“ 海量的告警、复杂的入侵威胁,我们该如何回答“三大拷问”:谁进来了、是敌是友、干了什么?
”当前,持续堆叠的防御平台存在一个巨大的缺陷。繁杂的IT设施导致有效的安全审计数据犹如大海捞针,而恶意的渗透攻击又往往深藏其中、狡兔三窟。
针对网络威胁治理工作中遇到的“三不知”,亚信安全在国内正式发布了威胁狩猎服务,区别于传统安全服务和红蓝攻防服务,以“深度体检+专项筛查”双轮驱动,开辟了高级威胁检测响应的服务新赛道。依托亚信安全领先的EDR行为检测能力和威胁分析的专家能力,威胁狩猎服务能够有效地检测零日漏洞等高级威胁,解决这些安全漏洞可能隐藏几年都发现不了的安全风险。威胁狩猎服务由亚信安全具备攻防能力的威胁狩猎专家为用户提供高级威胁的溯源分析,能够解决关于“谁进来了、是敌是友、干了什么”的疑问,能够及早发现治理“潜伏”的高级威胁,避免这些高级威胁在重大活动与合规检查的关键时刻集中发作。
亚信安全根据真实的攻防场景,提供两种模式的威胁狩猎服务——深度体检和专项筛查。
深度体检是根据客户环境中的各种威胁线索,亚信安全服务专家长期在用户现场利用EDR进行主动关联分析,在确认威胁影响范围和影响程度的基础上,提供深度体检报告和网络安全策略优化建议的服务。深度体检服务模式包含以下三个方面:
深度体检服务基于所部署的亚信安全终端运维产品组件(安全管理/主机防护/虚拟化安全/APT),这些安全产品的告警经过聚类算法能够生成具有优先级处理建议的安全事件,威胁狩猎专家以此为抓手完成日常的EDR遏制、调查和修复的闭环,为用户编写《安全事件威胁狩猎分析报告》。主机防护产品的告警信息在终端运维平台上聚类成安全事件:
深度体检服务需要开启EDR的IOA/IOC检测规则,并完成威胁线索初始化判断和调优,从而形成稳定的行为规则检测基线,根据后续IOA/IOC告警进行威胁狩猎分析和响应处置,为用户编写《EDR异常行为狩猎分析报告》。
深度体检服务中,亚信安全服务专家也能以第三方产品的安全告警解析为威胁线索,使用EDR进行威胁狩猎分析,编写《第三方告警威胁狩猎分析报告》。
专项筛查是根据客户指定关注的高级威胁场景,亚信安全服务专家周期性地到用户现场利用EDR进行关联分析,梳理黑客团伙入侵的攻击链条,提供专项威胁狩猎分析报告和根治建议的服务。
亚信安全目前提供五种热门安全事件的专项筛查服务:
勒索狩猎专项筛查服务,基于终端产品组件所产生并提供的勒索事件威胁线索,以及EDR产品的IOA和IOC,可有效地检测用户环境中的勒索迹象。同时亚信安全服务专家使用EDR高效工具,根据勒索事件的威胁线索进行关联分析,编写《勒索狩猎专项筛查报告》,协助用户进行勒索攻击的治理操作。
挖矿狩猎专项筛查服务,同样利用终端产品组件和EDR产品,亚信安全服务专家能够透过蛛丝马迹发现用户环境中的挖矿迹象,并根据挖矿事件的威胁线索进行关联分析,编写《挖矿狩猎专项筛查报告》,协助用户进行挖矿攻击的治理操作。
WebShell狩猎专项筛查服务,根据终端产品所提供的WebShell事件的威胁线索,以及EDR产品的IOA和IOC信息,能够有效地检测用户环境中的WebShell攻击行为迹象,并以此进行关联分析,编写《WebShell狩猎专项筛查报告》,协助用户进行WebShell攻击的治理操作在攻防演习中,入侵狩猎专项筛查服务可利用亚信安全终端运维的产品组件(安全管理/主机防护/虚拟化安全/APT),这些产品能够提供红队入侵的威胁线索。同时也需要部署EDR产品,IOA和IOC能够有效地检测用户环境中的红队入侵行为迹象。亚信安全服务专家使用EDR的高级检索功能,对红队插旗的行为进行检测和溯源分析,编写《红队入侵狩猎专项筛查报告》,协助用户在防守中得分。
恶意域名狩猎专项筛查服务,基于亚信安全终端运维产品组件(安全管理/主机防护/虚拟化安全/APT),这些产品能够提供恶意域名访问事件的威胁线索。同时也需要部署EDR产品,热点事件IOC和自定义IOC能够有效地检测用户环境中的恶意域名访问事件。亚信安全服务专家使用EDR,根据恶意域名访问事件的威胁线索进行关联分析,定位真正访问恶意域名的“元凶”,编写《恶意域名狩猎专项筛查报告》,协助用户进行恶意域名访问的治理操作。
【图: 在2020年IDC中国的厂商评估中位列“领导象限”】
【图:覆盖ATT&CK架构模型中的124个技术点】行业热点:
威胁狩猎服务:深挖潜伏敌,破解无间道
亚信安全 “威胁狩猎服务” 开辟高级网络威胁治理新赛道
亚信安全网络威胁入侵防护系统AISTPS 亮相“429首都网络安全日”
终端安全 | 终端准入:违规不入网,入网必合规
了解亚信安全,请点击“阅读原文”