APT防御产品-铁穹高级持续性威胁预警系统

铁穹高级持续性威胁预警系统Copyright©AllRightsReserved.东巽科技（南京）有限公司1安全现状1产品介绍2产品应用32现有网络环境很安全么？APT攻击事件频繁APT（AdvancedPersistentThreat）高级持续性威胁，是针对特定组织所作的复杂且多方位的高级渗透攻击。2011：窃取RSA令牌种子2010：震网攻击核电站2011：夜龙攻击2013：媒体和银行瘫痪2013:棱镜计划(PRISM)2009：极光攻击2011：三一vs中联针对性很强隐蔽能力极强防范难度高攻击范围广攻击手段丰富APT攻击3事件剖析引诱企业内部人员访问挂马站点发送捆绑木马的文档附件的邮件利用SSL加密通道访问C&C服务器，获取敏感信息全球20多家高科技企业被波及，大量核心信息资产泄漏木马控守窃取极光攻击木马植入控制补丁服务器，向终端推送木马程序。定时激活数据毁灭功能，造成硬盘数据永久性毁坏。从终端尝试连接到服务器，成功后执行破坏程序并执行。木马植入木马控守破坏韩国KBS事件特种木马4特种木马特点精心准备的一颗毒药在投放前就针对性的使用各种杀毒软件进行了测试，能够和杀毒软件“和平共处”能够在使用了包过滤、应用网关、状态检测、复合型、ISA代理等防火墙的网络环境保证数据回传能够躲避一般管理员常用的检测工具，使之能够在系统中隐身免杀能力穿透能力隐蔽能力5传统防御手段的困局防火墙、IDS、IPS、防毒等传统防御产品无法遏制特种木马攻击。国外知名反APT安全公司（FireEye）调查的结论：超过95%的企业网络中有主机遭受过特种木马入侵，且特种木马样本检测率低于10%。2013年，国家应急中心监测发现我国境内1.5万台主机被特种木马控制，对我国关键基础设施和重要信息系统安全造成严重威胁。赛门铁克高级副总裁:“杀毒软件已死。杀毒软件仅能拦截45%的网络攻击”。6特种木马分类下载类自动下载木马的程序植入时使用体积小，便于隐藏，可快速执行控守类隐秘控制远程目标资源的程序搭建C&C网络文件下载、键盘记录、密码捕获、屏幕控制、命令行控制等驻留类深入隐藏以期更长时间拥有目标控制权的程序通常驻留在MBR、BIOS、Ghost镜像文件、虚拟机文件、网卡、应用软件等位置直连型木马绑定对外开放端口，攻击者可直接连接控制目标主机端口复用型木马劫持已经使用的通信端口，对正常连接进行重复利用操作系统能够运行在Windows、Linux、MacOS、Android、IOS等操作系统下应用程序隐藏在浏览器、Java虚拟机、Ghost系统等应用程序中硬件隐藏在硬盘、主板、网卡、路由器、芯片等位置按功能分类反弹端口型木马由隐藏在目标主机上的木马服务端主动连接远程木马控制端隐蔽性高，防火墙、IDS、IPS等难以防范按通信方式分类按隐藏环境分类7政策法规《移动互联网恶意程序监测与处置机制》关于印发《木马和僵尸网络监测与处置机制》的通知《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护测评要求》（银监办发〔2011〕62号）关于进一步加强网上银行风险防控工作的通知工业和信息化部：公安部：银监办：木马检测与防御相关政策法规要求：8安全现状1产品介绍2产品应用39产品概述

铁穹高级持续性威胁预警系统是专门针对日益严重的APT攻击中广泛使用的特种木马而研发的一款硬件设备。该产品部署在网络出口处采集网络通信数据，分析通信数据中的木马通信痕迹，识别木马特征和行为，在网络层实现对全网范围内木马识别与追踪，并能够对关键资产所遭受的损失进行审计。上网区域Internet路由器交换机PC1PC2PCn…防火墙铁穹设备获取网络通信数据，识别特种木马10产品架构采集引擎采集引擎采集引擎协议分析引擎木马分析引擎行为分析引擎资产关联引擎综合分析引擎数据存储模块可视化展示分析引擎采集引擎事件告警/会话还原/资产威胁统计数据存储模块远程分析远程管理网络通信流量网络通信流量网络通信流量11主要功能综合分析21木马检测威胁告警4统计报表5资产关联312木马检测--核心思想根据木马的生存特点，铁穹从木马全生命周期入手，深入挖掘网络流量数据，在木马植入、潜伏、活跃三个阶段分别采用不同的方法有针对性地解决特种木马识别难题。植入阶段潜伏阶段活跃阶段通过虚拟引擎技术虚拟执行协议还原得到的可执行文件样本通过文件读写、进程创建、注册表读写、网络上传下载等行为来判定通过判断正常协议通信中的蛛丝马迹来检测APT攻击的伪装技术周期性的心跳数据包、规律性的DNS请求、规律性的IP地址访问异常的数据格式、异常的通信协议罕见或特殊的IP访问、罕见或特殊的DNS请求木马命令通信数据中将携带一些固有特征异常的通信时间段分布异常的上行、下行通信数据比长时间保持通信连接且传输数据量异常13木马检测--核心技术硬件VM虚拟引擎对邮件附件、下载文件、传输文件采用硬件VM虚拟执行引擎技术进行分析行为分析引擎对心跳信号、协议异常、流量异常、访问异常等进行分析通信特征扫描检测对网络流量中的通信数据进行黑名单、威胁特征和木马协议特征识别文件特征码检测采用MD5值校验和广谱特征码匹配技术进行检测14木马检测--行为识别对异常行为进行分析，识别木马心跳信号规律域名解析请求；固定时间间隔下内容一致的通信行为协议异常HTTP协议；DNS协议；邮件类型协议流量判断境外IP长时间连接；上下行流量比；传输总量；传输时间异常异常访问次数内外网IP；域名访问；URL访问综合分析数据关联分析特殊筛选算法分析15黑名单黑IP黑域名黑URL通信行为特征用户自定义威胁识别恶意连接HTTP访问文件传输木马协议特征PIGh0stZXShell宙斯…对网络流量中的通信特征进行分析，识别木马木马检测--特征识别16文件特征码检测主要采用MD5值校验和广谱特征码匹配技术进行检测MD5值校验对通信流量中的文件与已提取的样本文件MD5值进行校验，识别已知木马广谱特征码提取文件的广谱特征，并采用多模的匹配方式与通信流量中的文件进行匹配，识别已知和未知木马木马检测--文件检测17综合分析综合分析是先抽象出APT中使用的各种特种木马通信行为模型，再综合行为分析引擎搜集和整理的各种行为因素，通过模式匹配的方法分析和挖掘特种木马的通信行为，识别已知和未知木马。协议异常流量判断心跳信号异常访问次数HTTP协议异常DNS协议异常邮件类型协议异常1、Type数据类型不匹配特种木马通信固定时间间隔下内容一致的通信行为规律域名解析请求境外IP长时间连接传输总量上下行流量比传输时间异常3、非正常工作时间2、上行超过下行10倍内外网IPURL访问域名访问4、同一URL访问次数18资产关联对关键资产、普通资产、业务系统进行统计管理。并将检测出的安全威胁信息与资产信息进行关联。资产关联能够让用户直观了解到威胁感染的位置和速度，准确定位攻击的目的性。19威胁告警系统采用基于时间框架、威胁事件聚合量、资产相关性等的灵活配置，管理员根据实际状况制定相应的威胁告警策略。告警信息可通过邮件发送给指定接收者。20统计报表系统提供了木马统计、恶意连接统计、HTTP访问统计、文件传输统计、可疑邮件统计等报表功能，支持生成：日、周、月报表。支持Excel、PDF格式导出。21产品特点主要特点木马全生命周期检测方法基于行为分析检测技术全流量、大数据分析事件、资产关联分析木马植入、活跃、潜伏三个阶段分别采用不同的方法有针对性进行木马识别。通过对心跳信号、协议异常、流量异常、访问异常等行为进行分析，识别木马通信行为。铁穹对威胁事件和企业重要资产进行关联分析，准确定位攻击位置和意图。通信数据全流量捕获分析，对关键事件通信数据进行存储，可完全回溯事件过程。22主流技术对比对比项IDS/IPS防毒墙铁穹木马检测技术以规则/特征码为侦测基础以规则/特征码检测技术为主，启发式检测为辅文件特征码、木马通信特征扫描、行为分析等检测技术流量分析技术实时分析实时分析全流量、大数据分析，可回溯深层协议分析封包层级的扫瞄，有限的交叉分析结合文件扫描，缺少关联分析，难以发现未知恶意程序文件扫描，网络协议分析与木马通信行为分析和综合关联分析文件检测技术文件特征码为主文件特征码和启发式检测文件特征码和虚拟执行引擎检测多级分部式部署不支持不支持支持资产关联分析不支持不支持支持23同类产品对比产品

对比项东巽-铁穹国内某APT安全厂商产品国内某互联网安全厂商产品支持协议支持多种协议，包括TCP、UDP、ICMP、HTTP、SMTP、POP3、IMAP、FTP、SMB、DNS等少，HTTP、FTP、POP3少，支持POP3、HTTP等协议核心检测技术特种木马通信行为检测技术虚拟执行引擎检测技术多沙箱引擎检测技术功能主要通过全生命周期检测的思想来检测发现APT攻击中的特种木马，以及其它攻击行为和恶意代码（挂马、钓鱼邮件等）用于检测APT攻击中的恶意代码，主要侧重0DAY/NDAY的检测用于检测APT攻击中的恶意代码，主要侧重0DAY/NDAY的检测优缺点优点：按照木马生命周期检测，采用多种木马通信行为检测技术相互组合，能够检测木马生命周期中植入、潜伏、活跃各个阶段的行为，检测更加深入、细致。同时系统提供接口，可与其它设备联动

缺点：只能检测木马通信行为，无法检测漏洞利用行为。优点：通过虚拟执行技术来检测0DAY和NDAY漏洞，以及部分其他恶意代码。

缺点：只能针对植入阶段的检测，木马或者其它恶意代码已经存在或者躲过虚拟执行引擎检测后不能进行检测优点：通过多沙箱引擎来检测0DAY和NDAY漏洞，以及部分其它恶意代码。

缺点：只能针对植入阶段的检测，木马或者其它恶意代码已经存在或者躲过虚拟执行引擎检测后不能进行检测；此外，很多功能需要联动360其它产品才能深度检测告警方式邮件告警

支持自定义告警策略地图式告警，UI弹出式告警，邮件告警，声音告警未知全流量回溯支持不支持不支持攻击行为溯源强。根据通信行为能够定位木马攻击路径。弱，只能检测木马程序文件，缺少木马内网攻击路径展示。弱，只能检测木马程序文件，缺少木马内网攻击路径展示。资产关联分析支持不支持不支持事件关联分析支持支持不支持部署方式旁路部署，支持多级、分布式部署旁路部署，支持分布式，不支持多级部署旁路部署，单设备部署24产品部署单一部署在重要网络节点或网络出口部署铁穹设备。25多级分布式部署从重要网络节点到网