查看原文
其他

撕下APT的虚伪面具,发现安全运营守护之道

天融信 2022-05-08


随着信息化建设的推进,数据资产所承载的价值越来越高,安全运营成为重中之重。安全运营是将人、技术、流程三者进行有机结合的过程,通过明确人员职责分工、构建可重复操作流程、发现及响应网络安全风险和威胁,不断完善技术手段来迭代提升企业的安全防护水平。当前安全运营中面临的一个难点问题是APT攻击破坏性很大,但攻击痕迹隐蔽,难以尽早发现和防御。



2020年6月,iOS邮件客户端爆出远程代码执行漏洞,已经被在野利用长达两年。用户只需在邮件下载过程中,就能触发漏洞攻击获取iPhone数据。

2020年12月,SolarWinds公司旗下的网络监控软件遭黑客植入恶意代码。APT组织通过获得网络管理员的最高管理权限,获得长期的内部访问权限,从而长期控制目标、窃取核心数据。






经过对APT攻击的深入分析,天融信发现其难以被发现的主要原因有两点:一是攻击者通常利用0Day漏洞和从未被披露的攻击工具/网络资源,导致防护体系无法通过现有威胁库或规则库识别攻击行为;二是攻击者攻陷内网跳板节点并接入到目标网络后,为了长久隐蔽自身会极尽可能的模仿跳板节点正常行为,并在内网中横向移动悄悄收集信息,等待时机成熟后才扩大攻击效果以达成目标。


围绕APT攻击的特点,天融信在安全运营中以大数据技术为基础,引入AI分析算法,构建了一套能够灵活建模的智能化安全数据中台。



天融信智能化安全数据中台从终端、网络流量、业务系统三个监测点实时抓取用户及实体行为数据,辅以蜜罐主动防御信息及资产、人员、账号等基础企业信息进行用户及实体画像等三大能力,勾勒员工及设备行为轮廓,发现异常用户及实体的内网失陷事件,最终挖出潜伏在内网的高级威胁。

多源异构海量数据采集计算能力



通过SYSLOG、FTP、数据库表、消息总线、API等丰富的数据接口方式,汇聚全网设备、操作系统以及业务系统的日志数据;采用大数据分布式并行计算技术,灵活快速扩展数据存储计算能力,实现TB量级数据存储计算。

基于AI算法的强大安全建模能力



基于时序分析、回归、分类、聚类等多类AI算法,围绕攻击分析、内网失陷、数据泄露、业务异常、访问异常等各类应用场景提供分析模型,并支持用户自定义模型,从而针对DGA域名发现、隐蔽隧道检测、恶意URL自动识别等典型应用场景实现更高准确度和良好应用效果。

全面用户实体行为画像能力



全面关联分析用户实体行为数据及辅助信息,从行为轮廓、威胁事件、通联关系、基线异常、威胁关联等多个维度进行全方位用户画像,支持安全人员快速从画像中发现异常。

目前,天融信智能化安全数据中台已在政府、公安、金融、运营商等多个组织和行业中落地应用,帮助了多家单位及企业实现内网威胁识别与防护。在今后的网络安全建设中,天融信将基于AI技术与海量用户共筑网络安全堡垒,共建网络安全强国。

· 相关阅读 ·

01

让你的资产学会”分身术“02

天融信2020大数据发展之路

03

攻防演练布防新计

04

基于数据中台的安全运营解决方案发布

05

攻防演练指挥方案的进阶之道


热点推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存