互联网的快速发展,将网络空间与政治、经济、文化、社会军事等国家安全领域紧密联系起来。5G、云计算、物联网、工业互联网等新兴技术发展助推网络攻击的深化泛化,随着网络攻击的发展和国际局势的加剧,组织性复杂、计划性高效和针对性明确的攻击活动更趋常态化,高级持续性威胁(APT)攻击成为网络空间突出风险源。我国是APT主要受害国,受害对象涵盖我国政府、金融、能源、运营商、航空航天、军事、经济、教育、科研等关键信息基础设施和重要信息系统,活跃时间长达几年甚至十几年。
APT攻击从侦察、入侵、持久化驻留、横向移动、渗出等阶段,攻击组织不断改进进攻流程和技术,以期提升攻击成功率。这些攻击具备潜伏时间长、“后门”利用多、攻击目标“精”、跳板部署广等特点。传统安全防御技术手段和思路面临着诸多挑战,安全防御容易被绕过,具有针对性的高级攻击,传统安全防御设备无法识别。
解决方案
科来高级威胁检测方案,是以基于全流量的安全智能分析为核心,以全流量采集和存储为基座,形成对于未知威胁的敏锐发现能力。
APT具有潜伏和持续性特点,数据的分析和存储需要适应巨大的时间跨度;单点单攻击检测无法形成对APT攻击的判定,需通过对历史数据回溯,并进行关联分析;为了完全发掘APT的特征,还需对数据进行二次筛选和分析。
基于全流量的安全智能分析,是从海量的网络流量中进行数据挖掘,通过对不同事件之间的关联关系进行分析,识别出可能存在的攻击链和攻击者的行为模式。通过已发现的特征或知识,对未知的APT进行判定、预测和泛化,建立模型和算法对新出现的攻击进行快速识别和响应,提高整体的安全防护能力。
方案价值
监测发现关键数据窃取
基于流量特征和行为模式识别数据窃取行为,通过对流量数据的关联分析追踪数据窃取的路径。通过建立针对数据窃取行为的规则和模型,对流量数据进行实时分析和匹配,可以准确识别出潜在的数据窃取活动。
供应链攻击行为发现
通过部署关键节点和网络边界流量的监测与深度分析,可发现通过供应链攻击方式,以及帮助发现供应链攻击的其他特征,如异常的网络连接和传输行为、恶意软件传播等,识别出攻击者的行为模式和手段,从而采取相应的防御措施。
数据出境行为分析
通过在关键部位配置高级安全分析能力,在对外提供应用、底层涉及软件、专业工业设备时,深度分析通过合理的运维或数据上报等机制和网络行为的流量,发现数据回传的网络行为。
溯源取证
通过分析存储的网络全流量数据,可以追踪攻击者的行动路径和攻击路径,帮助了解攻击者的意图和目的;重构网络通信的整个过程以获取关键证据,用于溯源和取证。
方案优势
协议识别解码能力
决定了“动作小”的发现能力协议识别解码能力决定了对各种网络通信协议的理解、分析和还原能力。科来的全协议解码能力,帮助检测出隐藏在网络中的“极微小”流量恶意行为,提高对APT攻击的发现能力,获取更多关于通信内容、目标地址、攻击者指纹等信息。
全流量实时采集存储能力
决定了“潜伏周期长”的回溯能力科来方案具备全流量实时采集和存储能力,对于“潜伏周期长”的高级攻击,提供足够的数据支撑用于回查和检索相关的网络流量数据,从而追溯到攻击的起源和行为。同时,领先的数据索引能力,能够高效定位和检索特定事件或时间段的网络流量数据,提升回溯的准确性和效率。
相关产品
方案咨询
科来二十余年专注网络流量分析技术的研究与推广,致力于将数据价值发挥最大化。我们将为您提供技术领先的产品,并分享科来多年积累的实战经验,助力您成功的数字化转型与更进一步的核心竞争优势。