安天产品巡礼(系列四)——拓痕工具箱
▲工具箱整体示意图
功能简介
▲工具箱使用场景
适配场景与解决方案
⊙满足日常安全巡检工作需要
场景分析:根据《网络安全法》的要求和支撑业务的需要。企事业单位需要建立安全巡检机制。传统网络扫描器虽然检测效率较高,但偏重于检测资产开放的端口等暴露信息。在检测主机系统环境的安全性方面,各单位普遍采取的是多种检查工具组合配合人工巡检的方式,其主要存在检查标准不统一,人工巡检工作量大,检查工具操作复杂,巡检人员水平不一,手工填报巡检结果效率低,容易漏项或出错,人力成本高,管理人员难以及时、准确、全面地了解巡检状况等问题。解决方案:拓痕工具箱内的主机深度检查工具通过定制检查策略模板,一键自动检查等模式,提取资产信息,核查系统安全配置,评估系统脆弱性,全面分析系统面临的安全隐患与威胁。工具输出的分析报告内容详实,针对性的给出了安全配置及脆弱性风险处置的进一步建议,便于安全管理人员掌握全网资产的安全状态,满足日常安全巡检的工作需要。针对异地巡检及地处偏远的下级单位的安全检查场景,拓痕工具箱内的远程协助工具可在检查人员不到场的前提下,完成安全检查,报告回收等工作,节约人力物力,提高工作效率。
⊙应对安全事件应急响应
场景分析:内网安全维护工作中,经常存在终端流量明显异常,但端点杀毒无法检测;感染式病毒顽固感染,始终无法清除干净;蠕虫病毒杀而复来等情况。导致网络安全管理人员疲于奔命。
解决方案:拓痕工具箱在处置模块中结合了基于安天反病毒引擎和内核级处置模块的恶意代码查杀处置机制。能有效对抗恶意代码的自我保护机制,实现了对内存、启动链、文件和扇区的全面处置。同时配合配置策略一键优化和补丁升级操作,快速完成系统加固,降低重新感染概率。
⊙支撑高威胁、强对抗场景下的检测分析取证要求
场景分析:电子数字取证技术是信息安全行业中的一个新兴领域,多年来在国内外相关部门的共同努力下,经历了从空白、混沌逐渐走向成熟的过程。近年来,电子数字取证技术在涉计算机犯罪案件中发挥着举足轻重的作用。传统的计算机取证工具往往更偏重于信息的全量提取和分析,对基于高威胁、强对抗的场景下,提取威胁载荷和场景影响的考虑存在不足,缺少威胁载荷和可疑文件的快速判定和提取能力。解决方案:拓痕主机深度检查工具的证据提取功能模块,面向主机场景实现驱动级的系统深度检测、分析、证据提取、固化等功能,可快速筛选识别提取内存、扇区、注册表和相关文件对象,并将其进行分析拆解和元数据化。特别是针对多种内存木马和Rootkit机制实现可靠的对象提取。并对证据提取与检测分析过程进行全程记录,且证据数据均通过压缩加密保存,附加数字签名验证,形成证据提取的完整闭环操作。特点优势
⊙全方位主机系统深度分析工作
安天主机深度检查工具,着力加强系统检测专业纵深,从内核到应用,做到横向广泛全面,纵向深入细致,零遗漏采集系统信息,让恶意代码无遁形之处。目前支持自启动项、进程、线程、句柄、网络信息、内核信息、MBR、插件信息、HOOK信息、共享信息、用户信息、host文件,文件系统、注册表、日志信息等系统和环境信息的检查。在工具的注册表和文件栏里可发现藏匿的木马,若木马正在进行反向连接,还可在端口管理模块中进行展示并通过内核模块查看它的驱动信息,通过底层驱动对系统信息的完整展示,用户可以轻易检查出系统中被恶意隐藏的文件和注册表项。
⊙全自动智能分析与远程协助,降低现场人员技能要求
为适配使用场景及使用者的技术专业程度的差异,安天主机深度检查工具设定了不同的检测模式,用户可选择全自动检测处置,也可以选择利用手动分析平台,按需选择检测点,实现半自动化的人工辅助的分析处置工作。为节约人力资源成本,减低现场处置人员技能要求,增强主机深度检查工具的通用性及便捷性,远程协助工具建立起处置现场与后方专家团队的技术通道,高效率达到技术能力的最大输出,实现了一人出征,团队作战的效果。客户案例
☆某中央部委网络安全应急联动处置平台项目
☆某部应急响应体系建设项目
2019年安天参与协助某部的应急响应平台建设项目,提供了拓痕工具箱及其后端应急事件管理系统。项目建设旨在打通位于北京的指挥总部与各省市基层单位间的信息通道,建立健全的各级网络安全主管单位网络事件应急工作机制。
拓痕工具箱实现了在内网环境下构建基于内部通讯网络的远程协助工作模式,使各级下属单位能够与指挥总部联通,随时随地获取位于指挥总部的远程安全专家团队指导,打通总部专家团队指导处置异地发生的安全事件的高安全应急通道。同时,位于指挥中心的专家团队可通过大屏可实时展现事件现场的处置情况并进行多方协同支持,提高客户侧突发事件综合应对能力,提升应急事件的处置效率。应急事件后台管理系统还提供了事件信息的汇集、存储及查询平台,用户可以将所有事件信息进行集中存储和管理,保存应急事件处置的相关证据,帮助客户对突发事件进行持续监测,对事态发展开展连续跟踪,有效防止次生、衍生事件的发生。
☆某省网信办联合实验室升级项目
2017年某省网信办会同安天在网信办办公区创建了“网络安全联合实验室”。围绕网信网络安全业务职责,安天建设了实验靶机、深度威胁分析系统、网络威胁监测系统、展示系统等试验环境,实验室已成为网络安全技术学习、分析和研究的技术平台。
2019年实验室升级项目引入拓痕工具箱,工具箱使实验室具备了主机安全巡检能力、主机威胁的检测分析取证能力、主机威胁的应急处置能力,提高了技术人员网络安全防护与应急响应的水平,降低了现场处置工作对人员的技术要求,在全省网络安全防护工作中发挥了重要作用。
附1:拓痕产品部分资质
计算机软件著作权登记证书; 公安部安全专用产品销售许可证; 北京市新技术新产品证书。
附2:拓痕产品历史沿革
■2002年,安天发布了系统安全分析工具Antiy Security Manger,这是安天工具组件中内核分析工具Atools的前身。■2006年,安天研发了轻量级的恶意代码分析软件——“木马诊断仪”,能够对操作系统中进程和进程中的模块对象进行静态特性和行为加权判断,包括对照文件位置、文件静态特性、自启动特性、文件名特性、API操作特性、网络连接和开放端口特性等近20种条件分析判断,形成每个程序的风险值和风险级别。这是安天便携型行为分析工具的雏形。■2007年,安天为满足恶意代码感染场景的取证需求,研发了主机系统取证工具——天天取证,能够对用户终端的终端信息、系统自启动项、服务项、指定的文件路径、进程、模块、线程等对象进行一键检测提取,提高了取证效率。同年,安天在前面工作的基础上,发布了TDS主机安全检查套件。TDS立足于对内网计算机进行综合性工作评估检查,相关工具和配套组件以工具箱承载。■2008年,安天发布用于应急处置的TDS主机安全检查套件网管版。在此前版本的检查、提取功能基础上,增加了恶意代码查杀和处置功能。■2013年,安天为TDS主机安全检查套件增加等保评估功能。■2018年,安天TDS主机安全检查套件补充了便携式流量监测设备、便携式流量分析设备等组件,正式更名为拓痕工具箱。安天官网:www.antiy.cn
全国服务热线:400-840-9234
往期推荐