2022华为金融网络创新峰会在贵阳市正式召开。本次峰会围绕“聚智融云,网行天下”主题,邀请金融国有大行、股份制银行及城商行等用户以及技术专家共同分享和探讨金融网络创新的优秀经验与实践探索,从不同角度展示了新一代ICT技术如何赋能金融行业,呈献了一场金融行业数字化转型蓝图的思想盛宴。
威胁行为建模是针对网络攻击的系统性、结构化的防御手段,基于网络全流量分析检测技术建立威胁建模可以帮助企业更进一步,以主动、全面、系统地评估和防御组织面临的各种威胁。
基于全流量分析监控的威胁行为建模,通过对安全威胁进行系统的、结构化的响应,具有以下一系列突出优势,已经被众多行业用户针对性地进行工作部署和成功实践。
优势一:提前识别未知威胁类型
新的漏洞与漏洞利用不断出现,基于全流量技术的威胁建模可以帮助企业更好的确认相关各类攻击特征,提前识别未知威胁,并有针对性地优化对应防御措施。
优势二:评估威胁优先级
通过流量视角对数据进行全量全包全协议检测与攻击研判,可以更快速确认威胁优先级,进行针对性响应与处置。
基于“全协议解析”+回溯技术的威胁行为建模能实现对于攻击的高效分析与判别,可以有效增强企业防护体系对于攻击威胁的感知能力,增强对威胁的主动响应效率。
基于全流量技术对于业务资产与未知业务访问关系的数量,可以帮助企业化有效收敛业务暴露面,提升防御强度。
科来全流量可对全包数据进行保存,在威胁行为检测模型中全量重现所有的攻击特征和攻击特点,帮助企业对威胁的快速验证,实现对防御资源的精细分配。
为防范0Day漏洞以及APT攻击等绕过技术的网络安全攻击,安全运营团队可以采用识别攻击流量中的威胁行为检测模型方法来增强防御能力。
部署全流量分析系统是进行行为模型匹配,可根据流量中多个IP地址的异常访问行为特征,建立威胁模型,做出分析判断后,将触发告警的潜伏者绳之以法。由于全流量分析系统记录了全部原始数据,相当于在网络中部署了一台“摄像头”,产生的任何网络流量都能够有效记录和回溯,为后续发现攻击方入侵行为,提供数据挖掘、分析、取证的有利保障。
通过基于行为模型对网络与业务系统进行防护,可基于靶标系统的访问习惯和业务交互习惯,检测靶标系统是否存在违规外联,及时阻断并协助公司对违规外联行为进行整改。具体流程如下:
-
预先通过全流量分析系统监控所有内网资产的访问行为,构建一个所有内网资产可能出现异常访问行为的模型,通过行为模型匹配出可疑的IP地址;
-
-
对可疑IP的流量信息进行分析研判,并还原攻击链路。
某重要关基保护单位安全运营团队以全流量分析为基础建立威胁建模,显著提升了对未知威胁的感知与检出能力,实现了对于整个网络安全防控体系的有效完善。
2022年7月,蜜罐捕获到一起攻击事件,值守人员针对此次异常行为迅速做出应急响应,通过全流量分析系统进行威胁建模,对此次成功连接事件进行深度排查分析。
利用全流量分析系统的行为模型特征匹配功能设定行为规则,进行对应设定,成功匹配出可疑IP地址,并且将该IP地址的所有通讯流量下载并解析。
通过查看可疑IP地址的通讯行为,发现该IP与蜜罐IP地址有过交互,回溯发现其曾对多个内网IP地址有过扫描探测行为,疑似信息收集。
回溯通讯流量,发现此IP地址对蜜罐IP地址发起过TCP连接请求,后回溯找到可疑IP地址,再进而确认攻击者及其C2地址。
攻击载荷SYN数据包
当日外网IP地址向蜜罐IP地址发送SYN数据包,蜜罐IP地址主动向其发起请求并成功连接,经过流量回溯以及威胁建模分析判定该攻击为SYN数据包远程激活和木马远控。攻击IP和C2地址得到确定。
远程激活行为时序图
安全防御体系进一步升级
科来持续守护网络与业务安全
近年来网络安全事件频频发生,传统的防御手段难以有效应对如今日益平台化、组织化的网络安全攻击。在数据价值与网络安全愈发重要的当下,科来全协议解析+回溯能力协助防守方实现高效响应、快速研判、溯源与扩线分析,在攻防中实现主动式防御,持续守护网络与业务安全。
