中新金盾高级持续性威胁防御
产品定位
数字革命推动业务创新和经济增长已经成为新世纪的趋势,但是同时也带来了新威胁,在竞争激烈的市场下,以APT攻击为核心的攻击方式正在愈演愈烈,此类攻击发起者往往是雇佣的黑客团队,攻击手法非常高级,会使用到零日攻击、病毒、木马等组合攻击手段,从行为上看十分隐蔽,可以完美的绕过已有的基础安全设备;会给组织带来非常致命风险。
面对日益复杂的攻击形式,单一的防护无法发现复杂的攻击行为,APT的防御必须围绕组织内部核心资产开展基于大数据模型的风险计算,通过对恶意文件、恶意攻击行为、高级组合攻击、基于业务的逻辑攻击进行模型分析计算,实时得出风险提示,通过专家在线、现场服务做到风险跟踪关闭,为组织核心资产提供有力的保障。
APT平台是依托于中新网安研发的大数据平台建设的全新风险展示平台,多年来的安全服务能力和大数据算法研究能力铸造了当前平台的三大核心功能,包括对于未知文件的沙箱检测技术、国际常见黑客的攻击行为指纹技术以及通过大数据算法实现机械学习技术,通过三维立体的风险定位模型刻画了攻击行为的路线,有助于发现潜在和未来的安全攻击行为,最大限度保证核心数据资产不被黑客侵犯。
功能特点
中新金盾高持续威胁防御系统,标准的整体机架式部署,采用“5+2+1”的产品架构,包括五大支撑引擎,两大服务体系,一大展现平台。
支撑引擎
1. 数据接收引擎
数据接收引擎也就是我们俗称的探针,不仅能够支持接收传统网络中交换机镜像过来的流量,还支持以云化的方式部署,通过API接口调度和虚拟接口调度的方式,接收来自云端的数据流量。
2. 行为分析引擎
行为分析引擎能够对网络中数据包进行深度分析,涉及信息内容的权重、频次以及动作等,不仅能够实时的展现攻击者单次的攻击行为,还能够分析出某个时间段的攻击过程,对攻击者的攻击手法、渗透过程进行深度挖掘。
3. 大数据分析引擎
大数据分析引擎承载着原始攻击流量存储、资产行为数据存储、实施攻击行为和文件环境等功能,为整个数据挖掘提供挖掘框架,实现模型的训练,并且能够完成历史行为的深度自学习。
4. 高效沙箱引擎
高效沙箱引擎高度还原了真实的系统环境,支持还原多种文件类型,分析文件的行为,并对文件进行病毒查杀和木马检测。
5. 机器学习引擎
机器学习引擎是中新金盾高级持续威胁平台的业务分析核心,深度学习关注业务交易的核心深度识别业务的安全风险。
服务体系
1. 在线专家服务
在线专家服务,能够给客户提供实时的技术问答和技术支持,包括产品操作,攻击行为处理等方面的问题。
2. 现场支持服务
现场支持服务除了帮助客户,解决产品的上线部署,公司还拥有优秀的应急响应小组,能够帮助客户及时处理,存在的潜在风险,保证业务的正常进行。
展现平台
以可视化的形式全方面的监控用户的资产,安全转台,基于用户行为、数据流量进行画像学习,并实现APT场景和案件的重构,动态的显示攻击者的攻击行为路线。
核心技术
多维动态行为检测
猎潜者能够多维度的对攻击行为进行检测,涉及到应用层攻击、系统层攻击以及数据库层面,目前的检测类型有18类,包括邮件攻击、沙箱检测、隐蔽信道逃逸检测、web应用层攻击、域渗透、远程控制等,并支持多维的攻击模式识别,能够检测由外网到内网发起的攻击,内部不同业务和安全域间的访问以及内网访问外网,防数据窃取回传的检测。
沙箱技术
zxsandbox是一款由中新网安自主研发的沙盒软件,用于自动化分析恶意软件,它通过虚拟机技术创建一个独立的运行环境运行恶意软件,从而监控恶意软件的行为。
1. 反虚拟机技术
虚拟机环境存在一定的指纹特征,某些恶意软件在运行時,会针对这些指纹特性对当前运行的环境进行检测,一旦发现当前环境是虚拟机环境,则不触发,为了解决虚拟机指纹特征的问题,zxsandbox具有高保真特性,采用一些手段将运行环境伪造成真实的环境,来诱发恶意软件触发真实行为。
2. 高效灵活的文件类型识别
zxsandbox具有多种模式匹配和文件类型规则,能够高效、灵活的识别文件类型;针对未知文件类型可快速补充规则进行识别,准确率达到95%以上。
3. 多种静态分析
常规的静态分析方法主要是依靠病毒引擎,而zxsandbox针对不同的文件类型,添加了特定的检测方法,比如针对PDF文档,我们嵌入了js检查,剥离js脚本检测,并可根据需要对js脚本进行动态分析。
4. 高级内存分析
zxsandbox可对受感染的内存镜像进行分析,主要包括系统的文件操作、注册表操作、加载模块分析、进程分析等。
5. 详细的网络行为记录
zxsandbox能够详细记录沙盒中所有的网络信息,包括加密的信息。可以帮助发现恶意软件的下载动作、网页访问等行为。
6. 综合判断文件危害程度
zxsandbox内置了很多恶意软件的行为特征规则,这些规则是对不同类型的恶意软件真实行为的总结,贯穿整个静态检测、内存分析、网络行为记录等检测过程。避免正常软件的正常行为被系统五保,从而综合的判断出文件的危害程度。