创宇猎幽APT流量监测系统获CSTC年度网络安全优秀案例

news2024/11/15 8:38:44

近日,由中国软件评测中心发起的“2022 年度网络安全和数据安全优秀案例评选”活动评选结果正式公布。在众多参与案例中,创宇猎幽APT流量监测系统(NDR)凭借出色的行业场景实践和出众的产品表现力脱颖而出,成功入选“2022 年度网络安全优秀案例”。

在中国电子信息产业发展研究院的指导下,该活动面向全国各类企事业单位征集优秀案例,从网络安全、数据安全、移动互联网 APP产品安全漏洞治理三个领域分别展开,经过多轮严格评审,本次共有40个优秀案例通过评选。创宇猎幽能够成功入选,是业界对其突出的创新技术能力和综合实力的重要肯定。

APT攻击已成常态,创宇猎幽源于实战,能力历经诸多场景实践验证

近年来,具备国家背景的APT攻击有愈演愈烈的趋势,复杂度高、隐蔽性强,黑客组织开始针对国家关基行业进行有计划的APT攻击,以期达到窃取情报、获取信息、甚至破坏关基系统等目的

知道创宇专注实战,持续与一线APT组织进行对抗,积累了丰富经验,创宇猎幽已经在监管单位、政府、公安、国企/央企、金融等重要行业进行了实际应用,全面分析挖掘各类已知和未知威胁,有效避免了党政机关及重点企业的信息系统因 APT 攻击而遭受重大损失。

【优秀案例一】NDR在某央企APT攻击发现场景中的应用

· 背景和需求

某央企是我国重要基础设施建设的大型中央企业,其核心数据涉及国家安全相关的各类重要信息,一旦泄露将对国家安全造成极大威胁。

客户业务系统及数据价值极高,受限于自身APT攻击发现能力不足,处于被攻击却无感知、无防御的困境。此外,客户需要将APT攻击数据集成至现有态感平台中,从而进行统一分析管理,因此,对 APT 攻击检测的要求如下:

1.全流量全威胁发现,支持全流量留存供溯源分析,可提供更多的 APT 攻击背景信息;

2.APT 攻击数据对接至自有态感平台,与其他安全数据关联,进行统一数据收集管理。

· 解决方案

创宇猎幽通过旁路部署镜像,全面检测对央企客户内网发起的 APT 攻击,及已经潜伏在单位内各服务器和终端主机中的各种特种木马,定位出失陷的主机。同时,将告警数据对接至客户态势感知平台,留存全流量信息供溯源分析。

​· 客户收益

1.在部署完成后的短短一周之内,创宇猎幽就帮助客户发现了不少之前未发现的安全隐患,其中包括10余起网络安全事件,多台内网主机疑似感染APT组织木马。

2.基于多起安全事件发现及全流量数据留存,创宇猎幽进一步深入溯源分析和关联,为客户还原出印度 APT 组织“白象”、东南亚 APT 组织“Lazarus”发起的5起APT攻击事件,明确了客户所遭受攻击的主要来源。

3.明确攻击来源及特点,并将APT威胁数据补充到客户已有态势感知系统中,为客户建立有针对性、更有效的向前防御体系提供充足的数据支撑。

【优秀案例二】NDR在国家级关基监管单位APT监测通报场景中的应用

· 背景和需求

某国家级监管单位承担国家网络信息安全管理技术支撑保障职能,负责监管国家党政机关、央企国企、高校、科研院所等重要关基单位的网络情况,发现 APT 攻击需要及时通报给被监管单位并督促整改,进而保障整个国家层面的网络安全。

因为监管客户所掌握的网络出口流量规模庞大,需要对流量进行实时的协议解析和攻击发现,威胁告警信息要确保可验证、可追溯,可用于直接对被监管单位进行通报,所以对于 APT 流量检测的要求为:

1.APT发现准确,告警信息确凿,支持详细信息取证;

2.流量来源复杂,检测方式兼顾实时流量与离线流量。

· 解决方案

知道创宇为此监管客户提供了创宇猎幽灵活部署的解决方案,旁路部署镜像流量解决实时流量监测问题,离线数据导入方式应对离线流量深度检测的问题。

​同时,创宇猎幽特有的 APT 测绘情报支持精准发现 APT 攻击,并可以提供可靠通报信息。其特有的APT测绘情报来源于网络空间搜索引擎 ZoomEye 的测绘能力及404高级威胁情报团队长期对于 APT 组织跟踪的经验及获取的多维度情报信息,目前创宇猎幽已经积累了 40+ APT 组织的超过 200 个特征,持续输出超过 10 万的 APT 情报。

· 客户收益

1.2021年至2022年,协助监管客户通报针对我国党政机关、科研单位及重点高校的15起APT攻击事件,使客户真正担负起了《网络安全法》中规定的主管单位安全监管的责任。其中典型攻击事件如:2021年4月,台湾绿斑 APT 组织意图通过钓鱼邮件,盗取科研人员账号密码事件;2021年6月,某党政机关被植入了 Turla APT 组织的木马;2021年9月,印度背景 APT 组织 Bitter对某高校发起攻击。

2.客户可以将创宇猎幽提供的精准APT 告警信息进行导出,作为最终可用通报信息,直接用于通报,大大地提升了对国家级关基系统的监管效率。

3.客户还可以将创宇猎幽用于实时流量分析,对离线数据包、或者读取的文件服务器数据进行分析,使用方式灵活、性能高,满足多样的APT检测监管场景需求。

目前,知道创宇已经实现 APT 测绘及 APT 防御的完整解决方案,可以精准和高效的进行 APT 发现。APT 组织在不断变化,攻击手段也在不断升级,要真正实现全球范围内的APT 组织测绘与监控道阻且长,未来知道创宇还会不断提升高级威胁发现技术能力,协助关键信息基础设施客户将APT防御落到实处,解决新的问题和挑战!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/400173.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

5、score diffusion model

DDIM中遇到的Score-based SDE这里采用表示神经网络的预测值,用表示。同时等价于DDPM回顾贝叶斯公式原始公式前向过程表示连乘反向过程由前向过程可知:所以:正态分布:重参数技巧:反向过程:优化目标&#xff…

ASP.NETCore学习资料

1.ASP.NETCore比ASP.NET更具优势的地方是什么? ASP.NET Core(ASP.NET Core 简介) ASP.NET Core 是一个跨平台的开源框架,用于在 Windows、macOS 或 Linux 上生成基于云的新式 Web 应用。 ASP.NET(ASP.NET 简介) ASP.NET 是一个成熟的框架,提…

Git学习笔记(七)——其他操作

一、自定义Git Git除了配置user.name 和user.email 还有很多可配置项。 (1)命令git config --global color.ui true 让Git显示颜色,会让命令输出看起来更醒目.Git 会适当显示不同的颜色。 $ git config --global color.ui true查看分支会有…

延迟队列docker插件

文章目录 目录 文章目录 前言 一、环境准备与使用 总结 前言 一、环境准备与使用 下载对应版本的插件 https://github.com/rabbitmq/rabbitmq-delayed-message-exchange/releases 然后在虚拟机上随便找个文件夹 cd /home/docker 先把容器运行 然后在当前文件下 将插件拷贝…

半入耳式耳机运动会不会掉、佩戴超稳固的运动耳机推荐

现在越来越多的人开始意识到运动的重要性,用运动给身体增加一道“防护墙”是最好的生活方式了,不过,日复一日做着几乎相同的动作,难免索然无味,所以很多人都会选择在运动时戴上耳机听歌解闷,这时候也有不少…

选射频线缆的困难和调试多链路匹配板子的心酸

今日痛点:选电缆和板子出问题 选线缆选到后面:有同事给我说,我还要高精度转接头,我还要BNC转接头 ​ 你们如果知道我选择线缆的艰辛,换做你们会怎么想 附上我选择线缆的心得: 1.S11尽量要考虑桌子的宽度&a…

Vector - CAPL - 文件处理函数

在当前平台化的趋势下,就算是协议层测试依然需要适配各种各样的项目,也需要处理各类型的文件,那我们如何对文件进行读取、写入、修改等类型的操作呢?今天我们就会介绍此类型的函数,主要适用于text、bin文件的处理。 打开文件 Open

MySQL之Explain分析

4 Explain分析(重点) 4.1 Explain介绍 使用EXPLAIN关键字可以模拟优化器执行SQL语句,分析你的查询语句或是结构的性能瓶颈 在 select 语句之前增加 explain 关键字,MySQL 会在查询上设置一个标记,执行查询会返回执行…

TCP的11种状态

CLOSED状态:初始状态,表示TCP连接是“关闭的”或者“未打开的”LISTEN状态:表示服务端的某个端口正处于监听状态,正在等待客户端连接的到来SYN_SENT状态:当客户端发送SYN请求建立连接之后,客户端处于SYN_SE…

Gradle安装配置阿里云

Gradle是一个基于Apache Ant和Apache Maven概念的项目自动化构建开源工具。它使用一种基于Groovy的特定领域语言(DSL)来声明项目设置,也增加了基于Kotlin语言的kotlin-based DSL,抛弃了基于XML的各种繁琐配置。 面向Java应用为主。当前其支持的语言C、J…

数据结构——哈希表

一、哈希表介绍1.1 哈希表初了解哈希表是属于一个数据结构,并不是一个算法哈希表:hashtable,也叫散列表,根据关键码值(Key value)而直接进行访问的数据结构。通过把关键码值映射到表中的一个位置来访问记录,以加快查找…

解析永春堂1300模式为何风靡新零售市场

最近,永春堂1300模式风靡新零售市场,它凭借兼顾大、小、新、老会员,没有沉淀和泡沫等特点,引起市场的热切关注。而永春堂1300模式如此受欢迎的原因,最重要的,还是它丰厚的奖项报酬。永春堂1300直销模式主要…

Spring Boot 实现接口幂等性的 4 种方案

一、什么是幂等性 幂等是一个数学与计算机学概念,在数学中某一元运算为幂等时,其作用在任一元素两次后会和其作用一次的结果相同。 在计算机中编程中,一个幂等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同。幂等函数或幂…

多态与虚(函数)表

前言续接上回(继承),我们了解了继承是如何通过虚基表,来解决派生类和父类有相同的成员变量的情况,但是类和对象中可不只有成员变量,如果成员函数也有同名,更或者如果我们想在访问不同情况&#…

Zeppelin【部署 01】Zeppelin最新版本zeppelin-0.10.1下载安装配置启动及问题处理(一篇学会部署Zeppelin)

1.简单介绍 来自百度百科: Apache Zeppelin 是一个让交互式数据分析变得可行的基于网页的开源框架。提供了数据分析、数据可视化等功能。是一个提供交互数据分析且基于Web的笔记本。方便你做出可数据驱动的、可交互且可协作的精美文档,并且支持多种语言…

JavaScript 简单计算

parseFloat和Number parseFloat()并不能进行数据类型转换, 所以对字符串进行parseFloat()是不起作用的, 需要使用Number()进行强制类型转换; 但是,如果真正涉及到精度计算,建议用decimal.js 毕竟,js的…

深入理解Linux进程

进程参数和环境变量的意义一般情况下,子进程的创建是为了解决某个问题。那么解决问题什么问题呢?这个就需要进程参数和环境变量来进行决定的。子进程解决问题需要父进程的“数据输入”(进程参数 & 环境变量)设计原则:3.1 子进程启动的时候…

项目实战典型案例6——没有复用思想

这里写目录标题一:背景介绍反例思路&方案反例一的优化思路和方案反例一优化的模拟代码测试优化之前的缺点与优化之后的优点反例二的优化思路和方案反例二优化的模拟代码测试优化之前的缺点与优化之后的优点四:总结一:背景介绍 本篇博客是…

Spring Boot统一功能处理

目录 一、统一用户登录权限验证 1.1 自定义拦截器 1.2 将自定义拦截器加入到系统配置 1.3 统一访问前缀 二、统一异常处理 三、统一数据格式返回 一、统一用户登录权限验证 1.1 自定义拦截器 拦截器是一个普通的类,需要实现HandlerInterceptor接口并重写pre…

centos安装docker,docker-cpmpose教程及疑难解决

1、安装dockeryum -y install docker出现完毕(complete)则表示安装完成2、启动docker服务systemctl start docker报错如下,让通过 systemctl status docker.service 和 journalctl -xe 命令查看详情输入systemctl status docker.service&…