名 词 解 释
不完美攻击者:指防守方明知被攻击,但没有足够证据还原所有细节的攻击者。
众所周知,破案的关键在于从细节之中找出完整的证据链,从而还原案件真相。
网络攻防亦是如此。为了避免被防守方察觉,攻击者会小心隐藏自己的行踪。不过,再高明的攻击手法也会在系统内部留下蛛丝马迹,如果防守方不能搜集到完整的证据链,那么得到的只能是攻击者的“局部画面”,从而产生了“不完美攻击者”。
显然,这对防守方的细节观察能力,提出了很高的要求。
然而令人头疼的是,当安全事件发生时,因为传统设备日志很难在维度和细粒度上满足溯源取证需求,导致出现证据链不完整、关键证据缺失、证据数据查询慢等问题,无法对安全事件做出及时响应、彻底处置。
例如:
对此,在即将到来的大规模实战攻防演习期间,奇安信又将推出一款全新的实战攻防必备神器——天眼全流量溯源取证平台,面向安全分析人员提供一套集数据采集、存储、回溯、分析、溯源取证等功能于一体的高性能数据采集和智能分析解决方案。
天眼全流量溯源取证平台犹如安防监控摄像机一般,已经进行了全流量存储、全流程记录、全过程留痕,自动保留攻击者“案发现场”,可有效帮助防守方的安全分析人员按需提取历史原始流量并回放,完整地还原安全事件的真实场景,抽丝剥茧寻找攻击者线索。从而,更有效、更快速地应对攻击者的隐藏手段,定位真实的攻击源头,及时阻断网络攻击。
在调取监控录像时,大家往往关注这些重点。首先,视频录制得是否够全,以防出现录制视频画面不完整、关键证据丢失的情况。其次,视频录像存储的周期是否够长,以防出现查看录像时被自动清除的情况。最后,视频是否支持加速回放,以快速定位问题。
天眼全流量溯源取证平台在设计之初就考虑到了上述问题,具备“录得全,存得长,查得快”的特点。
【录得全】
天眼全流量溯源取证平台,保证100%完整存储数据包,在大流量下也不丢包、不截包,真正全流量。
【存得长】
天眼全流量溯源取证平台,存储周期较传统全包产品提升二倍,可以满足客户数据包长期存储的需求。
【查得快】
天眼全流量溯源取证平台,满足客户毫秒级的快速检索,为其提供更高效的溯源取证。
在实战攻防演习期间,有了天眼全流量溯源取证平台,防守方可以轻松实现:
第一,快速定位:在短时间内定位问题,给出完整的证据链和分析过程,发现攻击何时开始、通过什么方式进入、在什么时间做了哪些攻击等等,以提高溯源报告的分析质量!
第二,精准回溯:从历史的数据包中,搜索新出现的0day情报,及时找出已存在的攻击!
第三,联动响应:天眼威胁监测与分析系统已内置与全流量溯源取证平台的联动能力,WAF、DLP、IDS/IPS等设备也可基于API接口与全流量溯源取证平台进行联动,实时对威胁进行研判,实时对数据包溯源取证,以最快的响应速度还原第一手案发现场,找到“完美攻击者”。
据参与测试的某客户一线安全工程师说,有了这个360度全方位无死角24小时的“监控摄像头”,我们就能全程记录攻击者行为并进行回放查询,为安全事件调查提供足够的证据,从而帮助分析人员在短短几小时,甚至是几分钟内,快速发现更隐蔽的攻击者,定位真实的攻击源头,简直是防守方的“上分神器”。
文中部分图片来源于网络
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...