攻擊線索總覽
線索類型統(tǒng)計(jì),、APT攻擊統(tǒng)計(jì),、終端數(shù)量統(tǒng)計(jì)、風(fēng)險(xiǎn)終端統(tǒng)計(jì),。
終端攻擊入侵線索排查處置系統(tǒng)
公安部第一研究所-V01
網(wǎng)鑒V01核心實(shí)現(xiàn)終端威脅檢測(cè)、分析取證,、威脅處置,、場(chǎng)景化防護(hù)一體化運(yùn)營(yíng)能力,通過聯(lián)動(dòng)能力建立終端聯(lián)防聯(lián)控體系,,實(shí)現(xiàn)針對(duì)終端新威脅,、未知威脅發(fā)現(xiàn)能力。
產(chǎn)品核心能力
-
-
聯(lián)動(dòng)配置管理集中管理平臺(tái)上報(bào)配置,、情報(bào)聯(lián)動(dòng)配置,、一所聯(lián)通通道配置,、威脅樣本行為分析系統(tǒng)配置、NTP配置,。
-
文件威脅監(jiān)測(cè)灰文件鑒定,、黑/白/灰文件鑒定檔案庫(kù)、MD5情報(bào)查詢,。
-
系統(tǒng)支持支持主流win7,、win8,、win10、win11,。
-
黑灰產(chǎn)外聯(lián)非法外聯(lián)監(jiān)測(cè),、IP/域名情報(bào)查詢、外聯(lián)檔案,。
-
安裝升級(jí)支持靜默安裝,、靜默升級(jí)、靜默卸載,。
-
內(nèi)存攻擊緩沖區(qū)溢出,、ROP攻擊等檢測(cè)。
-
自身安全具備完整性校驗(yàn),、進(jìn)程守護(hù),。
-
腳本攻擊PowerShell、WMI,、VBS,、VBA、JS等檢測(cè),。
-
信息探針能力文件信息,、內(nèi)存信息、外聯(lián)信息,、腳本信息等,。
-
固證提取全局取證、網(wǎng)絡(luò)取證,、文件取證,、內(nèi)存dump、日志,。
-
處置能力攔截,、文件清除。
-
安全策略管理可針對(duì)每項(xiàng)功能進(jìn)行開關(guān)控制,。
-
客戶端形態(tài)服務(wù)模式,、進(jìn)程存在無(wú)角標(biāo)。
產(chǎn)品結(jié)構(gòu)
關(guān)鍵技術(shù)
-
輕量化部署靜默守護(hù)網(wǎng)鑒V01客戶端無(wú)角標(biāo),,僅保留進(jìn)程,,后臺(tái)靜默運(yùn)行,無(wú)需客戶干預(yù),,對(duì)系統(tǒng)性能消耗低,。客戶端安裝部署支持靜默安裝,,支持通過第三方平臺(tái)進(jìn)行快速推送,,可快速部署,。 -
文件/外聯(lián)全息建檔文件全息建檔,可幫助客戶建立組織內(nèi)黑,、白,、灰文件進(jìn)行全息建檔,網(wǎng)絡(luò)全息建檔,,支持對(duì)IP/域名黑,、白、灰全息檔案建設(shè),,減少安全管理盲區(qū),,實(shí)現(xiàn)精準(zhǔn)衡量與跟蹤。 -
新型/未知威脅發(fā)現(xiàn)針對(duì)新型文件威脅,、無(wú)文件攻擊,、內(nèi)存攻擊等具備威脅檢測(cè)能力,并通過行為分析引擎發(fā)現(xiàn)未知惡意代碼攻擊,。
-
端網(wǎng)協(xié)同發(fā)現(xiàn)黑灰產(chǎn)外聯(lián)終端基于DNS檢測(cè)分析,,與K01實(shí)現(xiàn)聯(lián)動(dòng)分析,針對(duì)IP,、域名進(jìn)行精準(zhǔn)分析,,從而發(fā)現(xiàn)黑灰產(chǎn)外聯(lián),并對(duì)APT情報(bào)信息進(jìn)行詳細(xì)溯源,。 -
自動(dòng)化監(jiān)測(cè)實(shí)時(shí)分析取證支持線索固證,、聯(lián)動(dòng)取證、全網(wǎng)取證,。線索固證可對(duì)文件威脅,、黑灰產(chǎn)外聯(lián)、內(nèi)存攻擊,、腳本攻擊相關(guān)信息進(jìn)行關(guān)聯(lián)固證提取,。聯(lián)動(dòng)取證可實(shí)現(xiàn)流量發(fā)現(xiàn)非法外聯(lián)威脅后,通過自動(dòng)接收網(wǎng)絡(luò)五元組信息進(jìn)行對(duì)終端進(jìn)程鏈信息進(jìn)行實(shí)時(shí)提取,。通用全網(wǎng)取證可實(shí)現(xiàn)場(chǎng)景化取證,,提取信息包含內(nèi)存、進(jìn)程,、網(wǎng)絡(luò),、日志、文件等信息,。 -
由內(nèi)向外排查APT攻擊基于APT檔案庫(kù),,通過終端以惡程序特征及行為實(shí)現(xiàn)對(duì)md5,、ip,、域名等關(guān)鍵信息提取,,并結(jié)合網(wǎng)絡(luò)威脅樣本行為分析系統(tǒng)、情報(bào)系統(tǒng)對(duì)APT信息進(jìn)行進(jìn)一步判定,。
應(yīng)用場(chǎng)景
-
場(chǎng)景一:終端僵木蠕及未知惡意代碼防范場(chǎng)景痛點(diǎn):終端面臨未知威脅依舊嚴(yán)峻,基于日志分析存在告警可讀性差,、誤報(bào)高,、難以精準(zhǔn)溯源到詳細(xì)的樣本攻擊行為鏈路等問題。V01通過對(duì)內(nèi)存,、系統(tǒng),、應(yīng)用多層行為分析結(jié)合沙箱全面提升惡意代碼檢測(cè)能力及準(zhǔn)確性。
場(chǎng)景二:輔助關(guān)基單位抵抗APT組織攻擊場(chǎng)景痛點(diǎn):終端依舊是攻防對(duì)抗主戰(zhàn)場(chǎng),,關(guān)基單位容易受到APT組織的攻擊,,且APT攻擊一般具備隱蔽性高,破壞性強(qiáng)的特點(diǎn),,發(fā)現(xiàn)并溯源到APT組織對(duì)關(guān)基單位很重要,。VKMX全面聯(lián)動(dòng)進(jìn)一步強(qiáng)化APT檢測(cè)。
場(chǎng)景三:護(hù)網(wǎng)期間輔助藍(lán)隊(duì)抵抗紅隊(duì)攻擊場(chǎng)景痛點(diǎn): 護(hù)網(wǎng)期間針對(duì)終端攻擊多樣化,,存在被釣魚,、滲透、橫向,、漏洞利用等各層面的挑戰(zhàn),,攻擊者為了達(dá)成攻擊目的也會(huì)使用到新型攻擊手段,例如內(nèi)核級(jí)攻擊,、無(wú)文件攻擊甚至內(nèi)存級(jí)攻擊,,V01通過更底層技術(shù)手段難以被繞過,可以幫助藍(lán)方發(fā)現(xiàn)更深層次的安全問題,對(duì)于域控場(chǎng)景同樣具備相應(yīng)防范能力。
威脅檢測(cè),、分析取證,、威脅處置、場(chǎng)景化防護(hù)
通過聯(lián)動(dòng)能力建立終端聯(lián)防聯(lián)控體系,,實(shí)現(xiàn)針對(duì)終端新威脅,、未知威脅發(fā)現(xiàn)能力