未知威胁整体解决方案v1.0.docxVIP

未知威胁整体解决方案█文档编号█密级█版本编号V1.0█日期360企业安全集团█ 版权说明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外。所有版权均属360企业安全集团所有，受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。█ 适用性说明本模板用于撰写360企业安全集团中各种正式文件、包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。目录1.背景12.存在问题32.1.传统防护手段面临失效32.1.1.多变的攻击手段42.1.2.攻击隐蔽性强62.1.3.攻击目标明确82.2.免杀木马无法检测82.3.大量内网数据无法有效利用93.方案思路103.1.未知威胁检测思路103.2.未知威胁响应拦截思路123.3.未知威胁溯源思路133.4.整体思路134.方案设计144.1.方案架构144.1.1.云端威胁情报154.1.2.本地网络信息采集164.1.3.本地文件威胁检测174.1.4.本地大数据威胁分析平台174.1.5.终端联动响应174.1.6.网关联动响应184.1.7.专业安全服务194.2.详细设计204.2.1.部署拓扑图204.2.2.解决的问题204.2.3.方案清单215.方案优势与特点22背景近年来，具备国家和组织背景的APT攻击日益增多，例如：2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等，2014年APT攻击的主要目标行业是金融和政府，分别高达84%和77%。中国是APT（Advanced Persistent Threats，高级持续性威胁）攻击的受害国，国内多个省、市受到不同程度的影响，其中北京、广东是重灾区，行业上教育科研、政府机构是APT攻击的重点关注领域。截至2015年11月底，360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织机构发动APT攻击的境内外黑客组织累计29个，其中15个APT组织曾经被国外安全厂商披露过，另外14个为360独立发现并监测到的APT组织。在这29个APT组织中，针对中国境内目标的攻击最早可以追溯到2007年，而2015年9月以后仍然处于活跃状态的APT组织至少有9个。统计显示，仅仅在2015年这12个月中，这些APT组织发动的攻击行动，至少影响了中国境内超过万台电脑，攻击范围遍布国内31个省级行政区。以下是360威胁情报中心监控到的针对中国攻击的部分APT组织列表，其中OceanLotus（APT-C-00）、APT-C-05、APT-C-06、APT-C-12是360截获的APT组织及行动。排序APT组织APT行动首先报告厂商已知最早活动时间监测最近活动时间1APT28APT28、Operation RussianDollFireEye2007年2014年7月2DarkhotelDarkhotelKaspersky2007年2015年11月3APT-C-05APT-C-053602007年2015年11月4APT-C-12APT-C-123602011年2015年11月5OceanLotus(APT-C-00)OceanLotus3602011年2015年11月6APT-C-06APT-C-063602011年2015年11月7Operation Arid ViperOperation Arid ViperTrend Micro2012年2014年12月8Desert FalconDesert FalconKaspersky2013年2014年11月9CarberpAnunakFOX IT2013年2015年6月10ScanBoxScanBoxAlienVault2014年2015年5月表1针对中国攻击的部分APT组织列表从2015年的统计来看，针对科研教育机构发起的攻击次数最多，占到了所有APT攻击总量的37.4%；其次是政府机构，占27.8%；能源企业排第三，占9.1%。其他被攻击的重要领域还包括军事系统、工业系统、商业系统、航天系统和交通系统等。图1 APT组织主要攻击行业分布2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播免杀木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。根据该组织的某些攻击特点，360公司将其命名为OceanLotus（海莲花）。在安全形势不断恶化的今天，中国重要企业和政府用户所处的特殊位