探針報(bào)警
快速識(shí)別安全事件并采取相應(yīng)的措施,,以確保系統(tǒng)的安全性,并監(jiān)控各探針的存活狀態(tài)和使用情況,,當(dāng)發(fā)生入侵事件時(shí),,能夠在60秒內(nèi)快速發(fā)現(xiàn)并預(yù)警,提升自動(dòng)化響應(yīng)和處置的及時(shí)性,。
網(wǎng)絡(luò)攻擊入侵線索排查處置平臺(tái)
公安部第一研究所-X01
網(wǎng)絡(luò)攻擊入侵線索排查處置平臺(tái)立足可持續(xù)入侵檢測、未知威脅發(fā)現(xiàn)的需要,,構(gòu)建文件及外聯(lián)全息建檔,、“云網(wǎng)端機(jī)”協(xié)同取證固證,、大數(shù)據(jù)滾動(dòng)篩查未知威脅、十大情報(bào)動(dòng)態(tài)碰撞檢測,、網(wǎng)絡(luò)入侵發(fā)現(xiàn)預(yù)警等能力,,實(shí)現(xiàn)“聯(lián)防聯(lián)控、動(dòng)態(tài)防御”的目標(biāo),,幫助客戶建設(shè)“共同防御”體系,,提前預(yù)警、防患未然,。
產(chǎn)品核心能力
-
-
沙箱檢測對(duì)樣本進(jìn)行聚類,,確認(rèn)樣本類型,包括:遠(yuǎn)控木馬,、僵尸網(wǎng)絡(luò),、蠕蟲病毒、APT家族等,。精準(zhǔn)定位勒索病毒,,輸出樣本檢測報(bào)告、樣本基礎(chǔ)信息,、樣本行為動(dòng)作等數(shù)據(jù),。
-
事件處置針對(duì)發(fā)生的安全事件或網(wǎng)絡(luò)攻擊行為,通過雙向認(rèn)證接口和人工檢查點(diǎn),,完成相應(yīng)事件安全處置操作下發(fā)的流程,。
-
情報(bào)查詢內(nèi)置情報(bào)引擎,沉淀行業(yè)特色情報(bào),,提供情報(bào)查詢及聯(lián)查功能,,包括五類情報(bào):惡意IP、惡意域名,、惡意URL,、木馬病毒、社工郵箱/郵件,。
-
攻擊取證定義探針取證接口,,通過平臺(tái)實(shí)時(shí)調(diào)取探針收集相關(guān)數(shù)據(jù),將不同的攻擊活動(dòng)進(jìn)行關(guān)聯(lián),并深入的調(diào)查和分析,,收集和保存相關(guān)證據(jù),,為溯源提供支撐。
-
追蹤溯源基于多源日志和流量數(shù)據(jù)的匯聚融合,,進(jìn)行綜合分析,,還原入侵攻擊鏈條,云網(wǎng)端機(jī)協(xié)同作業(yè),,深度挖掘隱藏線索,,提供攻擊源的溯源能力。
產(chǎn)品結(jié)構(gòu)
關(guān)鍵技術(shù)
-
“云網(wǎng)端機(jī)”協(xié)同取證固證結(jié)合一所云中心情報(bào),,實(shí)現(xiàn)網(wǎng)絡(luò)取證,、終端取證、協(xié)同采集,、取證分析,、固證存證等功能,有效支持網(wǎng)絡(luò)攻擊事件的調(diào)查和處置,。 -
十大情報(bào)動(dòng)態(tài)碰撞檢測拓寬威脅情報(bào)共享渠道,,匯聚360、阿里,、騰訊,、華為、奇安信以及一所自有情報(bào)等多方情報(bào)信息,,實(shí)時(shí)共享,、聯(lián)動(dòng)處置。 -
大數(shù)據(jù)滾動(dòng)篩查未知威脅利用大數(shù)據(jù)技術(shù)結(jié)合發(fā)現(xiàn)模型,,實(shí)現(xiàn)對(duì)海量數(shù)據(jù)進(jìn)行定期的處理和分析的自篩動(dòng)查可發(fā)現(xiàn)已知,、未知威脅和安全漏洞等。
-
全網(wǎng)文件,、外聯(lián)全息建檔通過X01平臺(tái)實(shí)現(xiàn)全網(wǎng)文件哈希,、外聯(lián)關(guān)鍵信息的分析、在線存儲(chǔ),、統(tǒng)一管理,,形成可信檔案。 -
網(wǎng)絡(luò)入侵60秒發(fā)現(xiàn)預(yù)警X01平臺(tái)聯(lián)動(dòng)各類探針,當(dāng)發(fā)生入侵事件時(shí),,能夠在60秒內(nèi)快速發(fā)現(xiàn)并發(fā)出預(yù)警,提升自動(dòng)化響應(yīng)和處置及時(shí)性,。 -
威脅風(fēng)險(xiǎn)畫像提取對(duì)應(yīng)的網(wǎng)絡(luò)攻擊行為特征,,通過各探針聯(lián)動(dòng)取證分析,結(jié)合一所云情報(bào)中心及行業(yè)獨(dú)有的威脅情報(bào)數(shù)據(jù),,定位APT組織入侵攻擊鏈條,,描繪攻擊者畫像,。
應(yīng)用場景
-
場景一:“僵木蠕勒”監(jiān)測防御場景面對(duì)高級(jí)網(wǎng)絡(luò)武器、APT攻擊等為代表的新一代攻擊滲透技術(shù),,現(xiàn)有安全防護(hù)和監(jiān)測預(yù)警能力已存在一定的差距和不足,。在重要行業(yè)單位內(nèi)網(wǎng)構(gòu)建“僵木蠕勒”監(jiān)測防御能力,實(shí)現(xiàn)多維度監(jiān)測發(fā)現(xiàn),、全方位取證溯源和高效率查處整改,,有效解決整個(gè)行業(yè)內(nèi)網(wǎng)遭受僵尸網(wǎng)絡(luò)、遠(yuǎn)控木馬,、勒索病毒,、APT攻擊等已知和未知威脅攻擊的問題,以適應(yīng)重要行業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)化建設(shè)和運(yùn)營需要,。
場景二:未知威脅發(fā)現(xiàn)場景隨著當(dāng)前黑客的攻擊手段,、攻擊工具的不斷迭代更新,再依賴傳統(tǒng)的基于特征,、單一情報(bào)源的方式,,難以發(fā)現(xiàn)未知威脅。構(gòu)建多源情報(bào)共享,、多層次威脅分析,、多種取證手段等能力,結(jié)合端點(diǎn)構(gòu)建的“堡壘鎖”創(chuàng)新功能,,針對(duì)新型文件威脅,、無文件攻擊、內(nèi)存攻擊等新型威脅,,打造智能化的行為分析引擎,,有效應(yīng)對(duì)無文件攻擊、內(nèi)存攻擊,、ROP等APT攻擊,。
場景三:實(shí)戰(zhàn)化防御聯(lián)防場景為應(yīng)對(duì)當(dāng)前國際網(wǎng)絡(luò)安全形式巨變,高強(qiáng)度,、常態(tài)化的實(shí)戰(zhàn)對(duì)抗,,攻防兩端實(shí)力懸殊。實(shí)現(xiàn)資產(chǎn)梳理,、主機(jī),、終端、流量,、郵件等多個(gè)方面安全信息采集,、數(shù)據(jù)統(tǒng)一管理、異常數(shù)據(jù)分析、提煉分析模型,、統(tǒng)一管理,、聯(lián)動(dòng)情報(bào)共享系統(tǒng),準(zhǔn)確捕捉攻擊入侵行為和線索排查處置,,以適應(yīng)重要行業(yè)網(wǎng)絡(luò)安全常態(tài)化,、實(shí)戰(zhàn)化、體系化防護(hù)需要,。
立足可持續(xù)入侵檢測,、未知威脅發(fā)現(xiàn)的需要
實(shí)現(xiàn)“聯(lián)防聯(lián)控、動(dòng)態(tài)防御”的目標(biāo),,提供疑難問題排查,、補(bǔ)丁升級(jí)、安全咨詢等服務(wù),,幫助客戶建設(shè)“共同防御”體系,,提前預(yù)警、防患未然,。