近日,360政企安全集团首次公开发布了关于NSA(美国国家安全局)针对中国境内目标所使用代表性网络武器——量子(Quantum)攻击平台的技术报告,再度证实了美国向全球发起的军事化网络打击。
与常规的黑客攻击破坏活动不同,该平台中的Quantum(量子)注入攻击是NSA针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,主要针对国家级网络通信进行中间劫持。360政企安全集团经分析发现,NSA已利用该方式针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构,进行了长达十余年时间的秘密黑客攻击活动。
鉴于此次量子攻击对我国国家安全、公共安全、以及个人信息安全造成的严重威胁,360政企安全集团第一时间开启了全面“狙击”,并推出了从“云、管、端、服、脑”五个维度,覆盖攻击的事前、事中、事后三个关键阶段,实现多方位、全流程的监测与防护方案。- “云”即将360云端安全大脑形成威胁情报、云端态势感知、云端查杀等多种云端能力全面赋能给关基单位与政企客户;
- “管”即在网络管道侧针对FoxAcid(酸狐狸)发送的各种0day漏洞及定点批量攻击进行全流量检测与响应;
- “端”即针对在主机侧植入的各种复杂后门程序病毒木马进行检测、拦截及查杀;
- “服”即通过安全服务及专家团队进行事前的自查与加固、现场应急与响应处置;
- “脑”即利用本地安全大脑进行各安全设备与系统日志的关联分析、生成检测规则、进行SOAR自动化处置等,从而形成闭环响应。
360反境外攻击解决方案框架
360本地安全大脑是360基于云计算、大数据、人工智能等新一代信息技术,将360云端安全大脑核心能力本地化部署的一套统一安全平台。基于这个平台通过模块化组合开发了一系列场景化解决方案。针对高危漏洞的攻击,运营人员可根据安全告警,结合产品能力实现对攻击行为的分析、溯源、处置。
针对此次攻击,360本地安全大脑第一时间发布安全更新,建立关联分析规则对攻击产生的数据做针对性分析,实现对该攻击的主动检测,用户只需升级到最新的安全规则包,即可获得相应的检测、防护能力。
终端是APT攻击过程中的重要载体和跳板,在量子攻击的全过程中,终端始终处于重要目标位置。在对抗量子攻击时,360终端安全产品拥有漏洞利用防护、恶意样本下载拦截、终端恶意行为检测等关键能力。
在漏洞利用防护方面,360终端安全管理系统利用基于实战的云主防体系赋能,独家研发的漏洞入侵拦截等功能,提供基于网络层的攻击拦截能力,能实时捕获量子攻击系统使用FoxAcid(酸狐狸)攻击武器发送的各类浏览器0day(零日)漏洞;
在恶意样本下载拦截方面,360终端安全管理系统能识别在上网终端中植入的VALIDATOR(验证器)后门程序并实现快速处置;在终端恶意行为检测方面,360终端安全管理系统能与360终端安全检测与响应系统(EDR)实现模块化集成,采集并记录敏感的进程、文件、注册表、网络和系统行为等关键行为事件,能够对量子攻击系统在目标终端的攻击指标进行全面侦测,主动发现高级持续攻击行为,通过持续监测终端活动行为、检测安全风险、深度调查威胁风险、提供补救响应等手段,降低量子攻击最终达到目的可能性,实现高效防御效果。
目前,针对量子攻击的中间人劫持攻击场景的全阶段及各阶段所表现出的特定行为特点,360NDR均具备检测能力。
360高级持续性威胁预警系统(NDR)是360自主研发的、通过流量分析结合全球威胁情报、行为分析、机器学习、虚拟执行、关联分析等新一代安全技术对各类型网络攻击行为(尤其是新型/未知威胁行为、APT组织活跃行为)进行深度检测和分析的抗APT类产品。针对类似量子攻击的APT攻击难以发现、隐蔽性强等特点,产品采用“最大化检测”、“针对性分析”、“场景化关联”结合的理念,综合采用8种检测引擎最大化发现APT攻击线索,利用上下文流量关系分析判断攻击结果,以特定APT组织活动情报为基础进行“针对性”分析,通过攻击场景的内在关联分析出APT的全链过程。依托于360云端安全大脑的赋能,360资产管理与威胁探测系统(天相)能够基于多种资产发现能力,帮助政企客户全面梳理网络中运行的设备,发现“孤岛资产”、“僵尸资产”等未知资产,并和360终端安全、NDR、本地安全大脑等防护、监测下的资产进行比对,快速排查未纳入控制措施范围内的资产,避免未知攻击的发生,全面避免量子攻击影响。此外,360信息安全资产统一管理系统能够基于多源资产数据汇聚能力,高效利用资产发现数据和企业现有资产数据源,形成权威、可靠的资产库。平台面向本地安全大脑、NDR输出资产信息,能够在攻击发生时,快速定位量子攻击所影响到的业务、责任人信息以及其关联的其他设备、业务情况,全面测绘攻击影响范围,支撑安全团队根据业务重要性快速制定应急响应方案,缩短攻击响应时间。
面对如此严峻的攻击形势,360安全服务可针对量子攻击提供威胁检测及分析支持服务,结合相关产品告警,帮助政企客户深入排查其受影响范围,及时升级政企用户的防护设备策略,提供多层次、多维度的安全服务纵深防御体系。
联系方式:电话:400-0309-360
邮箱:anfu-b@360.cn