【攻防演練專題】流量側持續監測
本期為【攻防演練專題】系列的第四期,將分享在攻防演練活動期間,運用探海威脅檢測系統實時監測流量側,及時發現威脅并聯動處置,爭取少丟分甚至多加分。
無論是在攻防演練期間還是在日常狀態下,利用網絡資源發動攻擊,都是攻擊者優先選擇的手段。承載網絡信息連接流轉的流量側,既成為了攻防對抗的第一條“戰線”,也是防守方的第一道“防線”。
所以,持續有效的流量側監測與及時的聯動處置,在一定場景下,就成為了防守方在攻防演練實戰對抗中“速戰速捷”,獲得主動的“關鍵”。
依托安天20余年對網絡威脅行為體的持續跟蹤及威脅對抗經驗、以及多年大型攻防演練防守保障經驗的積淀,探海威脅檢測系統(以下簡稱:探海)以增強用戶在真實威脅對抗中的分析、檢測、處置、協同能力為核心,可快速發現威脅并及時響應,提升整體網絡安全保障能力和防護水平。
在攻防演練場景中,通過在網絡關鍵節點旁路部署探海,可在演練備戰階段,檢測網內被植入的惡意代碼,清除潛伏木馬;同時也能在演練期間,實時監測網絡威脅與攻擊行為,并協同聯動其他安全產品及時處置;進而有效幫助用戶在演練期間,固守網絡側安全,保障少丟分或不丟分。
探海的全要素記錄機制,可提升對定向攻擊、高級威脅的檢測響應和溯源能力,能幫助用戶定位攻擊感染源頭,并持續感知網絡攻擊、監控攻擊者的各種行為,同時可輔助安全分析人員有效溯源攻擊過程,快速高效完成溯源分析總結報告;支撐在演練期間爭取多得分。
01、四項產品價值,滿足演練場景需求
1. 威脅檢測及實時告警
探海內置惡意代碼檢測引擎、網絡行為檢測引擎、命令與控制通道檢測引擎、自定義場景檢測引擎等四大檢測引擎,采用DGA隨機域名檢測、隱蔽信道檢測等多種威脅檢測模型,支持從數據流、網絡行為、文件等多個層次對采集的數據進行檢測,發現處于不同攻擊階段的威脅活動,及時監測掃描探測、釣魚郵件、漏洞利用等攻防演練中常用的攻擊手段,識別攻擊路徑。并通過界面提示、設備聯動、郵件等方式,對捕獲的威脅事件實時告警。
2. 自動化事件關聯分析
探海基于載荷相似性、惡意代碼家族關聯性、攻擊資源相關性、漏洞相關性、威脅情報關系、攻擊活動上下文、時序關系等維度,對發生在一定時間窗內的多條威脅事件進行統一的自動關聯處理,對演練期間攻擊方的掃描探測活動、載荷投放、命令控制通道的建立、木馬的通聯活動與回傳行為進行統一監控,并生成詳細的分析報告。
同時,還可通過還原攻擊過程,提高安全分析人員的工作效率,幫助用戶及時進行威脅處置。
3. 資產風險可視化評估
在演練期間,面對流量中發生的網絡威脅,探海可提供高危資產畫像信息,幫助安全分析人員快速直觀地看到IP基本信息、通聯關系、域名使用情況、源端口使用情況、監聽端口開放情況、攻擊詳情等信息,協助用戶還原威脅事件全貌,洞見內部網絡威脅,為關鍵資產制定針對性策略提供數據支撐。
4. 關鍵數據按需采集
針對演練期間發現的網絡威脅事件,探海支持IP、協議或端口進行全流量捕獲和全包存儲,可根據演練場景進行流量捕獲策略的配置,為后續的追蹤溯源、分析研判提供有效支撐,提高應對威脅分析響應速度。
02、四大能力優勢,支撐實戰化運營
1. 多層次多維度檢測,網絡威脅有效發現
探海支持從數據流、網絡行為、文件等多個層次對網絡威脅進行檢測,綜合運用惡意代碼檢測、行為檢測、威脅情報、模型分析、關聯分析等多種檢測手段,對演練期間處于不同攻擊階段的網絡活動進行精準檢測與告警:包括但不限于網絡掃描探測、遠程漏洞利用、攻擊載荷投放、僵尸網絡活動等網絡攻擊行為;以及發現DGA隨機域名、隱蔽信道等新型網絡攻擊行為。實現快速并精準地發現演練中的網絡攻擊行為。
圖1 探海多層次多維度檢測示意
2. 全要素留存,網絡威脅有效分析
基于流量側海量的威脅線索,如何做到有效溯源分析,是網絡安全檢測重要的一環。
區別于全流量緩存記錄的方式,探海基于流量側的細粒度協議解析和還原,支持對網絡元數據、應用層傳輸要素、載荷對象要素等要素信息進行全要素留存,為演練期間的網絡攻擊溯源提供更精準、更全面的威脅線索,同時基于惡意代碼傳播關系、命令與控制關系、惡意文件關聯等維度,進行網絡側威脅事件自動化關聯分析。
同時,依托安天20余年網空威脅研究與對抗經驗,借助 ATT&CK 威脅框架,結合威脅情報上下文進行自動化多維關聯分析,能更有效地支撐安全分析人員進行威脅研判、追蹤溯源,顯著提高網絡攻擊分析效率。
3. 多產品協同聯動,網絡威脅及時處置
探海與追影威脅分析系統聯動進行深度分析,彌補傳統邊界設備和入侵檢測設備檢測深度不足的缺點,及時檢測虛擬化/沙箱逃逸、漏洞規避防御等惡意行為,特別是0day漏洞攻擊等高級攻擊技術手段。
同時,探海也可以與智甲終端防御系統聯動,協助威脅處置,形成安全運營閉環。
4. 場景化規則能力,構建攻擊者難以預知的檢測策略
在演練期間,雖然攻擊方的攻擊手段多樣化,但探海支持通過持續將人的經驗轉化為適合用戶私有場景的自定義檢測規則,從而構建攻擊方無法預知的檢測防御策略,形成攻防場景下私有化、定制化的威脅對抗能力,提升對縱深威脅的檢測能力。
原文來源:安天集團
