股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
亚信安(ān)全 “威胁狩猎服務(wù)” 开辟高级网络威胁治理(lǐ)新(xīn)赛道
发布时间 :2021年04月21日
分(fēn)享:
亚信安(ān)全正式推出威胁狩猎服務(wù),以“早发现、早诊断、早处置、高质(zhì)量”為(wèi)优势原则,為(wèi)用(yòng)户彻底解决缺少高级攻击防御经验、缺乏相关高级技(jì )术工(gōng)具(jù)、无法对威胁进行溯源等难题提供全面协助。
定义 判断威胁狩猎的成熟度级别需要考虑以下三个基本因素:
收集和分(fēn)析数据的工(gōng)具(jù);
所收集的数据质(zhì)量及细粒度;
威胁分(fēn)析专家的技(jì )能(néng)水平和猎捕经验。
传统安(ān)全服務(wù) vs 威胁狩猎服務(wù)
早发现:威胁狩猎是需要高级威胁的線(xiàn)索,而安(ān)全产(chǎn)品告警和异常行為(wèi)检测是这些線(xiàn)索的来源。黑客团伙或者红蓝对抗攻击方入侵总会利用(yòng)一些未知的漏洞或者手段,但是在入侵跳板主机成功后,会用(yòng)一些常规的手段进行提权、探测和横向移动,传统的安(ān)全产(chǎn)品和EDR ATT&CK规则检测框架都会发现一些“蛛丝马迹”,这些蛛丝马迹就像是丛林中(zhōng)猎物(wù)留下的足迹,指引着猎人进行狩猎追踪。
早诊断:EDR相比于传统的端点安(ān)全防病毒产(chǎn)品的最大區(qū)别就在于操作(zuò)系统内核级别的行為(wèi)日志(zhì)高清记录,它就像是安(ān)装(zhuāng)在操作(zuò)系统上的高清摄像头,将进程启停、文(wén)件操作(zuò)、网络连接、注册表修改和系统日志(zhì)如实记录下来并且長(cháng)期存储。威胁狩猎人员可(kě)以输入威胁線(xiàn)索和查询条件,EDR服務(wù)端能(néng)够以可(kě)视化的方式绘制出进程事件树,帮助威胁狩猎人员有(yǒu)效关联出疑似威胁的入侵轨迹,确认威胁的影响范围和影响程度,為(wèi)根治问题提供技(jì )术支撑。
早处置:威胁狩猎人员使用(yòng)EDR工(gōng)具(jù)进行遠(yuǎn)程的遏制和修复,对高级威胁入侵造成的破坏和留存的后期进行根治修复,避免在红蓝对抗和上级监管过程中(zhōng)集中(zhōng)爆发问题。
高质(zhì)量:在亚信安(ān)全威胁狩猎诸多(duō)的成功案例中(zhōng),我们发现用(yòng)户对于安(ān)全事件線(xiàn)索的看法普遍处于“狼来了”的麻木(mù)状态,即各种安(ān)全厂家的产(chǎn)品(尤其是安(ān)全态势感知平台)每天都生成海量的告警信息,而安(ān)全运维人员即使加班加点也无法处理(lǐ)如此多(duō)的告警事件,结果就是放任这些告警于不顾,等到黑客团伙真正发起总攻的时候,毫无防范之力。亚信安(ān)全推出的大终端2.0运维平台从根本上改善了上述被动的防护态势,我们将亚信安(ān)全产(chǎn)品(例如OfficeScan、DS、TDA等)的日常告警日志(zhì)聚类成有(yǒu)优先级排序的安(ān)全事件,并且联动到EDR产(chǎn)品进行遏制、调查和修复,完成威胁狩猎分(fēn)析早发现、早诊断和早处置的闭环操作(zuò)。
亚信安(ān)全的威胁狩猎服務(wù),區(qū)别于传统的安(ān)全服務(wù)和红蓝对抗的攻防服務(wù),开辟了高级威胁检测响应的服務(wù)新(xīn)赛道。
威胁狩猎服務(wù)依托亚信安(ān)全的EDR行為(wèi)检测能(néng)力和威胁分(fēn)析的专家能(néng)力,能(néng)够有(yǒu)效地检测零日漏洞等高级威胁,解决这些安(ān)全漏洞可(kě)能(néng)隐藏几年都发现不了的安(ān)全风险。
威胁狩猎服務(wù)由亚信安(ān)全具(jù)备攻防能(néng)力的威胁狩猎专家為(wèi)用(yòng)户提供高级威胁的溯源分(fēn)析,能(néng)够回答(dá) “谁进来了、是敌是友、干了什么”的疑问,能(néng)够及早发现治理(lǐ)“潜伏”的高级威胁,避免这些高级威胁在红蓝对抗、重保的关键时刻集中(zhōng)发作(zuò)。
用(yòng)户OA系统的主程序Java进程吊起CMD和Whoami进程
红蓝对抗攻击方一共使用(yòng)了17次CMD指令和1次Whoami指令来获取必要的主机信息,达成攻击方成功插旗并上报裁判组得分(fēn)的目的
通过EDR记录并溯源到copy指令,发现test123456.jsp的WebShell木(mù)马文(wén)件替换行為(wèi)
通过网络驱动记录,发现攻击方利用(yòng)大量互联网IP调用(yòng)本漏洞
某OA零日漏洞被红蓝对抗攻击方利用(yòng)
攻击方已经通过漏洞执行CMD和Whoami指令获取到主机信息
多(duō)个攻击团队利用(yòng)大量互联网IP利用(yòng)本漏洞
建议用(yòng)户删除漏洞文(wén)件,对OA系统打补丁
协助用(yòng)户编写溯源分(fēn)析报告提交红蓝对抗裁判委员会得分(fēn)
在本案例中(zhōng),威胁狩猎专家依据EDR的行為(wèi)规则IOA成功检测到OA系统零日漏洞攻击,通过EDR的高清记录和溯源分(fēn)析能(néng)力,将红蓝对抗攻击方如何拷贝WebShell文(wén)件,如何利用(yòng)CMD和Whoami指令获取插旗信息,以及通过哪些互联网IP实施的攻击,都分(fēn)析得清清楚楚,协助用(yòng)户编写溯源分(fēn)析报告,提交裁判委员会进行防守得分(fēn)。
為(wèi)何选择亚信安(ān)全威胁狩猎服務(wù)
亚信安(ān)全开启國(guó)内威胁狩猎服務(wù)新(xīn)赛道:
亚信安(ān)全的专业威胁狩猎服務(wù),為(wèi)用(yòng)户提供本地和遠(yuǎn)程的高级威胁检测响应服務(wù),开启了國(guó)内威胁狩猎服務(wù)新(xīn)赛道。
在攻防演练中(zhōng),威胁狩猎服務(wù)表现出色,通过EDR工(gōng)具(jù)成功溯源包括零日漏洞在内的多(duō)起攻击方攻击事件,编写详尽的威胁狩猎分(fēn)析报告,帮助客户在端点侧得分(fēn)。
在已经購(gòu)买EDR产(chǎn)品的客户中(zhōng),威胁狩猎服務(wù)也积累了众多(duō)成功案例,帮助用(yòng)户主动检测并溯源潜伏在端点侧的高级威胁,深受用(yòng)户好评。
EDR作(zuò)為(wèi)威胁狩猎服務(wù)中(zhōng)的高效工(gōng)具(jù),其操作(zuò)系统高清记录和高级威胁检测能(néng)力,為(wèi)威胁狩猎专家提供技(jì )术支撑。亚信安(ān)全EDR产(chǎn)品在2020年IDC中(zhōng)國(guó)的厂商(shāng)评估中(zhōng)位列“领导象限”。
亚信安(ān)全EDR产(chǎn)品通过了國(guó)内权威第三方评测机构赛可(kě)达实验室的专业评测,在國(guó)际知名(míng)的ATT&CK架构模型中(zhōng)以124个技(jì )术点覆盖度在國(guó)内处于突出地位。
分(fēn)享到微信
X