂APT攻擊與防御

    日期:2021-09-03 17:09:54 / 人氣:265


    03

    什么是NDR


    NDR被Gartner列為2017年11大頂尖信息安全技術,NDR能夠監測的威脅,包羅萬象,相比IDS,NDR會根據雙向規則庫、機器學習算法、攻擊鏈、惡意文件檢測、動態威脅情報庫等等一系列數據指標進行告警;通過對告警信息,元數據處理整理,形成具有針對性的安全事件檢測和響應能力。


    04

    棱鏡網絡威脅追蹤溯源系統(NDR)


    棱鏡網絡威脅追蹤溯源系統(NDR)是一款面向APT攻擊的檢測、分析和溯源的系統,是對對網絡中出現的攻擊行為提供全方位檢測、分析與防御的產品。NDR系統針對APT攻擊的特點,為用戶提供多視角的檢測發現能力,及時發現定向高級攻擊行為,而這類攻擊行為是傳統安全檢測系統無法有效檢測發現的。通過對高級網絡威脅行為的發現,同時提供對攻擊行為的攔截與阻斷,幫助用戶抵御網絡攻擊與滲透,保護客戶的重要資產信息與基礎設施免遭竊取與破壞。

    和新冠病毒一樣,網絡病毒隨著信息技術的發展,也在不斷進化出很多新型的病毒。再經過采集、分析、提煉病毒樣本并形成病毒特征和專殺工具以前,網絡病毒可能已經在網絡中大范圍擴散了。如果這個新型病毒還在不斷地衍生變種,傳播途徑和速度又非???,同樣也會引發全球網絡的“疫情”。

    類比利用NDR技術進行新型網絡病毒的檢測,基于正常的流量行為模型基線,判別網絡中存在風險及異常,再結合歷史經驗和威脅情報完成風險及異常的確認,最后通過聯動及時的完成響應處置。因此,在應對新型網絡病毒的過程中,NDR技術就扮演了中國應對新冠疫情時的“吹哨人”和“鐘南山”的角色。

    NDR系統優勢


    • 威脅情報檢測模塊

    基于威脅情報的防御思路是以威脅為中心的,因此,需要對關鍵設施面臨的威脅做全面的了解,建立一種新型高效的安全防御體系。這樣的安全防御體系往往需要安全人員對攻擊戰術、方法和行為模式等有深入的理解?;谕{情報數據,可以不斷創建惡意代碼或行為特征的簽名,或者生成NFT(網絡取證工具)、SIEM/SOC(安全信息與事件管理/安全管理中心)、ETDR(終端威脅檢測及響應)等產品的規則,實現對攻擊的應急檢測。如果威脅情報是IP、域名、URL等具體上網屬性信息,則還可應用于各類在線安全設備對即有攻擊進行實時的阻截與防御。

    • 異常流量檢測模塊

    通過機器學習方式,建立網絡流量秩序基線,對違反秩序基線的行為進行告警,基線的內容包含網絡連接、連接流量、數據內容,通過長時間的學習,形成企業網絡秩序,當網絡中出現異常時,對異常的現象與秩序基線進行比較,能夠及時的發現隱藏的網絡攻擊行為。

    • 惡意文件檢測引擎模塊

    通過網絡中傳輸的文件進行還原并實時檢測,發現網絡中傳播的病毒文件。

    • 全流量日志、文件提取與報警pcap存儲

    溯源攻擊的基礎數據,通過對全流量日志文件的留存,惡意樣本的提取及pcap報文的提取,為后續網絡攻擊鏈的溯源及病毒的傳播路徑提供原始的元數據,實現對網絡攻擊的精準溯源。

    • 未知威脅檢測模塊

    要檢測惡意代碼,最具挑戰性的就是利用0day漏洞的惡意代碼。因為是0day,就意味著沒有特征,傳統的惡意代碼檢測技術就此失效。沙箱技術簡單說就是構造一個模擬的執行環境,讓可疑文件在這個模擬環境中運行起來,通過監控可疑文件所有的真正的行為(程序外在的可見的行為和程序內部調用系統的行為)判斷是否為惡意文件。

    • 攻擊鏈回溯分析模塊

    通過機器學習、智能推理等技術,從時間及空間維度溯源攻擊者畫像,從多個層面描繪攻擊者攻擊過程,病毒傳播的軌跡和路徑,通過攻擊鏈的溯源,可以重演攻擊過程,發現在企業網絡中存在的薄弱環節,有針對性的對企業系統進行安全加固,提升企業整體的網絡安全防護能力。

    • 威脅隔離(響應

    系統具備對威脅處置能力,處置的方式分為封堵、重定向、預警等方式,通過對威脅的阻斷,實現對已失陷設備的隔離,有效的防止攻擊大范圍的傳播擴散,將網絡攻擊限制在隔離區域,實現對攻擊行為的可控防護。




    NDR產品通過對多種數據源的采集,結合機器學習、大數據分析等技術,通過對多種原始事件的相互印證,實現對有效的攻擊事件的告警,減少系統誤報率,提升事件上報的準確性,通過威脅追蹤溯源,有效的反應企業網絡安全的薄弱環節,提升企業整體安全防護能力。
    隨著網絡信息化高速發展,國際間網絡空間對抗更加激烈,國內網絡攻擊事件頻頻發生,網絡安全的各個環節都有可能遭受APT攻擊。棱鏡科技推出NDR網絡威脅追蹤溯源系統,專門針對高威脅性APT攻擊,致力于實現全球范圍資源探測和攻擊威脅監測,不斷完善網絡安全防御體系,不斷地抵御未知的APT攻擊。



    參考文獻

    https://www.eumz.com/2021-04/2179.html

    https://mp.weixin.qq.com/s/ECOQE9RQHiCGyposNB0ekg

    https://zhuanlan.zhihu.com/p/97198004

    作者:admin


    熱線電話:400-680-0996      周一至周日:9:00-17:35     

    地址:北京市昌平區高新四街6號院1號樓4層411(中關村科技園昌平示范園)

    欧美z0z0人禽交_好涨好硬好爽免费视频_免费人成高清在线观看_国产成 人 黄 色 网 站 视频