把高级威胁“找出来”和“赶出去”,增强客户应对高级威胁防护能力
针对高级网空威胁行为体资源足、技术强、隐蔽时间长等特点,安天推出威胁猎杀解决方案,通过以“人”为主导的调查过程,发现关键信息资产中潜伏的威胁。通过威胁情报和迭代的敌情想定,依托强大的网络安全检测,防护,取证溯源、态势感知等安全系统支撑,针对关键基础设施资产开展威胁“猎杀”活动,提前阻止攻击者对资产造成任何损害。
网络空间出现APT式的精准打击,高级威胁行为体广泛使用0day漏洞、仿冒签名等,同时攻击目标明确、攻击意志坚定、攻击成本承受力强,具有较强技术能力,可采用多种手段进入网络环境持续潜伏,作业隐蔽性强。
重要信息系统和信息基础设施处纵深防御体系初步建立,缺乏自动化威胁响应机制,针对隐蔽性强、高复杂度攻击的应对手段有限,不足以对抗高能力对手。
客户安全人员对待高级威胁的认识不清晰,不具备针对高级威胁的发现、分析、拒止等猎杀行为的能力。
威胁猎杀分析层面
通过威胁检测服务和威胁巡检服务完成此部分工作。威胁猎杀初期,需要准备信息采集需求和部署方案,并向现场下发观测信息采集节点部署需求。威胁猎杀分析师对观测信息库、报告库中的信息进行观测调查,并结合威胁知识,产生初步的异常,汇总调查观测信息形成威胁线索。对威胁线索进行综合分析并结合威胁知识提出/更新假设,确定调查观测方向,进而开展定向观测调查,汇总定向调查观测信息形成新威胁线索,进行下一个周期。为了保证信息量充足,需定期启动对全量信息的观测调查。
现场协同与后台支撑服务层面
通过人工调查分析服务完成此部分工作。现场工程师协同系统管理员、控制工程师、安全管理员完成现场协同,逆向分析工程师为现场协同提供后台支撑服务。具体来说,现场相关人员根据下发的增补清单增补部署观测信息采集点,基于现场取证节点清单进行取证调查,并向后台提交样本和相关信息。逆向分析工程师在后台对样本进行一系列分析之后,为现场输出样本分析报告,并提供专查工具和EDR/NDR特征包。现场相关人员基于专查工具和EDR/NDR特征包指导现场排查工作,并基于现场排查上报的感染清单,协同配合完成处置工作。同时,现场相关人员会向报告库提交取证、样本与感染报告。
现场排查层面
通过应急处置服务和专杀开发服务完成此部分工作。基于下发的特征包及其加载指南、专查工具及其使用手册,指挥协调员协同客户系统管理员、安全管理员、控制工程师以及厂商维护工程师开展现场排查。根据网络信息系统中不同业务场景,现场排查可分为自动化和手工排查两种。对于包含EDR/NDR等安全防御措施的业务场景,基于特征包及其加载指南进行自动化排查;对于无法进行自动化排查的业务场景,则基于专查工具及其使用手册开展手工排查。
及早识别高级威胁,深入挖掘未知威胁,洞察攻击者的动机、攻击方法和使用工具,防范攻击者深度渗透业务网络。
关联多方线索,对高级威胁进行溯源,确定其攻击组织,攻击意图和攻击过程,落实纵深防御体系中的主动防御措施,有效地及早发现攻击威胁,避免或者减少损失。
依托专业的猎杀团队,强大的安全支撑工具及多年猎杀经验,帮助客户快速定位隐藏的A高级威胁及高危安全漏洞。快速帮助客户形成高级威胁应对能力。
经过猎杀、攻击者画像、溯源、攻击动机分析形成私有情报和知识库,“有的放矢”指导安全管理及技术体系改进。