探針報(bào)警
快速識(shí)別安全事件并采取相應(yīng)的措施,以確保系統(tǒng)的安全性,,并監(jiān)控各探針的存活狀態(tài)和使用情況,,當(dāng)發(fā)生入侵事件時(shí),能夠在60秒內(nèi)快速發(fā)現(xiàn)并預(yù)警,,提升自動(dòng)化響應(yīng)和處置的及時(shí)性,。
網(wǎng)絡(luò)攻擊入侵線索排查處置平臺(tái)
公安部第一研究所-X01
網(wǎng)絡(luò)攻擊入侵線索排查處置平臺(tái)立足可持續(xù)入侵檢測(cè),、未知威脅發(fā)現(xiàn)的需要,,構(gòu)建文件及外聯(lián)全息建檔,、“云網(wǎng)端機(jī)”協(xié)同取證固證、大數(shù)據(jù)滾動(dòng)篩查未知威脅,、十大情報(bào)動(dòng)態(tài)碰撞檢測(cè),、網(wǎng)絡(luò)入侵發(fā)現(xiàn)預(yù)警等能力,實(shí)現(xiàn)“聯(lián)防聯(lián)控,、動(dòng)態(tài)防御”的目標(biāo),,幫助客戶建設(shè)“共同防御”體系,提前預(yù)警,、防患未然,。
產(chǎn)品核心能力
-
-
沙箱檢測(cè)對(duì)樣本進(jìn)行聚類,確認(rèn)樣本類型,,包括:遠(yuǎn)控木馬,、僵尸網(wǎng)絡(luò)、蠕蟲(chóng)病毒,、APT家族等,。精準(zhǔn)定位勒索病毒,輸出樣本檢測(cè)報(bào)告,、樣本基礎(chǔ)信息,、樣本行為動(dòng)作等數(shù)據(jù)。
-
事件處置針對(duì)發(fā)生的安全事件或網(wǎng)絡(luò)攻擊行為,,通過(guò)雙向認(rèn)證接口和人工檢查點(diǎn),,完成相應(yīng)事件安全處置操作下發(fā)的流程。
-
情報(bào)查詢內(nèi)置情報(bào)引擎,,沉淀行業(yè)特色情報(bào),,提供情報(bào)查詢及聯(lián)查功能,包括五類情報(bào):惡意IP,、惡意域名,、惡意URL、木馬病毒,、社工郵箱/郵件,。
-
攻擊取證定義探針取證接口,通過(guò)平臺(tái)實(shí)時(shí)調(diào)取探針收集相關(guān)數(shù)據(jù),,將不同的攻擊活動(dòng)進(jìn)行關(guān)聯(lián),,并深入的調(diào)查和分析,,收集和保存相關(guān)證據(jù),為溯源提供支撐,。
-
追蹤溯源基于多源日志和流量數(shù)據(jù)的匯聚融合,,進(jìn)行綜合分析,還原入侵攻擊鏈條,,云網(wǎng)端機(jī)協(xié)同作業(yè),,深度挖掘隱藏線索,提供攻擊源的溯源能力,。
產(chǎn)品結(jié)構(gòu)
關(guān)鍵技術(shù)
-
“云網(wǎng)端機(jī)”協(xié)同取證固證結(jié)合一所云中心情報(bào),,實(shí)現(xiàn)網(wǎng)絡(luò)取證、終端取證,、協(xié)同采集,、取證分析、固證存證等功能,,有效支持網(wǎng)絡(luò)攻擊事件的調(diào)查和處置,。 -
十大情報(bào)動(dòng)態(tài)碰撞檢測(cè)拓寬威脅情報(bào)共享渠道,匯聚360,、阿里,、騰訊、華為,、奇安信以及一所自有情報(bào)等多方情報(bào)信息,,實(shí)時(shí)共享、聯(lián)動(dòng)處置,。 -
大數(shù)據(jù)滾動(dòng)篩查未知威脅利用大數(shù)據(jù)技術(shù)結(jié)合發(fā)現(xiàn)模型,,實(shí)現(xiàn)對(duì)海量數(shù)據(jù)進(jìn)行定期的處理和分析的自篩動(dòng)查可發(fā)現(xiàn)已知、未知威脅和安全漏洞等,。
-
全網(wǎng)文件,、外聯(lián)全息建檔通過(guò)X01平臺(tái)實(shí)現(xiàn)全網(wǎng)文件哈希、外聯(lián)關(guān)鍵信息的分析,、在線存儲(chǔ),、統(tǒng)一管理,,形成可信檔案,。 -
網(wǎng)絡(luò)入侵60秒發(fā)現(xiàn)預(yù)警X01平臺(tái)聯(lián)動(dòng)各類探針,當(dāng)發(fā)生入侵事件時(shí),能夠在60秒內(nèi)快速發(fā)現(xiàn)并發(fā)出預(yù)警,,提升自動(dòng)化響應(yīng)和處置及時(shí)性,。 -
威脅風(fēng)險(xiǎn)畫(huà)像提取對(duì)應(yīng)的網(wǎng)絡(luò)攻擊行為特征,通過(guò)各探針聯(lián)動(dòng)取證分析,,結(jié)合一所云情報(bào)中心及行業(yè)獨(dú)有的威脅情報(bào)數(shù)據(jù),,定位APT組織入侵攻擊鏈條,,描繪攻擊者畫(huà)像。
應(yīng)用場(chǎng)景
-
場(chǎng)景一:“僵木蠕勒”監(jiān)測(cè)防御場(chǎng)景面對(duì)高級(jí)網(wǎng)絡(luò)武器,、APT攻擊等為代表的新一代攻擊滲透技術(shù),,現(xiàn)有安全防護(hù)和監(jiān)測(cè)預(yù)警能力已存在一定的差距和不足。在重要行業(yè)單位內(nèi)網(wǎng)構(gòu)建“僵木蠕勒”監(jiān)測(cè)防御能力,,實(shí)現(xiàn)多維度監(jiān)測(cè)發(fā)現(xiàn),、全方位取證溯源和高效率查處整改,有效解決整個(gè)行業(yè)內(nèi)網(wǎng)遭受僵尸網(wǎng)絡(luò),、遠(yuǎn)控木馬,、勒索病毒、APT攻擊等已知和未知威脅攻擊的問(wèn)題,,以適應(yīng)重要行業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)化建設(shè)和運(yùn)營(yíng)需要,。
場(chǎng)景二:未知威脅發(fā)現(xiàn)場(chǎng)景隨著當(dāng)前黑客的攻擊手段、攻擊工具的不斷迭代更新,,再依賴傳統(tǒng)的基于特征,、單一情報(bào)源的方式,難以發(fā)現(xiàn)未知威脅,。構(gòu)建多源情報(bào)共享,、多層次威脅分析、多種取證手段等能力,,結(jié)合端點(diǎn)構(gòu)建的“堡壘鎖”創(chuàng)新功能,,針對(duì)新型文件威脅、無(wú)文件攻擊,、內(nèi)存攻擊等新型威脅,,打造智能化的行為分析引擎,有效應(yīng)對(duì)無(wú)文件攻擊,、內(nèi)存攻擊,、ROP等APT攻擊。
場(chǎng)景三:實(shí)戰(zhàn)化防御聯(lián)防場(chǎng)景為應(yīng)對(duì)當(dāng)前國(guó)際網(wǎng)絡(luò)安全形式巨變,,高強(qiáng)度,、常態(tài)化的實(shí)戰(zhàn)對(duì)抗,攻防兩端實(shí)力懸殊,。實(shí)現(xiàn)資產(chǎn)梳理,、主機(jī)、終端,、流量,、郵件等多個(gè)方面安全信息采集、數(shù)據(jù)統(tǒng)一管理、異常數(shù)據(jù)分析,、提煉分析模型,、統(tǒng)一管理、聯(lián)動(dòng)情報(bào)共享系統(tǒng),,準(zhǔn)確捕捉攻擊入侵行為和線索排查處置,,以適應(yīng)重要行業(yè)網(wǎng)絡(luò)安全常態(tài)化、實(shí)戰(zhàn)化,、體系化防護(hù)需要,。
立足可持續(xù)入侵檢測(cè)、未知威脅發(fā)現(xiàn)的需要
實(shí)現(xiàn)“聯(lián)防聯(lián)控,、動(dòng)態(tài)防御”的目標(biāo),,提供疑難問(wèn)題排查、補(bǔ)丁升級(jí),、安全咨詢等服務(wù),,幫助客戶建設(shè)“共同防御”體系,提前預(yù)警,、防患未然,。