面对新的威胁,基于规则的传统检测手段已难满足,需要结合 机器学习 和其他高级分析技术,通过监控网络流量、连接和对象来找出恶意的行为迹象,尤其是失陷后的痕迹。
全流量分析技术及过程
在全流量威胁分析方案中,其威胁分析过程如下:首先利用探针设备对网络原始流量进行采集和解析,并将结果接入到威胁分析引擎中,基于规则引擎、威胁情报能力检测已知威胁。同时,我们也将流量数据中的流特征信息、包头信息等关键信息都提取出来,形成流量元数据信息,并连同原始流量数据进行分类存储。最后,通过攻击链引擎对黑客的整个攻击环节进行关联,实现对高级威胁事件的全方位分析。
在某些案例中,我们也可以通过全流量威胁分析可以应对未知威胁检测。将流量汇聚到大数据分析平台后,基于沙箱检测引擎、机器学习引擎可以对异常进行分析,辅以威胁情报,为用户提供抵御攻击者的应变手段。通过对流量原数据做回溯,可以看到以前发生过什么,以及做事件的深入调查。这对传统上基于规则方式的安全防护是一个很好的补充。
绿盟科技结合以上技术,发布了绿盟全流量威胁分析解决方案(简称NSFOCUS TAM),其核心功能如下:
- 镜像流量采集 支持对镜像流量的全流量采集及对网络层、应用层协议进行解析,并可以将采集的到的镜像流量原始数据包及解析后的协议日志进行存储。
- 高级威胁分析 基于规则引擎, 威胁情报 能力,检测已知威胁;基于沙箱检测引擎、机器学习引擎检测未知威胁;最后,再通过 攻击链 引擎,对黑客的整个攻击环节进行关联,实现对 高级威胁 事件的全方位分析。
- 热点事件溯源追踪 基于场景分析引擎,能够将绿盟科技强大的 应急响应 通报能力进行本地化,对如“挖矿事件、永恒之蓝、Struts2”等应急事件可以先于规则引擎前进行检测,并且能够对历史流量进行回溯分析,发现历史上是否有相应事件发生。
攻击链是什么
简单来说, 攻击链 就是攻击者常见攻击过程,包含信息收集、探测、渗透攻击到实施恶意行为等步骤。通常,攻击链可以以如下形式展示。不同攻击方式的攻击过程可能不同,半数攻击者每一次都会改变具体攻击方法。
攻击链
基于攻击链的安全分析
网络攻击是分阶段发生,并可以通过在每个阶段建立有效的防御机制中断攻击行为。
——洛克希德.马丁
不管是侦查阶段、工具准备阶段还是攻击利用、安装后门等等阶段,我们看到的都是一个一个事件的点。而通过这种攻击链分析的方法,通过如上七步,对大量事件进行归类,进而形成一些特性,进而为黑客攻击行为的分析,提供了有效的理论支撑。
NSFOCUS TAM为客户带来的价值如下:
- 对高危事件及失陷资产进行重点通报,大幅降低需要关注的告警数量,降低运维工作量。
- 规则检测、情报分析、沙箱检测和机器学习等多引擎结合,发现高级威胁事件,提升安全检测能力。
- 通过对热点事件的追踪溯源,将原来需要人工进行的应急响应进行自动化,提升应急响应效率。
这个方案在前期应用过程中,客户已经利用TAM在其IDC中发现了一些僵尸网络;也有客户发现了一些挖矿主机,某客户称
我们搞orcale漏洞应急响应,用TAM基本上可以进行自动化,同时我们也回查了历史信息,发现历史流量中没有这个漏洞利用的行为,可以放心了
近年来,绿盟科技紧跟网络安全发展形势,在 物联网安全 、 工控安全 、 云计算安全 , 云安全服务 等方面持续发力,相继发布多款安全产品及解决方案,并向用户提供持续不断的安全服务能力。绿盟科技已成为全球少数同时具备安全产品线、安全能力、安全服务模式的安全厂商之一。