科来APT解决方案.ppt

1、A,1,APT攻击的网络解决方案,检测、追踪、取证与防护,A,2,大纲,背景与需求分析,产品与关键技术,案例分析,关于我们,A,3,1、APT背景与需求分析,高级持续性威胁（APT）：有组织、有明确目的、采用先进技术的复杂网络攻击 Flame (2012)，Night Dragon (2011)，Stuxnet (2010)，Operation Aurora (2009) 2011年3月17日，EMC公司宣布遭受APT攻击，攻击者已获得其RSA SecurID的一次性密码（OTP）认证产品的有关信息,2013年3月20日，新韩银行、农协银行等韩国金融机构的信息系统遭到APT攻击，信息系统瘫痪，

2、服务几近中断 攻击策划时间长达8个月，成功潜入韩国金融机构1500次，共使用了76个定制的恶意软件，受害计算机总数达48000台，攻击路径涉及韩国25个地点、海外24个地点。,A,4,1、APT背景与需求分析,夹杂着各种目的的APT攻击，2013年是最不平凡的一年 斯诺登爆料称美国政府入侵中国网络多年 棱镜门牵出“上游”监控项目 利用WPS 2012/2013 0day针对中国政府部门的定向攻击 3684个中国政府站点遭黑客入侵 .cn根域名服务器遭遇有史最大的DDOS攻击 利用热点的新型APT攻击 针对Adobe Flash漏洞的APT攻击 如家、锦江之星等酒店的用户信息泄露 梭子鱼多个产品

3、惊现SSH后门账户 HP D2D/StorOnce备份服务器被爆发现后门 DLink路由器固件后门 腾达Tenda 路由器后门 黑客向NSA出售0day漏洞 Apache Struts2框架漏洞 人民银行惨遭国外矿工DDOS攻击,A,5,持续性 同发性,个人终端突破 多攻击向量 社工 0DAY,社工 跳板,可信通道 加密 缓慢长期,长期窃取 战略控制 深度渗透,1、APT背景与需求分析,A,6,1、APT背景与需求分析,APT攻击的特点,防火墙,杀毒软件,IDS,IPS,安全网关,Anti Spam,Web攻击,钓鱼邮件,恶意文件,流量加密,A,7,1、APT背景与需求分析,现有网络安全防御体

4、系面临的挑战,缺乏对未知攻击的检测能力,A,8,1、APT背景与需求分析,APT攻击监测的主要思路及挑战,A,9,大纲,背景与需求分析,产品与关键技术,案例分析,关于我们,A,10,实时检测 威胁阻断 数据还原,策略管理 警报收集 数据展现,数据保存 追踪取证,可疑文件 动态分析 行为分析,2.1、APT检测平台简介,A,11,2.1、APT检测平台简介,分布式平台,A,12,2.2、产品部署,产品部署示意图,A,13,2.3、产品关键技术,关键技术1：基于硬件模拟的虚拟化动态分析技术,宿主操作系统: Linux,操作系统,样本文件,虚拟化分析环境,分析引擎,分析结果,硬件模拟器,指令,行为,

5、关联,样本文件,A,14,2.3、产品关键技术,关键技术1：基于硬件模拟的虚拟化动态分析技术,Email检测 电子邮件还原 邮件附件检测,分析环境 智能选取,A,15,2.3、产品关键技术,Sandboxie、影子系统等系统沙箱,FireEye 本项目产品,VMWare、VirtualBox等虚拟软件,第一代,第二代,系统沙箱技术,虚拟软件技术,硬件模拟技术,动态分析的发展和方法对比,第三代,X,X,A,16,关键技术2：基于行为异常的流量检测技术,2.3、产品关键技术,协议模式 根据通讯协议的规范，检测发现非规范协议的通信流量 检测的异常行为：木马私有控制协议；隐蔽信道； 网络状态 根据网络

6、运行状态的历史数据统计，形成正常行为轮廓，以此为基础检测异常,检测的异常行为：内网探测；应用数据异常 网络行为 根据业务应用特点定义正常行为轮廓，以此为基础检测异常 检测的异常行为：跳板攻击；应用访问异常,A,17,关键技术3：全流量回溯分析技术,2.3、产品关键技术,基于索引的海量数据快速检索 自主设计的海量数据存储结构和预处理算法 1TB数据的检索时间低于3秒钟 多维度的网络流量线索分析 支持从时间、会话、协议、事件等不同维度进行网络流量追踪分析 可根据发现的异常事件进行深度追踪、溯源，快速确定潜在的威胁，全面评估事件的危害,A,18,大纲,背景与需求分析,产品与关键技术,案例分析,关于我

7、们,A,19,背景： 某社会科学研究院负责国家社会学科研究和政策研究的院所，国外情报机关对该机构进行了长期的渗透攻击。该研究院对此十分重视，部署了大量了防护设备。 影响： 发现台湾、美国对该研究院已经长期窃密，发现36台重要的服务器和该机构核心研究员个人主机被渗透，重要的国家社会情报信息和外交政策信息被窃取，造成重大的影响,3.1、案例：某研究院被APT攻击,A,20,发现异常,回溯取证,业务库,可疑邮件警报； 黑域名拦截记录； 账号信息警报； 可疑HTTP警报；,分析拦截,查看邮件内容； 查看附件分析； 提取添加黑域名； 查看拦截记录；,搜寻问题IP； 下载原始数据包； 分析木马活动情况；

8、提取数据流特征；,样本库； 特征库； 黑域名/黑IP库； 攻击、窃密行为模型库；,3.2、案例：检测、追踪、取证与防护,A,21,利用社会工程学伪装的邮件,3.2、APT案例分析：伪装邮件,A,22,将高危附件提取的黑域名添加到黑名单检测到收件人点击了附件而且被植入木马,3.2、APT案例分析：追踪拦截防护,A,23,找到中马机器，调取其发生窃密行为的时间的原始数据包，还原整个窃密过程，并审计整个窃密行为,3.2、APT案例分析：回溯取证,A,24,利用账号记录和分析功能，发现境外IP获得了该研究院的所有邮箱账号信息,3.2、APT案例分析：帐号攻击,A,25,APT（高级持续性威胁）攻击 软

9、件漏洞+社会工程学+行为隐蔽 以信息窃密为主 攻击十分普遍，产品部署点都几乎都有发现 传统的安全设备无法防范，如入无人之境。,3.3、APT攻击总结,A,26,美国同样也面临APT攻击 美国已经有非常成熟的防范手段 同类产品fireeye（火眼），Macfee同类产品 Mandiant利用“火眼”发现来自中国的APT攻击，最终指向总参三部二局 美国超过1000家政府单位和大型企业部署“火眼” 我国目前大多依靠传统的安全防护手段来发现APT攻击，能力较弱 我国在意识和现状非常堪忧，大量的重要数据受到威胁,3.4、总结：中、美如何应对APT攻击,A,27,大纲,背景与需求分析,产品与关键技术,案例分析,关于我们,A,28,4.1、关于科来,A,29,4.2、生产基础,研发中心 公司目前拥有2000平方米的研发中心，研发用设备100多台。 测试实验室 现有测试实验室占地60平方米，配备了各类测试设备62台。 产品组装线 拥有专业产品组装测试设备数十套，具备年产1000台的设备组装能力。,A,30,4.3、客户基础,科来在全球 全球5000多商业客户，87个世界500强用户 国内营销和技术支持中心：北京、上海、广州、成都 海外市场：北美区、欧洲区、亚太区,A,31,4.3、客户基础,A,32,客户服务中心 建有北京、成都、上海、广州4