市场简评 近年来境外各类政府背景APT黑客组织不断加强对我国网络攻击,窃取大量重要敏感信息,极力攻击试图控制我国核心设备和关键设施,势头猛烈,威胁巨大,严重危害我国网络空间国家安全和利益。 ——《法制日报》2020.4.15 研究依据 “高级可持续威胁安全监测产品安全技术要求和测试评价方法(试行)(公信安[2014]786号)”是目前国内APT安全监测产品的测试和评价标准,具备销售许可证的厂商有60家,标准主要内容和产品分级依据说明如下: 典型应用场景 应用场景1:(奇安信提供) 客户关注点 1.传统安全设备通常都无法对APT攻击进行有效的检测并生成告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功; 2.威胁情报数据得不到有效利用,对于攻击事件的运营和分析仍处于事后审计的阶段,无法及时发现安全威胁; 3.对未知威胁和异常行为发现能力单一,发现能力不足,仅仅依赖于某一种检测手段,检测效果不明显; 4.对威胁事件的回溯取证分析证据不足时,无法提供强有力的判定依据; 5.对告警数据的响应处置难以形成闭环,常常需要多模块、多系统间多次跳转才能完成一次处置动作。 产品关键特性 1. 天眼系统内置ATT&CK模型和可视化狩猎分析工具,全面助力已知威胁的快速发现和未知威胁的自主拓线分析; 2. 天眼系统结合奇安信自研威胁情报系统,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供天眼系统使用的威胁情报; 3. 天眼系统以攻防渗透和数据分析为核心竞争力,聚焦威胁检测和响应,为客户提供安全服务与产品解决方案,为安全人员提供一套在监测预警、威胁检测、溯源分析和响应处置上得心应手的威胁检测平台; 4. 天眼系统结合全包存储系统,实现了网络原始数据进行全流量完整保存,支持还原网络事件发生时的全部网络通讯内容,实现数据包级的数据取证和责任判定,大幅提升威胁事件溯源的准确性; 5. 天眼系统提供安全自动化编排功能,用户可根据实际业务需要添加任务脚本、联动服务以及工作流程,可根据安全和业务需求定制处置流程,支持针对告警数据直接进行处置,提升响应处置的速度与准确性。 客户关注的主要功能 1. 威胁事件精准检测能力,可及时发现威胁事件,告警详情中可展示威胁事件的攻击成功与否、影响面、响应和处置建议的说明; 2. 分析溯源和取证能力,可提供实时的日志检索功能,可基于告警数据进行取证分析,判定告警数据的准确性; 3. 响应处置能力,对于告警事件可提供自动或手动的运营处置功能,进行闭环的威胁事件处置; 4. 可视化展现能力,可提供威胁态势的总体大屏展现,可直观了解系统整体安全状态与安全状态趋势。 应用场景2:(金睛云华提供) 客户关注点 1.网络中的加密流量越来越多,同时黑客也常常利用加密技术进行恶意通讯,而流量一旦被加密,所有基于特征检测的防火墙、IDS/IPS、WAF等传统安全设备全部失效。 2.零日威胁层出不穷,恶意代码千变万化,高级逃逸/躲避技术日新月异,基于特征检测的防火墙、防病毒、入侵检测等传统安全手段基本失效。 3.以传统IDS为代表的特征检测类产品告警量大,误报率高,已基本沦为摆设,仅用于满足等保合规性要求。 4.传统安全检测技术大大落后于威胁发展速度,总是先有新的威胁或变种出现,经过一段时间之后才能被检测到,在此之前只能被动挨打,亡羊补牢。 5.APT攻击手段高级,持续时间长,隐蔽性强,对整个安全体系造成严重挑战。 产品关键特性 1.集成网络流量分析、威胁情报IOC(入侵指标)、网络入侵检测、WEB攻击检测、网络行为检测、加密流量分析、隐蔽隧道检测、病毒木马检测、基因图谱检测、沙箱行为检测、人工智能检测、资产威胁画像、攻击链关联分析等各种检测分析技术。 2.既具备传统的特征检测技术,也具备新兴的行为检测技术,还具备基于人工智能的检测技术,内置的AI检测模型不少于10种。 3.既能够检测已知威胁,也能够检测未知威胁及威胁变种。 4.既能够对未加密的流量进行检测分析,也能够对加密的流量进行检测分析。 5.既能够对明文的C&C通讯进行检测分析,也能够对各种隐蔽隧道的通讯进行检测分析。 客户关注的主要功能 1.针对未知威胁的检测分析能力。 2.针对恶意代码变种的检测分析能力。 3.针对加密流量的检测分析能力。 4.针对APT攻击链的关联分析能力。 5.基于全流量的回溯分析取证能力。 应用场景3:(新华三提供) (1)互联网威胁监测,部署在互联网出口位置。 (2)内网网络安全态势监控,部署在机构内网不同区域的边界。 (3)办公网用户网络行为监控,部署在办公网出口。 (4)文件/邮件服务器专项防护,部署在邮件服务器或邮件服务器前面。 (5)独立威胁检测中心,作为一个独立的威胁检测中心而存在。 客户关注点 APT攻击的出现,使得被攻击者防不胜防,具体体现有: 1、攻击具有极强的隐蔽能力,针对零日漏洞的攻击利用传统的安全设备,如防火墙,没有有效检测手段。 2、攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,这些信息会被攻击者利用,精心构造攻击步骤。如果不对操作行为进行还原验证,很可能会导致安全事故。 3、用户收到可疑文件后,需要一个可控的运行环境,在该环境下能够监控文件的所有动作,限制文件的访问,防止对本地环境的破坏。 产品关键特性 1、检测性能。模拟沙箱能够根据各类待检测文件占比,自动调整不同类型的沙箱配比,达到资源最大化利用。 2、恶意文件逃逸。通过模拟恶意文件所需要的运行环境。防止逃避检测。 3、HTTP追踪溯源。通过对“X-Forwared-For”字段进行分析,还原真实攻击IP,有效进行攻击溯源。 APT市场厂商列表 注:销售许可证书有效期截止至2020年第一季度末。 |
|
来自: kaller_cui > 《网络空间》