如何理解東巽科技的APT防御方案
責(zé)編:mhshi |2017-03-17 11:16:03為有效應(yīng)對(duì)APT攻擊,東巽科技在國(guó)內(nèi)首次提出“云、管、端、地”的四維防御方案,并在產(chǎn)品中采用各類(lèi)“下一代安全技術(shù)”來(lái)發(fā)現(xiàn)外部的Web、郵件、文件的各種高級(jí)攻擊行為,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中已被黑客控制的失陷主機(jī)等各類(lèi)威脅問(wèn)題,為政府、軍隊(duì)、軍工、央企、金融、運(yùn)營(yíng)商等客戶(hù)面臨的高級(jí)威脅攻擊風(fēng)險(xiǎn)提供有力安全保障。
那么,如何理解東巽科技的“云管端地”解決方案?這個(gè)方案與其他廠(chǎng)商的APT解決方案有何不同?我們采訪(fǎng)了東巽科技產(chǎn)品總監(jiān)周忠。
“四維監(jiān)護(hù),通天徹地”
東巽科技APT方案的“云”是指東巽科技的威脅情報(bào)平臺(tái)和云端智能分析平臺(tái),主要利用云平臺(tái)的特有能力為客戶(hù)提供主動(dòng)防御APT所需的威脅類(lèi)情報(bào)信息和針對(duì)高級(jí)惡意軟件提供更高檢測(cè)能力的云端智能分析服務(wù)。
“管”是在客戶(hù)網(wǎng)絡(luò)邊界部署“東巽鐵穹高級(jí)威脅預(yù)警設(shè)備”和“東巽全球眼惡意代碼檢測(cè)產(chǎn)品”,用來(lái)從網(wǎng)絡(luò)交互流量中來(lái)集中的發(fā)現(xiàn)各類(lèi)高級(jí)入侵行為和被攻陷主機(jī)的行為。
“端”是指“東巽明鏡終端木馬深度檢測(cè)系統(tǒng)”,用于在終端層面發(fā)現(xiàn)APT攻擊中使用的、目前反病毒軟件無(wú)法檢測(cè)的特種/未知木馬。通過(guò)分布式終端取證、服務(wù)端集中判定的架構(gòu)結(jié)合威脅情報(bào)、木馬行為分析等新一代技術(shù)來(lái)集中檢測(cè)各類(lèi)終端上的惡意軟件及特種木馬。
“地”是一套高級(jí)安全服務(wù)體系,用于幫助客戶(hù)進(jìn)行高級(jí)威脅的“對(duì)抗”,實(shí)踐高級(jí)威脅需要人和人對(duì)抗的理念,重點(diǎn)針對(duì)APT攻擊中采用技術(shù)手段,提供攻擊前的滲透測(cè)試和失陷主機(jī)檢測(cè),攻擊中的檢測(cè)、響應(yīng)和對(duì)抗,攻擊后的取證分析、溯源和整改等專(zhuān)項(xiàng)安全服務(wù)。
設(shè)備畢竟是設(shè)備 有用但本身存在缺陷
周忠介紹,當(dāng)前“云、管、端、地”,每個(gè)單點(diǎn)的安全技術(shù)都有其特定價(jià)值和不足。云端天然具有計(jì)算擴(kuò)展性強(qiáng)、信息流通速度高的特點(diǎn),適合通過(guò)互聯(lián)模式生產(chǎn)和分享最新威脅知識(shí),也適合構(gòu)建可擴(kuò)展對(duì)安全分析能力,但無(wú)法單獨(dú)到達(dá)用戶(hù)側(cè)落地;網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息的集中節(jié)點(diǎn),通過(guò)網(wǎng)絡(luò)流量分析和檢測(cè)具有集約化優(yōu)勢(shì),但存在單點(diǎn)掌握的威脅信息不足,計(jì)算資源和安全分析資源擴(kuò)展能力不足的問(wèn)題。終端檢測(cè)是入侵、滲透和控制的目標(biāo)地,各類(lèi)惡意代碼需要在終端落地處置,但廣撒網(wǎng)式的反病毒軟件其實(shí)解決不了定向攻擊的惡意代碼問(wèn)題。
“大家都知道APT攻擊是個(gè)復(fù)雜的“組合式”活動(dòng),對(duì)它的防御必然是體系化的,任何依賴(lài)單點(diǎn)技術(shù)或產(chǎn)品都只是局部有效,這種依靠單一的網(wǎng)絡(luò)流量檢測(cè)設(shè)備和終端產(chǎn)品產(chǎn)生的結(jié)果滿(mǎn)足不了用戶(hù)的需求,因此需要 “云管端地”形成協(xié)作防御體系。”
東巽的“云端平臺(tái)”可以為“管端”和“終端”的產(chǎn)品提供最新的威脅情報(bào),擴(kuò)展其 “知識(shí)”,對(duì)于高級(jí)惡意代碼可以在云端通過(guò)更強(qiáng)分析能力的平臺(tái)協(xié)助分析,擴(kuò)展用戶(hù)側(cè)產(chǎn)品的“能力”。“管端”設(shè)備通過(guò)流量的集中分析可以集約、快速的定位“被攻擊”和“被攻陷”終端線(xiàn)索。“終端”明鏡產(chǎn)品基于“管端”的線(xiàn)索信息,在威脅或可疑終端上進(jìn)行集中的取證、檢測(cè)和處置。而高級(jí)安全服務(wù)可以基于上述技術(shù)手段開(kāi)展工作,貫穿評(píng)估、響應(yīng)、溯源等多個(gè)端到端的環(huán)節(jié)。這樣實(shí)現(xiàn)了“云管端地”的真正協(xié)同,才能充分利用單點(diǎn)技術(shù)優(yōu)勢(shì)、發(fā)揮整體方案的效能。
?“地” 是集大成者 安全也要“接地氣”
自2016年起,東巽科技開(kāi)始了對(duì)威脅情報(bào)的研究,在多年安全服務(wù)積累的經(jīng)驗(yàn)基礎(chǔ)上,東巽科技已經(jīng)自己掌握了一些判定安全威脅的方式和方法,以及一些自己的威脅情報(bào),而這成為了東巽科技防御APT攻擊的一筆豐富的原始資本。
“有些進(jìn)程直觀(guān)感覺(jué)就是不對(duì)勁,再一分析,果然它就是病毒,這是多年積累的經(jīng)驗(yàn)”,東巽科技主管安全服務(wù)的副總裁郭鑫表示,“相比于過(guò)去,現(xiàn)在很多黑客攻擊的方式和方法先進(jìn)太多了,有時(shí)候單純依靠安全設(shè)備或者安全軟件是無(wú)法檢測(cè)出威脅的,這時(shí)候需要人為靠經(jīng)驗(yàn)去判斷”。
正是基于多年來(lái)對(duì)網(wǎng)絡(luò)威脅的認(rèn)知,東巽科技研發(fā)新的產(chǎn)品過(guò)程中特別注重將一些安全服務(wù)經(jīng)驗(yàn)、威脅情報(bào)等實(shí)踐出來(lái)的內(nèi)容與用戶(hù)需求緊密結(jié)合,然后通過(guò)方案聯(lián)動(dòng)的方式,為用戶(hù)提供安全保障。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿(mǎn)落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧