近日,由中国机械工业联合会、中国电力发展促进会网络安全专委会主办的2022中国能源信息与网络安全技术交流大会在贵阳顺利召开,大会期间同时举行了“闪电杯”能源行业网络安全实践案例与应用场景大赛颁奖典礼,中睿天下凭借“基于APT攻击的溯源检测实践”荣获三等奖。
本次大会汇聚了政府主管部门、各能源企业、行业机构、科研院校和信息技术企业的领导和专家,着重探讨在当前技术背景和行业发展形势下,能源企业信息安全、网络安全的实践经验、政策趋势和技术方案。会上,中睿天下联合创始人谢辉就“基于APT攻击的溯源检测实践”进行了分享。
中国A能源集团公司近期通过流量设备监控发现服务器异常外联,通过IP溯源分析发现该地址属于越南APT组织“海莲花”。该APT组织在2012年活跃以来,一直针对中国敏感目标进行攻击活动,是近几年来针对中国大陆攻击活动最活跃的APT攻击组织之一。
通过对服务器进行上机取证分析,发现该服务器在2019年2月21日就被“海莲花”APT组织控制,一直持续到今日木马依然存活。经过APT溯源分析,其攻击手法、攻击流程、使用工具等内容和国内外发生的多起钓鱼攻击事件溯源结果相同,从而确认该攻击者为“海莲花”APT组织。
A能源集团安全管理部门在多年的安全运维管理方面,积累了大量的经验,但是在回顾安全建设维护经验中,发现近年安全管理的挑战越来越大,并面临几个问题:传统防护手段失效、高级木马无法检测、集团内网数据无法有效利用。
大量未知威胁可以绕过以特征检测为核心检测手段的传统安全防护体系,如何发现未知威胁成为企业面临的挑战;海莲花组织所使用木马的感染者遍布国内各个省级行政区和境外的36个国家,成功逃过传统安全防御体系的检测;APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。由于APT攻击的隐蔽性和特殊性,传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。因此,如何合理的利用网络流量数据,是检测、回溯APT攻击必须解决的问题。
本次案例的解决方案设计有别与传统安全威胁监测方案,是在威胁情报的基础上通过原始流量采集分析、网络关键基础设施信息采集以及外部安全监测获取全面数据,从而对全局的安全态势进行整体展现、分析、响应,因此采用了目前业内先进的APT威胁溯源和威胁情报技术。
本地信息采集能力;通过睿眼平台对网络流量进行解码还原出真实流量提取网络层、传输层和应用层的头部信息,甚至是重要负载信息;对所有数据进行存储、预处理和检索的工作。睿眼底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。
基于机器自学习的APT检测能力;对企业内网的未知威胁进行有效检测的前提条件是能够对内网的情况进行完全掌控。睿眼的设计目标就是对企业内网中流量的镜像文件进行采集并全量还原,基于机器自学习的入侵检测模块通过学习确认的模型匹配各类网络入侵行为,并产生告警。睿眼平台的协议分析模块,可以在IPv4/IPv6网络环境下,支持各类主流协议的高性能分析。同时,平台的威胁检测进程可基于会话的状态检测多种网络协议中的攻击行为,可检测多种网络攻击行为,也可检测如sql注入、跨站、webshell、文件包含等多种web攻击事件,内置的webshell沙箱可以精准检测php后门并记录相关信息。
威胁情报能力;我公司通过自建IOC实验室,实时处理更新来源于合作企业伙伴、合作政府机构、自主挖掘、开源情报采集等维度的威胁情报,实时保护企业运营所产生的海量大数据,同时可以对企业内网上活跃的任何一次未被发现的攻击进行记录。这些数据给未知威胁发现和APT攻击检测提供了完全真实网络环境下的大量数据支撑。
分析溯源能力;睿眼平台可以依靠自身独特的分布式搜索架构设计,将所有收集的行为信息和告警信息进行快速的存储并建立索引。建立索引后的信息可以快速的搜索。安全管理人员便可以利用该能力记录过去一段时间内出现的任何一次网络行为,发现任何一次网络行为中的具体细节,提升网络透明度及可视性,快速发现高级威胁结合本地业务进行准确溯源,牢牢掌握企业安全工作的主导位置,满足上级监管单位对于安全工作的溯源及定位要求。
APT攻击是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。近10年来,具备国家和组织背景的APT攻击逐年增多,例如:攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、平昌冬奥会网络攻击事件等;而近些年来APT攻击的主要目标则是我国的科研单位和能源行业。
睿眼APT攻击溯源解决方案通过采集、预处理、分析、存储、展现等五个层次的处理逻辑,对实时流量镜像数据进行分析、处理、标签、关联及存储,实现高效的高内聚、低耦合的模块化处理机制。通过暴露面攻击、中转区攻击、横向移动、失陷回连、实时分析、全局分析等攻击链威胁监测,以攻击者维度见微知著,从而及时判断防护的脆弱点,完整呈现整个攻防状态,构建起监测预警、威胁检测、分析溯源和响应处置一体化的新一代威胁监测体系。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...