科来APT解决方案ppt课件

APT攻击的网络解决方案,检测、追踪、取证与防护,1,大纲,背景与需求分析,产品与关键技术,案例分析,关于我们,1,2,3,4,2,1、APT背景与需求分析,高级持续性威胁（APT）：有组织、有明确目的、采用先进技术的复杂网络攻击Flame(2012)，NightDragon(2011)，Stuxnet(2010)，OperationAurora(2009)2011年3月17日，EMC公司宣布遭受APT攻击，攻击者已获得其RSASecurID的一次性密码（OTP）认证产品的有关信息,APT攻击逐渐盛行,2013年3月20日，新韩银行、农协银行等韩国金融机构的信息系统遭到APT攻击，信息系统瘫痪，服务几近中断攻击策划时间长达8个月，成功潜入韩国金融机构1500次，共使用了76个定制的恶意软件，受害计算机总数达48000台，攻击路径涉及韩国25个地点、海外24个地点。,对金融业的安全威胁,3,1、APT背景与需求分析,夹杂着各种目的的APT攻击，2013年是最不平凡的一年斯诺登爆料称美国政府入侵中国网络多年棱镜门牵出“上游”监控项目利用WPS2012/20130day针对中国政府部门的定向攻击3684个中国政府站点遭黑客入侵.cn根域名服务器遭遇有史最大的DDOS攻击利用热点的新型APT攻击针对AdobeFlash漏洞的APT攻击如家、锦江之星等酒店的用户信息泄露梭子鱼多个产品惊现SSH后门账户HPD2D/StorOnce备份服务器被爆发现后门DLink路由器固件后门腾达Tenda路由器后门黑客向NSA出售0day漏洞ApacheStruts2框架漏洞人民银行惨遭国外矿工DDOS攻击,4,持续性同发性,个人终端突破多攻击向量社工0DAY,社工跳板,可信通道加密缓慢长期,长期窃取战略控制深度渗透,1、APT背景与需求分析,5,1、APT背景与需求分析,APT攻击的特点,Advanced（复杂性）：采用高级攻击技术，突破现有防御体系利用0Day漏洞、结合社交工程，向目标系统发起组合多种技术的攻击,Persistent（持久性）：躲过现有检测技术，可长时间潜伏定制恶意软件，通过变形、加密等技术逃避检测，在目标系统内部不断扩散,Threat（目的性）：具有明确的攻击目的，造成巨大危害有针对性地收集和窃取高价值的数据，控制和破坏重要信息系统,防火墙,杀毒软件,IDS,IPS,安全网关,AntiSpam,Web攻击,钓鱼邮件,恶意文件,0Day,流量加密,6,1、APT背景与需求分析,现有网络安全防御体系面临的挑战,缺乏对未知攻击的检测能力,缺乏对流量的深度分析能力,7,1、APT背景与需求分析,APT攻击监测的主要思路及挑战,1,2,3,8,大纲,背景与需求分析,产品与关键技术,案例分析,关于我们,1,2,3,4,9,实时检测威胁阻断数据还原,策略管理警报收集数据展现,数据保存追踪取证,可疑文件动态分析行为分析,2.1、APT检测平台简介,10,2.1、APT检测平台简介,分布式平台,11,2.2、产品部署,产品部署示意图,12,2.3、产品关键技术,关键技术1：基于硬件模拟的虚拟化动态分析技术,宿主操作系统:Linux,操作系统,样本文件,虚拟化分析环境,分析引擎,分析结果,硬件模拟器,指令,行为,关联,样本文件,分析中心,13,2.3、产品关键技术,关键技术1：基于硬件模拟的虚拟化动态分析技术,多协议流量监测,基于硬件模拟的虚拟执行环境,Email检测电子邮件还原邮件附件检测,动态行为实时分析文件释放检测Shellcode检测密码保护检测系统修改检测网络连接检测数据传输检测重启分析检测,分析环境智能选取,14,2.3、产品关键技术,Sandboxie、影子系统等系统沙箱,FireEye本项目产品,VMWare、VirtualBox等虚拟软件,第一代,第二代,系统沙箱技术,虚拟软件技术,硬件模拟技术,动态分析的发展和方法对比,第三代,X,X,15,关键技术2：基于行为异常的流量检测技术,2.3、产品关键技术,协议模式根据通讯协议的规范，检测发现非规范协议的通信流量检测的异常行为：木马私有控制协议；隐蔽信道；网络状态根据网络运行状态的历史数据统计，形成正常行为轮廓，以此为基础检测异常,检测的异常行为：内网探测；应用数据异常网络行为根据业务应用特点定义正常行为轮廓，以此为基础检测异常检测的异常行为：跳板攻击；应用访问异常,16,关键技术3：全流量回溯分析技术,2.3、产品关键技术,基于索引的海量数据快速检索自主设计的海量数据存储结构和预处理算法1TB数据的检索时间低于3秒钟多维度的网络流量线索分析支持从时间、会话、协议、事件等不同维度进行网络流量追踪分析可根据发现的异常事件进行深度追踪、溯源，快速确定潜在的威胁，全面评估事件的危害,17,大纲,背景与需求分析,产品与关键技术,案例分析,关于我们,1,2,3,4,18,背景：某社会科学研究院负责国家社会学科研究和政策研究的院所，国外情报机关对该机构进行了长期的渗透攻击。该研究院对此十分重视，部署了大量了防护设备。影响：发现台湾、美国对该研究院已经长期窃密，发现36台重要的服务器和该机构核心研究员个人主机被渗透，重要的国家社会情报信息和外交政策信息被窃取，造成重大的影响,3.1、案例：某研究院被APT攻击,19,发现异常,回溯取证,业务库,可疑邮件警报；黑域名拦截记录；账号信息警报；可疑HTTP警报；,分析拦截,查看邮件内容；查看附件分析；提取添加黑域名；查看拦截记录；,搜寻问题IP；下载原始数据包；分析木马活动情况；提取数据流特征；,样本库；特征库；黑域名/黑IP库；攻击、窃密行为模型库；,3.2、案例：检测、追踪、取证与防护,20,利用社会工程学伪装的邮件,3.2、APT案例分析：伪装邮件,21,将高危附件提取的黑域名添加到黑名单检测到收件人点击了附件而且被植入木马,3.2、APT案例分析：追踪拦截防护,22,找到中马机器，调取其发生窃密行为的时间的原始数据包，还原整个窃密过程，并审计整个窃密行为,3.2、APT案例分析：回溯取证,23,利用账号记录和分析功能，发现境外IP获得了该研究院的所有邮箱账号信息,3.2、APT案例分析：帐号攻击,24,APT（高级持续性威胁）攻击软件漏洞+社会工程学+行为隐蔽以信息窃密为主攻击十分普遍，产品部署点都几乎都有发现传统的安全设备无法防范，如入无人之境。,3.3、APT攻击总结,25,美国同样也面临APT攻击美国已经有非常成熟的防范手段同类产品fireeye（火眼），Macfee同类产品Mandiant利用“火眼”发现来自中国的APT攻击，最终指向总参三部二局美国超过1000家政府单位和大型企业部署“火眼”我国目前大多依靠传统的安全防护手段来发现APT攻击，能力较弱我国在意识和现状非常堪忧，大量的重要数据受到威胁,3.4、总结：中、美如何应对APT攻击,26,大纲,背景与需求分析,产品与关键技术,案例分析,关于我们,1,2,3,4,27,4.1、关于科来,28,4.2、生产基础,研发中心公司目前拥有2000平方米的研发中心，研发用设备100多台。测试实验室现有测试实验室占地60平方米，配备了各类测试设备62台。产品组装线拥有专业产品组装测试设备数十套，具备年产1000台的设备组装能力。,29,4.3、客户基础,科来在全球全球5000多商业客户，87个世界500强用户国内营销和技术支持中心：北京、上海、广州、成都海外市场：北美区、欧洲区、亚太区,30,4.3、客户基础,31,客户服务中