下一代威胁防御解决方案

APT 攻击已经成为常态。苹果公司iCloud照片泄露,索尼影视被入侵,某订票网站信息疑似泄露事件,让公众有理由倍感担忧,个人隐私得不到有效保护。 从政府部门,知名公司,公众人物到普通人,都是黑客的目标。被披露的部分只是APT攻击的冰山一角,还有众多APT攻击隐藏在冰山之下,不为公众所知。 心脏滴血漏洞、破壳漏洞,漏洞披露接踵而来。这些漏洞具有严重威胁等级,为APT攻击者制造零日攻击工具提供绝佳便利。 另外,企业对IT信息系统的依赖程度越来越高,应用越来越多,IT系统越来庞大。BYOD,云计算,社交网络流行,企业已经没有了网络边界,更增加被攻击的风险。 难道入侵不可避免吗?在这“魔高一尺,道高一丈的”攻防累进中,安全界早已达成共识,传统安全防护方案,如防病毒,IPS等基于签名技术的安全产品已经过时,不能有效防护APT威胁,需要新的方案来检测和防御这些未知威胁。

绿盟科技下一代威胁防御解决方案

难道入侵不可避免吗?在这“魔高一尺,道高一丈的”攻防累进中,安全界早已达成共识,传统安全防护方案,如防病毒,IPS等基于签名技术的安全产品已经过时,不能有效防护APT威胁,需要新的方案来检测和防御这些未知威胁。

绿盟科技为了应对以APT为代表高级持续性威胁,推出了NGTP解决方案,即“下一代威胁防御”方案。NGTP解决方案,是由多个不同功能的模块组成,包括:绿盟全球威胁信誉系统,威胁分析系统,入侵防护模块,邮件过滤模块,内网流量感知模块,以及本地的安全管理平台。

其中,绿盟全球威胁信誉系统,是安全威胁信誉的收集,分析和交换的云平台,一方面接收和分析安全威胁信誉,一方面提供威胁信誉下载。

本地安全管理平台,统一管理方案中涉及到的产品和模块,也作为本地的信誉交换代理; 威胁分析系统,负责网络上的文件还原,病毒检测,静态分析和虚拟执行,并生成信誉,发送给信誉云; 入侵防护模块,负责网络和web的入侵检测和阻断; 邮件过滤模块,负责病毒邮件和垃圾邮件的过滤; 内网流量感知模块,负责内网流量的检测和预警; 威胁分析模块,入侵防护模块和邮件过滤模块,都会从本地信誉代理或者云端,下载实时的信誉信息,并根据信誉信息进行防御。


3.NGTP方案的功能

解决方案聚焦检测和防御APT攻击链的各个环节,尤其是在攻击尝试阶段,进入后的潜伏和扩展攻击阶段,以及终极目的阶段——数据盗取。

APT攻击链条介绍:

在攻击初始阶段,攻击者常用“水坑攻击”和“钓鱼邮件”方式,定向诱导用户上网下载软件或者打开邮件,以此感染恶意软件。这些精心构造的恶意软件,一般会逃逸传统防病毒和IPS的检测,用户稍有不慎,极易感染。攻击初始阶段的检测和防御,是NGTP解决方案的重中之重,防范于未然。 一旦攻击成功,入侵者要扩大战果,回连CnC控制服务器,下载更具威胁的攻击工具,为横向扩展攻击做准备。 最终,攻击者盗取有价值的文件和数据,并消除攻击痕迹。


为适应不同的网络攻击场景和攻击链条,NGTP方案可灵活组合为“恶意软件防护方案”,“邮件安全方案”和”内网异常和敏感数据拦截防护方案“等若干子方案。NGTP方案根据APT攻击链条各个过程的特点,采用不同的子方案进行检测和防护:


攻击前 通过威胁分析模块TAC对于未知威胁的实时检测,与入侵防御模块一起联动,实现一点发现,全网警戒的效果,及时发现未知恶意软件的攻击,进行阻止。

攻击中 对于少部分漏网之鱼,当其进入到内网,并进行回连CnC服务地址,或者进行扩散攻击时,通过Web端僵尸网网络和内网流量异常变动的监控,可以发现此类攻击的蛛丝马迹,暴露出APT攻击的特点,恶意软件无可遁形。

攻击后 恶意软件进不来和藏不住,已经能够检测和抵御大部分的恶意软件攻击情形。隐藏深,具有逃逸特征的恶意软件,会在内网进行潜伏,但是最终还是会发作,进行敏感信息和数据的窃取。通过流量异常变化和数据泄露防护方案,能够发现和防范最后这些狡诈的恶意软件行为,保护企业敏感数据的外泄。


4.NGTP解决方案的价值

NGTP解决方案,为企业建立安全防护的金钟罩,有效检测和防御APT攻击。在NGTP的方案的子场景中,尤其考虑了APT攻击的攻击链条,重点在于攻击前阶段的检测和防御,达到攻击“进不来“的效果;在攻击扩散阶段,达到攻击”藏不住“的效果;而在最终的攻击后解决,达到敏感数据“带不走”的效果。

绿盟科技的NGTP方案,以安全信誉为中枢,恶意软件威胁分析为核心,结合网络入侵防护,Web和邮件过滤,数据泄露防护等多个模块。NGTP解决方案,有针对性的切断攻击链条各个环节,为企业构建新一代威胁防御系统,极大降低APT攻击的风险。

Copyright © 2019. 尚合诚弈(北京)科技发展有限公司