APT防御產(chǎn)品-鐵穹高級持續(xù)性威脅預(yù)警系統(tǒng)

鐵穹高級持續(xù)性威脅預(yù)警系統(tǒng)Copyright?AllRightsReserved.東巽科技（南京）有限公司1安全現(xiàn)狀1產(chǎn)品介紹2產(chǎn)品應(yīng)用32現(xiàn)有網(wǎng)絡(luò)環(huán)境很安全么？APT攻擊事件頻繁APT（AdvancedPersistentThreat）高級持續(xù)性威脅，是針對特定組織所作的復(fù)雜且多方位的高級滲透攻擊。2011：竊取RSA令牌種子2010：震網(wǎng)攻擊核電站2011：夜龍攻擊2013：媒體和銀行癱瘓2013:棱鏡計劃(PRISM)2009：極光攻擊2011：三一vs中聯(lián)針對性很強(qiáng)隱蔽能力極強(qiáng)防范難度高攻擊范圍廣攻擊手段豐富APT攻擊3事件剖析引誘企業(yè)內(nèi)部人員訪問掛馬站點(diǎn)發(fā)送捆綁木馬的文檔附件的郵件利用SSL加密通道訪問C&C服務(wù)器，獲取敏感信息全球20多家高科技企業(yè)被波及，大量核心信息資產(chǎn)泄漏木馬控守竊取極光攻擊木馬植入控制補(bǔ)丁服務(wù)器，向終端推送木馬程序。定時激活數(shù)據(jù)毀滅功能，造成硬盤數(shù)據(jù)永久性毀壞。從終端嘗試連接到服務(wù)器，成功后執(zhí)行破壞程序并執(zhí)行。木馬植入木馬控守破壞韓國KBS事件特種木馬4特種木馬特點(diǎn)精心準(zhǔn)備的一顆毒藥在投放前就針對性的使用各種殺毒軟件進(jìn)行了測試，能夠和殺毒軟件“和平共處”能夠在使用了包過濾、應(yīng)用網(wǎng)關(guān)、狀態(tài)檢測、復(fù)合型、ISA代理等防火墻的網(wǎng)絡(luò)環(huán)境保證數(shù)據(jù)回傳能夠躲避一般管理員常用的檢測工具，使之能夠在系統(tǒng)中隱身免殺能力穿透能力隱蔽能力5傳統(tǒng)防御手段的困局防火墻、IDS、IPS、防毒等傳統(tǒng)防御產(chǎn)品無法遏制特種木馬攻擊。國外知名反APT安全公司（FireEye）調(diào)查的結(jié)論：超過95%的企業(yè)網(wǎng)絡(luò)中有主機(jī)遭受過特種木馬入侵，且特種木馬樣本檢測率低于10%。2013年，國家應(yīng)急中心監(jiān)測發(fā)現(xiàn)我國境內(nèi)1.5萬臺主機(jī)被特種木馬控制，對我國關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全造成嚴(yán)重威脅。賽門鐵克高級副總裁:“殺毒軟件已死。殺毒軟件僅能攔截45%的網(wǎng)絡(luò)攻擊”。6特種木馬分類下載類自動下載木馬的程序植入時使用體積小，便于隱藏，可快速執(zhí)行控守類隱秘控制遠(yuǎn)程目標(biāo)資源的程序搭建C&C網(wǎng)絡(luò)文件下載、鍵盤記錄、密碼捕獲、屏幕控制、命令行控制等駐留類深入隱藏以期更長時間擁有目標(biāo)控制權(quán)的程序通常駐留在MBR、BIOS、Ghost鏡像文件、虛擬機(jī)文件、網(wǎng)卡、應(yīng)用軟件等位置直連型木馬綁定對外開放端口，攻擊者可直接連接控制目標(biāo)主機(jī)端口復(fù)用型木馬劫持已經(jīng)使用的通信端口，對正常連接進(jìn)行重復(fù)利用操作系統(tǒng)能夠運(yùn)行在Windows、Linux、MacOS、Android、IOS等操作系統(tǒng)下應(yīng)用程序隱藏在瀏覽器、Java虛擬機(jī)、Ghost系統(tǒng)等應(yīng)用程序中硬件隱藏在硬盤、主板、網(wǎng)卡、路由器、芯片等位置按功能分類反彈端口型木馬由隱藏在目標(biāo)主機(jī)上的木馬服務(wù)端主動連接遠(yuǎn)程木馬控制端隱蔽性高，防火墻、IDS、IPS等難以防范按通信方式分類按隱藏環(huán)境分類7政策法規(guī)《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機(jī)制》關(guān)于印發(fā)《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機(jī)制》的通知《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》（銀監(jiān)辦發(fā)〔2011〕62號）關(guān)于進(jìn)一步加強(qiáng)網(wǎng)上銀行風(fēng)險防控工作的通知工業(yè)和信息化部：公安部：銀監(jiān)辦：木馬檢測與防御相關(guān)政策法規(guī)要求：8安全現(xiàn)狀1產(chǎn)品介紹2產(chǎn)品應(yīng)用39產(chǎn)品概述

鐵穹高級持續(xù)性威脅預(yù)警系統(tǒng)是專門針對日益嚴(yán)重的APT攻擊中廣泛使用的特種木馬而研發(fā)的一款硬件設(shè)備。該產(chǎn)品部署在網(wǎng)絡(luò)出口處采集網(wǎng)絡(luò)通信數(shù)據(jù)，分析通信數(shù)據(jù)中的木馬通信痕跡，識別木馬特征和行為，在網(wǎng)絡(luò)層實(shí)現(xiàn)對全網(wǎng)范圍內(nèi)木馬識別與追蹤，并能夠?qū)﹃P(guān)鍵資產(chǎn)所遭受的損失進(jìn)行審計。上網(wǎng)區(qū)域Internet路由器交換機(jī)PC1PC2PCn…防火墻鐵穹設(shè)備獲取網(wǎng)絡(luò)通信數(shù)據(jù)，識別特種木馬10產(chǎn)品架構(gòu)采集引擎采集引擎采集引擎協(xié)議分析引擎木馬分析引擎行為分析引擎資產(chǎn)關(guān)聯(lián)引擎綜合分析引擎數(shù)據(jù)存儲模塊可視化展示分析引擎采集引擎事件告警/會話還原/資產(chǎn)威脅統(tǒng)計數(shù)據(jù)存儲模塊遠(yuǎn)程分析遠(yuǎn)程管理網(wǎng)絡(luò)通信流量網(wǎng)絡(luò)通信流量網(wǎng)絡(luò)通信流量11主要功能綜合分析21木馬檢測威脅告警4統(tǒng)計報表5資產(chǎn)關(guān)聯(lián)312木馬檢測--核心思想根據(jù)木馬的生存特點(diǎn)，鐵穹從木馬全生命周期入手，深入挖掘網(wǎng)絡(luò)流量數(shù)據(jù)，在木馬植入、潛伏、活躍三個階段分別采用不同的方法有針對性地解決特種木馬識別難題。植入階段潛伏階段活躍階段通過虛擬引擎技術(shù)虛擬執(zhí)行協(xié)議還原得到的可執(zhí)行文件樣本通過文件讀寫、進(jìn)程創(chuàng)建、注冊表讀寫、網(wǎng)絡(luò)上傳下載等行為來判定通過判斷正常協(xié)議通信中的蛛絲馬跡來檢測APT攻擊的偽裝技術(shù)周期性的心跳數(shù)據(jù)包、規(guī)律性的DNS請求、規(guī)律性的IP地址訪問異常的數(shù)據(jù)格式、異常的通信協(xié)議罕見或特殊的IP訪問、罕見或特殊的DNS請求木馬命令通信數(shù)據(jù)中將攜帶一些固有特征異常的通信時間段分布異常的上行、下行通信數(shù)據(jù)比長時間保持通信連接且傳輸數(shù)據(jù)量異常13木馬檢測--核心技術(shù)硬件VM虛擬引擎對郵件附件、下載文件、傳輸文件采用硬件VM虛擬執(zhí)行引擎技術(shù)進(jìn)行分析行為分析引擎對心跳信號、協(xié)議異常、流量異常、訪問異常等進(jìn)行分析通信特征掃描檢測對網(wǎng)絡(luò)流量中的通信數(shù)據(jù)進(jìn)行黑名單、威脅特征和木馬協(xié)議特征識別文件特征碼檢測采用MD5值校驗(yàn)和廣譜特征碼匹配技術(shù)進(jìn)行檢測14木馬檢測--行為識別對異常行為進(jìn)行分析，識別木馬心跳信號規(guī)律域名解析請求；固定時間間隔下內(nèi)容一致的通信行為協(xié)議異常HTTP協(xié)議；DNS協(xié)議；郵件類型協(xié)議流量判斷境外IP長時間連接；上下行流量比；傳輸總量；傳輸時間異常異常訪問次數(shù)內(nèi)外網(wǎng)IP；域名訪問；URL訪問綜合分析數(shù)據(jù)關(guān)聯(lián)分析特殊篩選算法分析15黑名單黑IP黑域名黑URL通信行為特征用戶自定義威脅識別惡意連接HTTP訪問文件傳輸木馬協(xié)議特征PIGh0stZXShell宙斯…對網(wǎng)絡(luò)流量中的通信特征進(jìn)行分析，識別木馬木馬檢測--特征識別16文件特征碼檢測主要采用MD5值校驗(yàn)和廣譜特征碼匹配技術(shù)進(jìn)行檢測MD5值校驗(yàn)對通信流量中的文件與已提取的樣本文件MD5值進(jìn)行校驗(yàn)，識別已知木馬廣譜特征碼提取文件的廣譜特征，并采用多模的匹配方式與通信流量中的文件進(jìn)行匹配，識別已知和未知木馬木馬檢測--文件檢測17綜合分析綜合分析是先抽象出APT中使用的各種特種木馬通信行為模型，再綜合行為分析引擎搜集和整理的各種行為因素，通過模式匹配的方法分析和挖掘特種木馬的通信行為，識別已知和未知木馬。協(xié)議異常流量判斷心跳信號異常訪問次數(shù)HTTP協(xié)議異常DNS協(xié)議異常郵件類型協(xié)議異常1、Type數(shù)據(jù)類型不匹配特種木馬通信固定時間間隔下內(nèi)容一致的通信行為規(guī)律域名解析請求境外IP長時間連接傳輸總量上下行流量比傳輸時間異常3、非正常工作時間2、上行超過下行10倍內(nèi)外網(wǎng)IPURL訪問域名訪問4、同一URL訪問次數(shù)18資產(chǎn)關(guān)聯(lián)對關(guān)鍵資產(chǎn)、普通資產(chǎn)、業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)計管理。并將檢測出的安全威脅信息與資產(chǎn)信息進(jìn)行關(guān)聯(lián)。資產(chǎn)關(guān)聯(lián)能夠讓用戶直觀了解到威脅感染的位置和速度，準(zhǔn)確定位攻擊的目的性。19威脅告警系統(tǒng)采用基于時間框架、威脅事件聚合量、資產(chǎn)相關(guān)性等的靈活配置，管理員根據(jù)實(shí)際狀況制定相應(yīng)的威脅告警策略。告警信息可通過郵件發(fā)送給指定接收者。20統(tǒng)計報表系統(tǒng)提供了木馬統(tǒng)計、惡意連接統(tǒng)計、HTTP訪問統(tǒng)計、文件傳輸統(tǒng)計、可疑郵件統(tǒng)計等報表功能，支持生成：日、周、月報表。支持Excel、PDF格式導(dǎo)出。21產(chǎn)品特點(diǎn)主要特點(diǎn)木馬全生命周期檢測方法基于行為分析檢測技術(shù)全流量、大數(shù)據(jù)分析事件、資產(chǎn)關(guān)聯(lián)分析木馬植入、活躍、潛伏三個階段分別采用不同的方法有針對性進(jìn)行木馬識別。通過對心跳信號、協(xié)議異常、流量異常、訪問異常等行為進(jìn)行分析，識別木馬通信行為。鐵穹對威脅事件和企業(yè)重要資產(chǎn)進(jìn)行關(guān)聯(lián)分析，準(zhǔn)確定位攻擊位置和意圖。通信數(shù)據(jù)全流量捕獲分析，對關(guān)鍵事件通信數(shù)據(jù)進(jìn)行存儲，可完全回溯事件過程。22主流技術(shù)對比對比項(xiàng)IDS/IPS防毒墻鐵穹木馬檢測技術(shù)以規(guī)則/特征碼為偵測基礎(chǔ)以規(guī)則/特征碼檢測技術(shù)為主，啟發(fā)式檢測為輔文件特征碼、木馬通信特征掃描、行為分析等檢測技術(shù)流量分析技術(shù)實(shí)時分析實(shí)時分析全流量、大數(shù)據(jù)分析，可回溯深層協(xié)議分析封包層級的掃瞄，有限的交叉分析結(jié)合文件掃描，缺少關(guān)聯(lián)分析，難以發(fā)現(xiàn)未知惡意程序文件掃描，網(wǎng)絡(luò)協(xié)議分析與木馬通信行為分析和綜合關(guān)聯(lián)分析文件檢測技術(shù)文件特征碼為主文件特征碼和啟發(fā)式檢測文件特征碼和虛擬執(zhí)行引擎檢測多級分部式部署不支持不支持支持資產(chǎn)關(guān)聯(lián)分析不支持不支持支持23同類產(chǎn)品對比產(chǎn)品

對比項(xiàng)東巽-鐵穹國內(nèi)某APT安全廠商產(chǎn)品國內(nèi)某互聯(lián)網(wǎng)安全廠商產(chǎn)品支持協(xié)議支持多種協(xié)議，包括TCP、UDP、ICMP、HTTP、SMTP、POP3、IMAP、FTP、SMB、DNS等少，HTTP、FTP、POP3少，支持POP3、HTTP等協(xié)議核心檢測技術(shù)特種木馬通信行為檢測技術(shù)虛擬執(zhí)行引擎檢測技術(shù)多沙箱引擎檢測技術(shù)功能主要通過全生命周期檢測的思想來檢測發(fā)現(xiàn)APT攻擊中的特種木馬，以及其它攻擊行為和惡意代碼（掛馬、釣魚郵件等）用于檢測APT攻擊中的惡意代碼，主要側(cè)重0DAY/NDAY的檢測用于檢測APT攻擊中的惡意代碼，主要側(cè)重0DAY/NDAY的檢測優(yōu)缺點(diǎn)優(yōu)點(diǎn)：按照木馬生命周期檢測，采用多種木馬通信行為檢測技術(shù)相互組合，能夠檢測木馬生命周期中植入、潛伏、活躍各個階段的行為，檢測更加深入、細(xì)致。同時系統(tǒng)提供接口，可與其它設(shè)備聯(lián)動

缺點(diǎn)：只能檢測木馬通信行為，無法檢測漏洞利用行為。優(yōu)點(diǎn)：通過虛擬執(zhí)行技術(shù)來檢測0DAY和NDAY漏洞，以及部分其他惡意代碼。

缺點(diǎn)：只能針對植入階段的檢測，木馬或者其它惡意代碼已經(jīng)存在或者躲過虛擬執(zhí)行引擎檢測后不能進(jìn)行檢測優(yōu)點(diǎn)：通過多沙箱引擎來檢測0DAY和NDAY漏洞，以及部分其它惡意代碼。

缺點(diǎn)：只能針對植入階段的檢測，木馬或者其它惡意代碼已經(jīng)存在或者躲過虛擬執(zhí)行引擎檢測后不能進(jìn)行檢測；此外，很多功能需要聯(lián)動360其它產(chǎn)品才能深度檢測告警方式郵件告警

支持自定義告警策略地圖式告警，UI彈出式告警，郵件告警，聲音告警未知全流量回溯支持不支持不支持攻擊行為溯源強(qiáng)。根據(jù)通信行為能夠定位木馬攻擊路徑。弱，只能檢測木馬程序文件，缺少木馬內(nèi)網(wǎng)攻擊路徑展示。弱，只能檢測木馬程序文件，缺少木馬內(nèi)網(wǎng)攻擊路徑展示。資產(chǎn)關(guān)聯(lián)分析支持不支持不支持事件關(guān)聯(lián)分析支持支持不支持部署方式旁路部署，支持多級、分布式部署旁路部署，支持分布式，不支持多級部署旁路部署，單設(shè)備部署24產(chǎn)品部署單一部署在重要網(wǎng)絡(luò)節(jié)點(diǎn)或網(wǎng)絡(luò)出口部署鐵穹設(shè)備。25多級分布式部署從重要網(wǎng)絡(luò)節(jié)點(diǎn)到網(wǎng)