东巽科技李薛:构筑多维度APT安全防御体系

9月19日,第三届国家网络安全宣传周在武汉开幕的同一天,国家网络安全宣传周和上海信息安全周的重点活动“第三届中国信息安全用户大会”在上海召开。APT技术厂商东巽科技CTO李薛参加本次会议并发表演讲,与参会嘉宾一起探讨在越来越激烈的网络攻防对抗中,如何构筑高级威胁安全防御体系。

东巽科技CTO李薛

东巽科技CTO李薛正在演讲

近年来,重大的网络攻击事件频有发生,今年初“孟加拉国银行失窃”案件在全球金融行业内造成重大影响,并引起多国政府部门关注。通过此类案件可以看到网络空间安全对抗正在不断升级,除了常见的个人黑客、有组织网络犯罪的低烈度对抗,如今可以看到来自黑产、恐怖组织、国家支持的间谍组织发起的中等烈度对抗,甚至是网络部队的高烈度对抗。这些网络攻防对抗极易造成重大损失,甚至直接影响国家安全。

李薛介绍,今年5月,东巽科技成功追踪到的一起针对多国涉密机构的跨国网络间谍攻击活动。这起来自印度的攻击活动被命名为“丰收行动”,黑客采用层层控制、免杀间谍软件、反追踪等高级黑客技术,针对至少6个国家,近800名受害者发动精准网络攻击,窃取了包含部分大使馆通讯录和军事外交相关的文件。东巽科技对本次事件进行了深入的研究后发现,本次事件是一起典型的APT攻击行为。

“面对如此复杂和高级的网络威胁,我们该如何合理的构筑高级威胁安全防御体系,来防御愈发激烈的网络攻击呢?我们以大数据为基础,从“云、管、端、地”四个层次建立多维度的APT综合防护模型,建立以威胁情报为“大脑”的主动防御体系。”李薛表示。“‘云’是指云平台和服务,包括威胁情报信息平台、云端智能检测平台和高级安全服务平台;‘管’是指网络边界高级威胁检测平台,包括高级威胁入侵检测和网络失陷主机检测;‘端’是指客户端的高级威胁检测;‘地’是指人工高级安全服务。”

云

该体系可以检测网络中存在的“僵尸”、“木马主机”和正在遭受的攻击,通过云端威胁情报快速发现威胁源,针对性处理不同类型的威胁事件,利用管道端技术先定位到下部门区域,再定位到具体终端主机,利用终端检测技术协助处理,并通过溯源分析手段了解始末,最终实现包括“态势感知、情报信息、实时监测、追踪溯源”四大安全防御必备要素。

李薛表示,该套体系已经有成功应用的案例,在某部级单位一个月内,曾发现8类安全威胁,共涉及27个内网IP,恶意木马类事件涉及6个内网IP,成功帮助用户遏制了一起存在极大潜在危害的网络攻击行为。

上一篇:习近平眼中网络安全和信息化的辩证关系

下一篇:瑞星:未来中国信息安全趋势展望