如何理解東巽科技的APT防御方案
責編:mhshi |2017-03-17 11:16:03為有效應對APT攻擊,東巽科技在國內首次提出“云、管、端、地”的四維防御方案,并在產品中采用各類“下一代安全技術”來發現外部的Web、郵件、文件的各種高級攻擊行為,及時發現網絡中已被黑客控制的失陷主機等各類威脅問題,為政府、軍隊、軍工、央企、金融、運營商等客戶面臨的高級威脅攻擊風險提供有力安全保障。
那么,如何理解東巽科技的“云管端地”解決方案?這個方案與其他廠商的APT解決方案有何不同?我們采訪了東巽科技產品總監周忠。
“四維監護,通天徹地”
東巽科技APT方案的“云”是指東巽科技的威脅情報平臺和云端智能分析平臺,主要利用云平臺的特有能力為客戶提供主動防御APT所需的威脅類情報信息和針對高級惡意軟件提供更高檢測能力的云端智能分析服務。
“管”是在客戶網絡邊界部署“東巽鐵穹高級威脅預警設備”和“東巽全球眼惡意代碼檢測產品”,用來從網絡交互流量中來集中的發現各類高級入侵行為和被攻陷主機的行為。
“端”是指“東巽明鏡終端木馬深度檢測系統”,用于在終端層面發現APT攻擊中使用的、目前反病毒軟件無法檢測的特種/未知木馬。通過分布式終端取證、服務端集中判定的架構結合威脅情報、木馬行為分析等新一代技術來集中檢測各類終端上的惡意軟件及特種木馬。
“地”是一套高級安全服務體系,用于幫助客戶進行高級威脅的“對抗”,實踐高級威脅需要人和人對抗的理念,重點針對APT攻擊中采用技術手段,提供攻擊前的滲透測試和失陷主機檢測,攻擊中的檢測、響應和對抗,攻擊后的取證分析、溯源和整改等專項安全服務。
設備畢竟是設備 有用但本身存在缺陷
周忠介紹,當前“云、管、端、地”,每個單點的安全技術都有其特定價值和不足。云端天然具有計算擴展性強、信息流通速度高的特點,適合通過互聯模式生產和分享最新威脅知識,也適合構建可擴展對安全分析能力,但無法單獨到達用戶側落地;網絡邊界是網絡信息的集中節點,通過網絡流量分析和檢測具有集約化優勢,但存在單點掌握的威脅信息不足,計算資源和安全分析資源擴展能力不足的問題。終端檢測是入侵、滲透和控制的目標地,各類惡意代碼需要在終端落地處置,但廣撒網式的反病毒軟件其實解決不了定向攻擊的惡意代碼問題。
“大家都知道APT攻擊是個復雜的“組合式”活動,對它的防御必然是體系化的,任何依賴單點技術或產品都只是局部有效,這種依靠單一的網絡流量檢測設備和終端產品產生的結果滿足不了用戶的需求,因此需要 “云管端地”形成協作防御體系。”
東巽的“云端平臺”可以為“管端”和“終端”的產品提供最新的威脅情報,擴展其 “知識”,對于高級惡意代碼可以在云端通過更強分析能力的平臺協助分析,擴展用戶側產品的“能力”。“管端”設備通過流量的集中分析可以集約、快速的定位“被攻擊”和“被攻陷”終端線索。“終端”明鏡產品基于“管端”的線索信息,在威脅或可疑終端上進行集中的取證、檢測和處置。而高級安全服務可以基于上述技術手段開展工作,貫穿評估、響應、溯源等多個端到端的環節。這樣實現了“云管端地”的真正協同,才能充分利用單點技術優勢、發揮整體方案的效能。
?“地” 是集大成者 安全也要“接地氣”
自2016年起,東巽科技開始了對威脅情報的研究,在多年安全服務積累的經驗基礎上,東巽科技已經自己掌握了一些判定安全威脅的方式和方法,以及一些自己的威脅情報,而這成為了東巽科技防御APT攻擊的一筆豐富的原始資本。
“有些進程直觀感覺就是不對勁,再一分析,果然它就是病毒,這是多年積累的經驗”,東巽科技主管安全服務的副總裁郭鑫表示,“相比于過去,現在很多黑客攻擊的方式和方法先進太多了,有時候單純依靠安全設備或者安全軟件是無法檢測出威脅的,這時候需要人為靠經驗去判斷”。
正是基于多年來對網絡威脅的認知,東巽科技研發新的產品過程中特別注重將一些安全服務經驗、威脅情報等實踐出來的內容與用戶需求緊密結合,然后通過方案聯動的方式,為用戶提供安全保障。