科来APT解决方案.pptVIP

APT攻击的网络解决方案 检测、追踪、取证与防护 大纲 背景与需求分析 产品与关键技术 案例分析 关于我们 1 2 3 4 1、APT背景与需求分析 高级持续性威胁（APT）：有组织、有明确目的、采用先进技术的复杂网络攻击 Flame (2012)，Night Dragon (2011)，Stuxnet (2010)，Operation Aurora (2009) 2011年3月17日，EMC公司宣布遭受APT攻击，攻击者已获得其RSA SecurID的一次性密码（OTP）认证产品的有关信息 2013年3月20日，新韩银行、农协银行等韩国金融机构的信息系统遭到APT攻击，信息系统瘫痪，服务几近中断 攻击策划时间长达8个月，成功潜入韩国金融机构1500次，共使用了76个定制的恶意软件，受害计算机总数达48000台，攻击路径涉及韩国25个地点、海外24个地点。 1、APT背景与需求分析 夹杂着各种目的的APT攻击，2013年是最不平凡的一年 斯诺登爆料称美国政府入侵中国网络多年 棱镜门牵出“上游”监控项目 利用WPS 2012/2013 0day针对中国政府部门的定向攻击 3684个中国政府站点遭黑客入侵 .cn根域名服务器遭遇有史最大的DDOS攻击 利用热点的新型APT攻击 针对Adobe Flash漏洞的APT攻击 如家、锦江之星等酒店的用户信息泄露 梭子鱼多个产品惊现SSH后门账户 HP D2D/StorOnce备份服务器被爆发现后门 DLink路由器固件后门 腾达Tenda 路由器后门 黑客向NSA出售0day漏洞 Apache Struts2框架漏洞 人民银行惨遭国外矿工DDOS攻击 持续性 同发性 个人终端突破 多攻击向量 社工 0DAY 社工 跳板 可信通道 加密 缓慢长期 长期窃取 战略控制 深度渗透 1、APT背景与需求分析 1、APT背景与需求分析 APT攻击的特点 防火墙 杀毒软件 IDS IPS 安全网关 Anti Spam Web攻击 钓鱼邮件 恶意文件 流量加密 1、APT背景与需求分析 现有网络安全防御体系面临的挑战 缺乏对未知攻击的检测能力 1、APT背景与需求分析 APT攻击监测的主要思路及挑战 1 2 3 大纲 背景与需求分析 产品与关键技术 案例分析 关于我们 1 2 3 4 实时检测 威胁阻断 数据还原 策略管理 警报收集 数据展现 数据保存 追踪取证 可疑文件 动态分析 行为分析 2.1、APT检测平台简介 2.1、APT检测平台简介 分布式平台 2.2、产品部署 产品部署示意图 2.3、产品关键技术 关键技术1：基于硬件模拟的虚拟化动态分析技术 宿主操作系统: Linux 操作系统 样本文件 虚拟化分析环境 分析引擎 硬件模拟器 指令 行为 关联 样本文件 2.3、产品关键技术 关键技术1：基于硬件模拟的虚拟化动态分析技术 Email检测 电子邮件还原 邮件附件检测 分析环境 智能选取 2.3、产品关键技术 Sandboxie、影子系统等系统沙箱 FireEye 本项目产品 VMWare、VirtualBox等虚拟软件 第一代 第二代 系统沙箱技术 虚拟软件技术 硬件模拟技术 动态分析的发展和方法对比 第三代 X X 关键技术2：基于行为异常的流量检测技术 2.3、产品关键技术 协议模式 根据通讯协议的规范，检测发现非规范协议的通信流量 检测的异常行为：木马私有控制协议；隐蔽信道； 网络状态 根据网络运行状态的历史数据统计，形成正常行为轮廓，以此为基础检测异常 检测的异常行为：内网探测；应用数据异常 网络行为 根据业务应用特点定义正常行为轮廓，以此为基础检测异常 检测的异常行为：跳板攻击；应用访问异常 关键技术3：全流量回溯分析技术 2.3、产品关键技术 基于索引的海量数据快速检索 自主设计的海量数据存储结构和预处理算法 1TB数据的检索时间低于3秒钟 多维度的网络流量线索分析 支持从时间、会话、协议、事件等不同维度进行网络流量追踪分析 可根据发现的异常事件进行深度追踪、溯源，快速确定潜在的威胁，全面评估事件的危害 大纲 背景与需求分析 产品与关键技术 案例分析 关于我们 1 2 3 4 背景： 某社会科学研究院负责国家社会学科研究和政策研究的院所，国外情报机关对该机构进行了长期的渗透攻击。该研究院对此十分重视，部署了大量了防护设备。 影响： 发现台湾、美国对该研究院已经长期窃密，发现36台重要的服务器和该机构核心研究员个人主机被渗透，重要的国家社会情报信息和外交政策信息被窃取，造成重大的影响 3.1、案例：某研究院被APT攻击 发现异常 回溯取证 业务库 可疑邮件警报； 黑域名拦截记录； 账号信息警报； 可疑HTTP警报； 分析拦截 查看邮件内容