探針報警
快速識別安全事件并采取相應的措施,以確保系統(tǒng)的安全性,,并監(jiān)控各探針的存活狀態(tài)和使用情況,,當發(fā)生入侵事件時,能夠在60秒內快速發(fā)現并預警,,提升自動化響應和處置的及時性,。
網絡攻擊入侵線索排查處置平臺
公安部第一研究所-X01
網絡攻擊入侵線索排查處置平臺立足可持續(xù)入侵檢測、未知威脅發(fā)現的需要,,構建文件及外聯全息建檔,、“云網端機”協同取證固證、大數據滾動篩查未知威脅,、十大情報動態(tài)碰撞檢測,、網絡入侵發(fā)現預警等能力,實現“聯防聯控,、動態(tài)防御”的目標,,幫助客戶建設“共同防御”體系,提前預警,、防患未然,。
產品核心能力
-
-
沙箱檢測對樣本進行聚類,確認樣本類型,,包括:遠控木馬,、僵尸網絡、蠕蟲病毒,、APT家族等,。精準定位勒索病毒,輸出樣本檢測報告,、樣本基礎信息,、樣本行為動作等數據,。
-
事件處置針對發(fā)生的安全事件或網絡攻擊行為,通過雙向認證接口和人工檢查點,,完成相應事件安全處置操作下發(fā)的流程,。
-
情報查詢內置情報引擎,沉淀行業(yè)特色情報,,提供情報查詢及聯查功能,,包括五類情報:惡意IP、惡意域名,、惡意URL,、木馬病毒、社工郵箱/郵件,。
-
攻擊取證定義探針取證接口,通過平臺實時調取探針收集相關數據,,將不同的攻擊活動進行關聯,,并深入的調查和分析,收集和保存相關證據,,為溯源提供支撐,。
-
追蹤溯源基于多源日志和流量數據的匯聚融合,進行綜合分析,,還原入侵攻擊鏈條,,云網端機協同作業(yè),深度挖掘隱藏線索,,提供攻擊源的溯源能力,。
產品結構
關鍵技術
-
“云網端機”協同取證固證結合一所云中心情報,實現網絡取證,、終端取證,、協同采集、取證分析,、固證存證等功能,,有效支持網絡攻擊事件的調查和處置。 -
十大情報動態(tài)碰撞檢測拓寬威脅情報共享渠道,,匯聚360,、阿里、騰訊,、華為,、奇安信以及一所自有情報等多方情報信息,實時共享,、聯動處置,。 -
大數據滾動篩查未知威脅利用大數據技術結合發(fā)現模型,,實現對海量數據進行定期的處理和分析的自篩動查可發(fā)現已知、未知威脅和安全漏洞等,。
-
全網文件,、外聯全息建檔通過X01平臺實現全網文件哈希、外聯關鍵信息的分析,、在線存儲,、統(tǒng)一管理,形成可信檔案,。 -
網絡入侵60秒發(fā)現預警X01平臺聯動各類探針,當發(fā)生入侵事件時,,能夠在60秒內快速發(fā)現并發(fā)出預警,提升自動化響應和處置及時性,。 -
威脅風險畫像提取對應的網絡攻擊行為特征,,通過各探針聯動取證分析,結合一所云情報中心及行業(yè)獨有的威脅情報數據,,定位APT組織入侵攻擊鏈條,,描繪攻擊者畫像。
應用場景
-
場景一:“僵木蠕勒”監(jiān)測防御場景面對高級網絡武器,、APT攻擊等為代表的新一代攻擊滲透技術,,現有安全防護和監(jiān)測預警能力已存在一定的差距和不足。在重要行業(yè)單位內網構建“僵木蠕勒”監(jiān)測防御能力,,實現多維度監(jiān)測發(fā)現,、全方位取證溯源和高效率查處整改,有效解決整個行業(yè)內網遭受僵尸網絡,、遠控木馬,、勒索病毒、APT攻擊等已知和未知威脅攻擊的問題,,以適應重要行業(yè)網絡安全實戰(zhàn)化建設和運營需要,。
場景二:未知威脅發(fā)現場景隨著當前黑客的攻擊手段、攻擊工具的不斷迭代更新,,再依賴傳統(tǒng)的基于特征,、單一情報源的方式,難以發(fā)現未知威脅,。構建多源情報共享,、多層次威脅分析、多種取證手段等能力,,結合端點構建的“堡壘鎖”創(chuàng)新功能,,針對新型文件威脅、無文件攻擊,、內存攻擊等新型威脅,,打造智能化的行為分析引擎,,有效應對無文件攻擊、內存攻擊,、ROP等APT攻擊,。
場景三:實戰(zhàn)化防御聯防場景為應對當前國際網絡安全形式巨變,高強度,、常態(tài)化的實戰(zhàn)對抗,,攻防兩端實力懸殊。實現資產梳理,、主機,、終端、流量,、郵件等多個方面安全信息采集,、數據統(tǒng)一管理、異常數據分析,、提煉分析模型,、統(tǒng)一管理、聯動情報共享系統(tǒng),,準確捕捉攻擊入侵行為和線索排查處置,以適應重要行業(yè)網絡安全常態(tài)化,、實戰(zhàn)化,、體系化防護需要。
立足可持續(xù)入侵檢測,、未知威脅發(fā)現的需要
實現“聯防聯控,、動態(tài)防御”的目標,提供疑難問題排查,、補丁升級,、安全咨詢等服務,幫助客戶建設“共同防御”體系,,提前預警,、防患未然。