近日,由中国软件评测中心发起的“2022 年度网络安全和数据安全优秀案例评选”活动评选结果正式公布。在众多参与案例中,创宇猎幽APT流量监测系统(NDR)凭借出色的行业场景实践和出众的产品表现力脱颖而出,成功入选“2022 年度网络安全优秀案例”。
在中国电子信息产业发展研究院的指导下,该活动面向全国各类企事业单位征集优秀案例,从网络安全、数据安全、移动互联网 APP产品安全漏洞治理三个领域分别展开,经过多轮严格评审,本次共有40个优秀案例通过评选。创宇猎幽能够成功入选,是业界对其突出的创新技术能力和综合实力的重要肯定。
APT攻击已成常态,创宇猎幽源于实战,能力历经诸多场景实践验证
近年来,具备国家背景的APT攻击有愈演愈烈的趋势,复杂度高、隐蔽性强,黑客组织开始针对国家关基行业进行有计划的APT攻击,以期达到窃取情报、获取信息、甚至破坏关基系统等目的
知道创宇专注实战,持续与一线APT组织进行对抗,积累了丰富经验,创宇猎幽已经在监管单位、政府、公安、国企/央企、金融等重要行业进行了实际应用,全面分析挖掘各类已知和未知威胁,有效避免了党政机关及重点企业的信息系统因 APT 攻击而遭受重大损失。
【优秀案例一】NDR在某央企APT攻击发现场景中的应用
· 背景和需求
某央企是我国重要基础设施建设的大型中央企业,其核心数据涉及国家安全相关的各类重要信息,一旦泄露将对国家安全造成极大威胁。
客户业务系统及数据价值极高,受限于自身APT攻击发现能力不足,处于被攻击却无感知、无防御的困境。此外,客户需要将APT攻击数据集成至现有态感平台中,从而进行统一分析管理,因此,对 APT 攻击检测的要求如下:
1.全流量全威胁发现,支持全流量留存供溯源分析,可提供更多的 APT 攻击背景信息;
2.APT 攻击数据对接至自有态感平台,与其他安全数据关联,进行统一数据收集管理。
· 解决方案
创宇猎幽通过旁路部署镜像,全面检测对央企客户内网发起的 APT 攻击,及已经潜伏在单位内各服务器和终端主机中的各种特种木马,定位出失陷的主机。同时,将告警数据对接至客户态势感知平台,留存全流量信息供溯源分析。
· 客户收益
1.在部署完成后的短短一周之内,创宇猎幽就帮助客户发现了不少之前未发现的安全隐患,其中包括10余起网络安全事件,多台内网主机疑似感染APT组织木马。
2.基于多起安全事件发现及全流量数据留存,创宇猎幽进一步深入溯源分析和关联,为客户还原出印度 APT 组织“白象”、东南亚 APT 组织“Lazarus”发起的5起APT攻击事件,明确了客户所遭受攻击的主要来源。
3.明确攻击来源及特点,并将APT威胁数据补充到客户已有态势感知系统中,为客户建立有针对性、更有效的向前防御体系提供充足的数据支撑。
【优秀案例二】NDR在国家级关基监管单位APT监测通报场景中的应用
· 背景和需求
某国家级监管单位承担国家网络信息安全管理技术支撑保障职能,负责监管国家党政机关、央企国企、高校、科研院所等重要关基单位的网络情况,发现 APT 攻击需要及时通报给被监管单位并督促整改,进而保障整个国家层面的网络安全。
因为监管客户所掌握的网络出口流量规模庞大,需要对流量进行实时的协议解析和攻击发现,威胁告警信息要确保可验证、可追溯,可用于直接对被监管单位进行通报,所以对于 APT 流量检测的要求为:
1.APT发现准确,告警信息确凿,支持详细信息取证;
2.流量来源复杂,检测方式兼顾实时流量与离线流量。
· 解决方案
知道创宇为此监管客户提供了创宇猎幽灵活部署的解决方案,旁路部署镜像流量解决实时流量监测问题,离线数据导入方式应对离线流量深度检测的问题。
同时,创宇猎幽特有的 APT 测绘情报支持精准发现 APT 攻击,并可以提供可靠通报信息。其特有的APT测绘情报来源于网络空间搜索引擎 ZoomEye 的测绘能力及404高级威胁情报团队长期对于 APT 组织跟踪的经验及获取的多维度情报信息,目前创宇猎幽已经积累了 40+ APT 组织的超过 200 个特征,持续输出超过 10 万的 APT 情报。
· 客户收益
1.2021年至2022年,协助监管客户通报针对我国党政机关、科研单位及重点高校的15起APT攻击事件,使客户真正担负起了《网络安全法》中规定的主管单位安全监管的责任。其中典型攻击事件如:2021年4月,台湾绿斑 APT 组织意图通过钓鱼邮件,盗取科研人员账号密码事件;2021年6月,某党政机关被植入了 Turla APT 组织的木马;2021年9月,印度背景 APT 组织 Bitter对某高校发起攻击。
2.客户可以将创宇猎幽提供的精准APT 告警信息进行导出,作为最终可用通报信息,直接用于通报,大大地提升了对国家级关基系统的监管效率。
3.客户还可以将创宇猎幽用于实时流量分析,对离线数据包、或者读取的文件服务器数据进行分析,使用方式灵活、性能高,满足多样的APT检测监管场景需求。
目前,知道创宇已经实现 APT 测绘及 APT 防御的完整解决方案,可以精准和高效的进行 APT 发现。APT 组织在不断变化,攻击手段也在不断升级,要真正实现全球范围内的APT 组织测绘与监控道阻且长,未来知道创宇还会不断提升高级威胁发现技术能力,协助关键信息基础设施客户将APT防御落到实处,解决新的问题和挑战!