東巽科技李薛:構筑多維度APT安全防御體系
責編:mhshi |2016-09-20 16:56:159月19日,第三屆國家網絡安全宣傳周在武漢開幕的同一天,國家網絡安全宣傳周和上海信息安全周的重點活動“第三屆中國信息安全用戶大會”在上海召開。APT技術廠商東巽科技CTO李薛參加本次會議并發表演講,與參會嘉賓一起探討在越來越激烈的網絡攻防對抗中,如何構筑高級威脅安全防御體系。
東巽科技CTO李薛正在演講
近年來,重大的網絡攻擊事件頻有發生,今年初“孟加拉國銀行失竊”案件在全球金融行業內造成重大影響,并引起多國政府部門關注。通過此類案件可以看到網絡空間安全對抗正在不斷升級,除了常見的個人黑客、有組織網絡犯罪的低烈度對抗,如今可以看到來自黑產、恐怖組織、國家支持的間諜組織發起的中等烈度對抗,甚至是網絡部隊的高烈度對抗。這些網絡攻防對抗極易造成重大損失,甚至直接影響國家安全。
李薛介紹,今年5月,東巽科技成功追蹤到的一起針對多國涉密機構的跨國網絡間諜攻擊活動。這起來自印度的攻擊活動被命名為“豐收行動”,黑客采用層層控制、免殺間諜軟件、反追蹤等高級黑客技術,針對至少6個國家,近800名受害者發動精準網絡攻擊,竊取了包含部分大使館通訊錄和軍事外交相關的文件。東巽科技對本次事件進行了深入的研究后發現,本次事件是一起典型的APT攻擊行為。
“面對如此復雜和高級的網絡威脅,我們該如何合理的構筑高級威脅安全防御體系,來防御愈發激烈的網絡攻擊呢?我們以大數據為基礎,從“云、管、端、地”四個層次建立多維度的APT綜合防護模型,建立以威脅情報為“大腦”的主動防御體系。”李薛表示。“‘云’是指云平臺和服務,包括威脅情報信息平臺、云端智能檢測平臺和高級安全服務平臺;‘管’是指網絡邊界高級威脅檢測平臺,包括高級威脅入侵檢測和網絡失陷主機檢測;‘端’是指客戶端的高級威脅檢測;‘地’是指人工高級安全服務。”
該體系可以檢測網絡中存在的“僵尸”、“木馬主機”和正在遭受的攻擊,通過云端威脅情報快速發現威脅源,針對性處理不同類型的威脅事件,利用管道端技術先定位到下部門區域,再定位到具體終端主機,利用終端檢測技術協助處理,并通過溯源分析手段了解始末,最終實現包括“態勢感知、情報信息、實時監測、追蹤溯源”四大安全防御必備要素。
李薛表示,該套體系已經有成功應用的案例,在某部級單位一個月內,曾發現8類安全威脅,共涉及27個內網IP,惡意木馬類事件涉及6個內網IP,成功幫助用戶遏制了一起存在極大潛在危害的網絡攻擊行為。