网络对抗日趋激烈,《关基保护要求》提出更高检测防御要求,高级威胁检测面对需求升级,知道创宇推出创宇云图与创宇威胁情报网关、创宇智脑威胁情报平台联防联控方案,打破单个网络安全产品的孤岛,充分发挥产品联动方案的整体安全价值,真正满足客户实际应用需求及防御体系合规需求。
新的威胁检测需求出现
传统威胁检测无力应对
受疫情及经济形势影响,国际间的网络对抗愈发激烈,APT攻击及其他高级威胁逐渐成为攻击者采用的主流攻击手段,这些趋势无疑也对安全设备对于这些威胁检测的精准度提出了更高的要求。
传统流量检测设备基于规则进行检测,面对APT攻击及其他未知威胁检测,显得应对不足,与此相对的是,客户对于威胁检测的需求又有新的变化:
1
用户往往需要对检测出的威胁进行及时处置,而传统流量检测设备只有威胁发现的能力,却无法对威胁进行自动阻断;
2
对于检测出的威胁,用户需要快速研判风险,在对攻击者进行溯源取证过程中,需要借助威胁情报大数据来完善攻击者画像。
《关基保护要求》明确提出
更高APT检测及防御要求
2022年10月12日,GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》正式发布,并将于2023年5月1日实施。《要求》更加明确了关键信息基础设施安全保护工作的六个主要内容和活动,具体包括分析识别、安全防护、检测评估、监测预警、主动防御和事件处置,指导运营者对关键信息基础设施进行全生命周期的安全保护工作。
在“安全防护”、“监测预警”两大内容中,均对高级可持续性威胁(APT)等网络攻击的监测和防护提出明确要求。
如在“安全防护”章节提到:应采取技术手段,提高对高级可持续威胁(APT)等网络攻击行为的入侵防范能力;在“监测预警”章节提到:应在网络边界、网络出入口等网络关键节点部署攻击监测设备,发现网络攻击和未知威胁。
创宇云图持续升级
应对实际应用需求及合规需求提升
基于十余年的网络攻防实战经验,知道创宇推出的创宇云图是一款能够基于网络流量对包括APT在内的各类网络威胁进行全面深度的检测的产品,集成了入侵检测、病毒木马检测、变种恶意代码检测、威胁情报、沙箱检测、恶意流量人工智能检测六大检测引擎,既具备已知威胁的检测能力,同时更在APT及未知威胁检测方面具有独特的技术优势,例如能够通过人工智能机器学习、深度学习等技术,检测恶意加密流量、暗网Tor、Shadowsocks代理、VPN、DGA域名、DNS/ICMP/HTTP/HTTPS隐蔽隧道等传统特征检测手段无法检测的异常/恶意网络攻击行为。
目前创宇云图已经广泛应用于部委、政府、公安、央企/国企、金融、医疗等众多行业客户,无论是在重要保障时期还是平时的高级威胁检测分析方面均发挥重要的作用。
随着创宇云图在各个行业、领域的用户网络中的应用场景逐渐丰富,针对客户的实际应用及合规需求提升,知道创宇通过创宇云图与创宇威胁情报网关、创宇智脑威胁情报平台进行产品的联防联控,打破单个网络安全产品的孤岛,充分发挥产品联动方案的整体安全价值,解决客户场景中的实际问题,让客户的安全投资得以升值。
创宇云图打造两大联动方案
全面支持APT威胁处置及攻击溯源
“
联动方案1: 创宇云图联动创宇威胁情报网关,实现高级威胁响应处置闭环
图1 创宇云图+创宇威胁情报网关联动方案示意图
在创宇云图最新版本中实现了创宇云图与创宇威胁情报网关的联动,用户可以在创宇云图中创建威胁响应策略,基于威胁名称、威胁等级、攻击结果、攻击方向、IP范围等多个维度进行条件配置,响应方式选择创宇威胁情报网关,那么通过创宇云图检测到的网络攻击将会被创宇威胁情报网关进行自动拦截,从而轻松实现高级威胁检测-分析-响应处置的闭环。
图2 威胁响应策略配置
“
联动方案2:创宇云图联动创宇智脑,用高价值威胁情报赋能攻击溯源场景
图3 创宇云图+创宇智脑联动方案示意图
创宇智脑是知道创宇基于海量真实攻防数据实时持续生产的威胁情报大数据平台,基于多年来为数十万国家重点关基行业业务系统提供云端安全防护服务,累计超3000亿+威胁情报数据,每日对5亿+攻击行为数据进行实时分析和提取,自产的威胁情报具有高精准、鲜活、可解释的特点。
该联动方案对创宇云图和创宇智脑的云端威胁情报平台实现了数据的打通,用户在对云图检测到的威胁事件做进一步攻击溯源时,可以通过云图的护网工作台事件详情web页面直接点击跳转到创宇智脑的页面,从而可查看到创宇智脑中对该攻击者的全面画像描绘。其中包括该攻击者常用的攻击工具、攻击手法、攻击行业偏好、历史攻击行为、地理位置等50多种维度。
例如,下图展示的是创宇云图检测到的某挖矿木马通信外连事件,用户可点击目的IP后面的“情报查询”,将会自动跳转到创宇智脑的界面,对攻击者做更加深入的了解和溯源分析。
图4 创宇云图护网工作台事件详情页面
图5 智脑的界面截图
基于威胁情报实现联防联控
构建积极防御体系
2022年,地缘政治冲突变得更加激烈,可以预见未来包括APT攻击在内的各类新型威胁将变得更为复杂、隐蔽、更具破坏性。
针对各类APT等新型高级威胁的检测手段应持续动态升级,以威胁情报大数据为产品动态赋能,充分发挥多个产品之间的联动效益,形成云地联动、多点协同的联防联控能力,协助客户构建积极防御体系。