東巽科技“鐵穹”大幅升級 態勢感知與威脅情報成“最核心”
責編:mhshi |2017-03-09 10:10:153月8日,專注于APT防御技術研究的安全廠商東巽科技發布了其核心產品“鐵穹高級持續性威脅預警系統”的4.0版本。新版本除了成功加入了WEB服務攻擊檢測技術、沙箱逃逸對抗技術、隱蔽信道檢測等多項檢測技術外,還支持云端威脅情報的關聯查詢,并基于威脅殺傷鏈、威脅事件時間線等多維度建立了威脅態勢感知系統,能夠有效地提升用戶對網絡安全的管理和運營能力,保護關鍵網絡資產不受損失。
據東巽科技產品總監周忠介紹,鐵穹4.0版本在原有版本基礎上進行了大量的場景式創新,其中包括對金融、政府、能源等行業多種網絡場景的架構解析與常態威脅分析,在總結規律的基礎上,東巽科技新增了多項檢測技術以及多種文件檢測功能,以便更好地滿足了行業用戶對高級威脅檢測和分析的場景化需求,可以更加有效地保護關鍵信息資產的安全。
“威脅態勢感知地圖”讓安全風險可見
簡潔明了的“威脅態勢感知地圖”界面,是本次鐵穹升級做的全新調整,也是重要的亮點之一。通過地圖,用戶能夠更直觀地感受到網絡安全的整體威脅態勢。界面包括基于全時空的威脅可視化設計、威脅資產分布、宏觀威脅分析、基于時間線的威脅事件實時告警、基于殺傷鏈的多階段威脅事件統計和分布等,非常便于管理員實時掌握宏觀安全態勢,及時響應微觀安全事件,提升對網絡整體的安全與運維能力。
具體來說,威脅態勢感知地圖展現的內容可以概括為兩個方面,一方面對植入事件分類統計,分別實時展現掛馬攻擊、郵件攻擊、文件下載攻擊等各類攻擊事件的頻率和攻擊源地域分布情況,這特別有助于管理員總覽全局資產風險和及時維護整體安全策略。另一方面通過鐵穹系統對內網失陷事件進行監控,將失陷事件按照APT、木馬后門、僵尸蠕蟲等不同角度進行分類,并定位已被植入特種木馬而終端殺毒軟件無法查殺的失陷主機。
強化威脅情報利用 彌補威脅事件分析和溯源需求
東巽科技在多年的安全服務項目中積累了大量的威脅情報數據以及威脅事件追溯經驗,本次鐵穹系統升級也將之全部反饋在新版本上,因此升級后的版本將更加注重威脅情報的利用。
周忠介紹,“在原版本對云端機讀威脅情報數據的利用和反饋基礎上,新版本強化了對云端東巽威脅情報平臺的擴展知識和信息利用,可以對檢測出來的攻擊和惡意樣本等非機讀信息做進一步的細節關聯查詢。云端海量的TTPs信息和黑客組織等相關信息可以有效擴展本地設備的背景知識,更好滿足威脅事件分析和溯源場景下的需求。”
革新基礎架構提升性能 新增多種威脅場景覆蓋
新版本的鐵穹在原有的基礎架構進行了適當的調整,使采集引擎、文件引擎、各類檢測引擎相互獨立,功能模塊可根據用戶實際網絡場景進行搭配,如此改變,使得檢測效率和檢測性能較之前均有了大幅度的提升,滿足大流量、分布式檢測場景下的需求。
除了在檢測性能上有所建樹外,鐵穹對威脅行為也進行了大幅擴容。新版本的鐵穹系統在原有的逃逸行為檢測基礎上,新增15類200多種逃逸行為的檢測,提升了遠超同類產品的高級惡意代碼檢測能力。同時,新版本還增加針對WEB服務發起的SQL注入,跨站腳本攻擊(XSS)、跨站請求偽造攻擊(CSRF)等攻擊的檢測,提升了對更多威脅場景的覆蓋,進一步幫助用戶避免風險。
三項核心技術升級,新增多項功能助力威脅深度檢測
作為本次升級最重要的部分,鐵穹將威脅情報、動態虛擬執行檢測引擎、木馬流量通信行為檢測引擎等引擎進行關聯分析,在高級威脅入侵植入、失陷主機監測等多個階段進行協同分析,在檢測發現的海量威脅行為線索基礎上,對指定的內網主機進行分析,并展示其產生的所有事件信息。
隱秘信道檢測上,新增了針對木馬與C&C服務端通信通道流量等檢測功能,可以通過流量還原在看似正常的流量中識別木馬的傳輸流量。同時在原有檢測協議的基礎上增加了基于SSL加密的HTTPS等協議的解密功能,提高了系統的檢出率,更好滿足針對金融等特定應用場景的檢測。
此外,鐵穹還新增了多種文件檢測小功能,如自定義的黑/白名單規則庫、手工提交樣本優先檢測功能、遠程下載樣本等功能,方便用戶使用和管理。