面對新的威脅,基于規則的傳統檢測手段已難滿足,需要結合 機器學習 和其他高級分析技術,通過監控網絡流量、連接和對象來找出惡意的行為跡象,尤其是失陷后的痕跡。
全流量分析技術及過程
在全流量威脅分析方案中,其威脅分析過程如下:首先利用探針設備對網絡原始流量進行采集和解析,并將結果接入到威脅分析引擎中,基于規則引擎、威脅情報能力檢測已知威脅。同時,我們也將流量數據中的流特征信息、包頭信息等關鍵信息都提取出來,形成流量元數據信息,并連同原始流量數據進行分類存儲。最后,通過攻擊鏈引擎對黑客的整個攻擊環節進行關聯,實現對高級威脅事件的全方位分析。
在某些案例中,我們也可以通過全流量威脅分析可以應對未知威脅檢測。將流量匯聚到大數據分析平臺后,基于沙箱檢測引擎、機器學習引擎可以對異常進行分析,輔以威脅情報,為用戶提供抵御攻擊者的應變手段。通過對流量原數據做回溯,可以看到以前發生過什么,以及做事件的深入調查。這對傳統上基于規則方式的安全防護是一個很好的補充。
綠盟科技結合以上技術,發布了綠盟全流量威脅分析解決方案(簡稱NSFOCUS TAM),其核心功能如下:
- 鏡像流量采集 支持對鏡像流量的全流量采集及對網絡層、應用層協議進行解析,并可以將采集的到的鏡像流量原始數據包及解析后的協議日志進行存儲。
- 高級威脅分析 基于規則引擎, 威脅情報 能力,檢測已知威脅;基于沙箱檢測引擎、機器學習引擎檢測未知威脅;最后,再通過 攻擊鏈 引擎,對黑客的整個攻擊環節進行關聯,實現對 高級威脅 事件的全方位分析。
- 熱點事件溯源追蹤 基于場景分析引擎,能夠將綠盟科技強大的 應急響應 通報能力進行本地化,對如“挖礦事件、永恒之藍、Struts2”等應急事件可以先于規則引擎前進行檢測,并且能夠對歷史流量進行回溯分析,發現歷史上是否有相應事件發生。
攻擊鏈是什么
簡單來說, 攻擊鏈 就是攻擊者常見攻擊過程,包含信息收集、探測、滲透攻擊到實施惡意行為等步驟。通常,攻擊鏈可以以如下形式展示。不同攻擊方式的攻擊過程可能不同,半數攻擊者每一次都會改變具體攻擊方法。
攻擊鏈
基于攻擊鏈的安全分析
網絡攻擊是分階段發生,并可以通過在每個階段建立有效的防御機制中斷攻擊行為。
——洛克希德.馬丁
不管是偵查階段、工具準備階段還是攻擊利用、安裝后門等等階段,我們看到的都是一個一個事件的點。而通過這種攻擊鏈分析的方法,通過如上七步,對大量事件進行歸類,進而形成一些特性,進而為黑客攻擊行為的分析,提供了有效的理論支撐。
NSFOCUS TAM為客戶帶來的價值如下:
- 對高危事件及失陷資產進行重點通報,大幅降低需要關注的告警數量,降低運維工作量。
- 規則檢測、情報分析、沙箱檢測和機器學習等多引擎結合,發現高級威脅事件,提升安全檢測能力。
- 通過對熱點事件的追蹤溯源,將原來需要人工進行的應急響應進行自動化,提升應急響應效率。
這個方案在前期應用過程中,客戶已經利用TAM在其IDC中發現了一些僵尸網絡;也有客戶發現了一些挖礦主機,某客戶稱
我們搞orcale漏洞應急響應,用TAM基本上可以進行自動化,同時我們也回查了歷史信息,發現歷史流量中沒有這個漏洞利用的行為,可以放心了
? 
近年來,綠盟科技緊跟網絡安全發展形勢,在 物聯網安全 、 工控安全 、 云計算安全 , 云安全服務 等方面持續發力,相繼發布多款安全產品及解決方案,并向用戶提供持續不斷的安全服務能力。綠盟科技已成為全球少數同時具備安全產品線、安全能力、安全服務模式的安全廠商之一。