把高級威脅“找出來”和“趕出去”,增強客戶應對高級威脅防護能力
針對高級網空威脅行為體資源足、技術強、隱蔽時間長等特點,安天推出威脅獵殺解決方案,通過以“人”為主導的調查過程,發現關鍵信息資產中潛伏的威脅。通過威脅情報和迭代的敵情想定,依托強大的網絡安全檢測,防護,取證溯源、態勢感知等安全系統支撐,針對關鍵基礎設施資產開展威脅“獵殺”活動,提前阻止攻擊者對資產造成任何損害。
網絡空間出現APT式的精準打擊,高級威脅行為體廣泛使用0day漏洞、仿冒簽名等,同時攻擊目標明確、攻擊意志堅定、攻擊成本承受力強,具有較強技術能力,可采用多種手段進入網絡環境持續潛伏,作業隱蔽性強。
重要信息系統和信息基礎設施處縱深防御體系初步建立,缺乏自動化威脅響應機制,針對隱蔽性強、高復雜度攻擊的應對手段有限,不足以對抗高能力對手。
客戶安全人員對待高級威脅的認識不清晰,不具備針對高級威脅的發現、分析、拒止等獵殺行為的能力。
威脅獵殺分析層面
通過威脅檢測服務和威脅巡檢服務完成此部分工作。威脅獵殺初期,需要準備信息采集需求和部署方案,并向現場下發觀測信息采集節點部署需求。威脅獵殺分析師對觀測信息庫、報告庫中的信息進行觀測調查,并結合威脅知識,產生初步的異常,匯總調查觀測信息形成威脅線索。對威脅線索進行綜合分析并結合威脅知識提出/更新假設,確定調查觀測方向,進而開展定向觀測調查,匯總定向調查觀測信息形成新威脅線索,進行下一個周期。為了保證信息量充足,需定期啟動對全量信息的觀測調查。
現場協同與后臺支撐服務層面
通過人工調查分析服務完成此部分工作。現場工程師協同系統管理員、控制工程師、安全管理員完成現場協同,逆向分析工程師為現場協同提供后臺支撐服務。具體來說,現場相關人員根據下發的增補清單增補部署觀測信息采集點,基于現場取證節點清單進行取證調查,并向后臺提交樣本和相關信息。逆向分析工程師在后臺對樣本進行一系列分析之后,為現場輸出樣本分析報告,并提供專查工具和EDR/NDR特征包。現場相關人員基于專查工具和EDR/NDR特征包指導現場排查工作,并基于現場排查上報的感染清單,協同配合完成處置工作。同時,現場相關人員會向報告庫提交取證、樣本與感染報告。
現場排查層面
通過應急處置服務和專殺開發服務完成此部分工作。基于下發的特征包及其加載指南、專查工具及其使用手冊,指揮協調員協同客戶系統管理員、安全管理員、控制工程師以及廠商維護工程師開展現場排查。根據網絡信息系統中不同業務場景,現場排查可分為自動化和手工排查兩種。對于包含EDR/NDR等安全防御措施的業務場景,基于特征包及其加載指南進行自動化排查;對于無法進行自動化排查的業務場景,則基于專查工具及其使用手冊開展手工排查。
及早識別高級威脅,深入挖掘未知威脅,洞察攻擊者的動機、攻擊方法和使用工具,防范攻擊者深度滲透業務網絡。
關聯多方線索,對高級威脅進行溯源,確定其攻擊組織,攻擊意圖和攻擊過程,落實縱深防御體系中的主動防御措施,有效地及早發現攻擊威脅,避免或者減少損失。
依托專業的獵殺團隊,強大的安全支撐工具及多年獵殺經驗,幫助客戶快速定位隱藏的A高級威脅及高危安全漏洞。快速幫助客戶形成高級威脅應對能力。
經過獵殺、攻擊者畫像、溯源、攻擊動機分析形成私有情報和知識庫,“有的放矢”指導安全管理及技術體系改進。