高級(jí)威脅檢測(cè)
互聯(lián)網(wǎng)的快速發(fā)展,將網(wǎng)絡(luò)空間與政治、經(jīng)濟(jì)、文化、社會(huì)軍事等國(guó)家安全領(lǐng)域緊密聯(lián)系起來(lái)。5G、云計(jì)算、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新興技術(shù)發(fā)展助推網(wǎng)絡(luò)攻擊的深化泛化,隨著網(wǎng)絡(luò)攻擊的發(fā)展和國(guó)際局勢(shì)的加劇,組織性復(fù)雜、計(jì)劃性高效和針對(duì)性明確的攻擊活動(dòng)更趨常態(tài)化,高級(jí)持續(xù)性威脅(APT)攻擊成為網(wǎng)絡(luò)空間突出風(fēng)險(xiǎn)源。我國(guó)是APT主要受害國(guó),受害對(duì)象涵蓋我國(guó)政府、金融、能源、運(yùn)營(yíng)商、航空航天、軍事、經(jīng)濟(jì)、教育、科研等關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng),活躍時(shí)間長(zhǎng)達(dá)幾年甚至十幾年。
APT攻擊從偵察、入侵、持久化駐留、橫向移動(dòng)、滲出等階段,攻擊組織不斷改進(jìn)進(jìn)攻流程和技術(shù),以期提升攻擊成功率。這些攻擊具備潛伏時(shí)間長(zhǎng)、“后門(mén)”利用多、攻擊目標(biāo)“精”、跳板部署廣等特點(diǎn)。傳統(tǒng)安全防御技術(shù)手段和思路面臨著諸多挑戰(zhàn),安全防御容易被繞過(guò),具有針對(duì)性的高級(jí)攻擊,傳統(tǒng)安全防御設(shè)備無(wú)法識(shí)別。
解決方案
科來(lái)高級(jí)威脅檢測(cè)方案,是以基于全流量的安全智能分析為核心,以全流量采集和存儲(chǔ)為基座,形成對(duì)于未知威脅的敏銳發(fā)現(xiàn)能力。
APT具有潛伏和持續(xù)性特點(diǎn),數(shù)據(jù)的分析和存儲(chǔ)需要適應(yīng)巨大的時(shí)間跨度;單點(diǎn)單攻擊檢測(cè)無(wú)法形成對(duì)APT攻擊的判定,需通過(guò)對(duì)歷史數(shù)據(jù)回溯,并進(jìn)行關(guān)聯(lián)分析;為了完全發(fā)掘APT的特征,還需對(duì)數(shù)據(jù)進(jìn)行二次篩選和分析。
基于全流量的安全智能分析,是從海量的網(wǎng)絡(luò)流量中進(jìn)行數(shù)據(jù)挖掘,通過(guò)對(duì)不同事件之間的關(guān)聯(lián)關(guān)系進(jìn)行分析,識(shí)別出可能存在的攻擊鏈和攻擊者的行為模式。通過(guò)已發(fā)現(xiàn)的特征或知識(shí),對(duì)未知的APT進(jìn)行判定、預(yù)測(cè)和泛化,建立模型和算法對(duì)新出現(xiàn)的攻擊進(jìn)行快速識(shí)別和響應(yīng),提高整體的安全防護(hù)能力。
方案價(jià)值
監(jiān)測(cè)發(fā)現(xiàn)關(guān)鍵數(shù)據(jù)竊取
基于流量特征和行為模式識(shí)別數(shù)據(jù)竊取行為,通過(guò)對(duì)流量數(shù)據(jù)的關(guān)聯(lián)分析追蹤數(shù)據(jù)竊取的路徑。通過(guò)建立針對(duì)數(shù)據(jù)竊取行為的規(guī)則和模型,對(duì)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)分析和匹配,可以準(zhǔn)確識(shí)別出潛在的數(shù)據(jù)竊取活動(dòng)。
供應(yīng)鏈攻擊行為發(fā)現(xiàn)
通過(guò)部署關(guān)鍵節(jié)點(diǎn)和網(wǎng)絡(luò)邊界流量的監(jiān)測(cè)與深度分析,可發(fā)現(xiàn)通過(guò)供應(yīng)鏈攻擊方式,以及幫助發(fā)現(xiàn)供應(yīng)鏈攻擊的其他特征,如異常的網(wǎng)絡(luò)連接和傳輸行為、惡意軟件傳播等,識(shí)別出攻擊者的行為模式和手段,從而采取相應(yīng)的防御措施。
數(shù)據(jù)出境行為分析
通過(guò)在關(guān)鍵部位配置高級(jí)安全分析能力,在對(duì)外提供應(yīng)用、底層涉及軟件、專(zhuān)業(yè)工業(yè)設(shè)備時(shí),深度分析通過(guò)合理的運(yùn)維或數(shù)據(jù)上報(bào)等機(jī)制和網(wǎng)絡(luò)行為的流量,發(fā)現(xiàn)數(shù)據(jù)回傳的網(wǎng)絡(luò)行為。
溯源取證
通過(guò)分析存儲(chǔ)的網(wǎng)絡(luò)全流量數(shù)據(jù),可以追蹤攻擊者的行動(dòng)路徑和攻擊路徑,幫助了解攻擊者的意圖和目的;重構(gòu)網(wǎng)絡(luò)通信的整個(gè)過(guò)程以獲取關(guān)鍵證據(jù),用于溯源和取證。
方案優(yōu)勢(shì)
協(xié)議識(shí)別解碼能力
決定了“動(dòng)作小”的發(fā)現(xiàn)能力協(xié)議識(shí)別解碼能力決定了對(duì)各種網(wǎng)絡(luò)通信協(xié)議的理解、分析和還原能力。科來(lái)的全協(xié)議解碼能力,幫助檢測(cè)出隱藏在網(wǎng)絡(luò)中的“極微小”流量惡意行為,提高對(duì)APT攻擊的發(fā)現(xiàn)能力,獲取更多關(guān)于通信內(nèi)容、目標(biāo)地址、攻擊者指紋等信息。
全流量實(shí)時(shí)采集存儲(chǔ)能力
決定了“潛伏周期長(zhǎng)”的回溯能力科來(lái)方案具備全流量實(shí)時(shí)采集和存儲(chǔ)能力,對(duì)于“潛伏周期長(zhǎng)”的高級(jí)攻擊,提供足夠的數(shù)據(jù)支撐用于回查和檢索相關(guān)的網(wǎng)絡(luò)流量數(shù)據(jù),從而追溯到攻擊的起源和行為。同時(shí),領(lǐng)先的數(shù)據(jù)索引能力,能夠高效定位和檢索特定事件或時(shí)間段的網(wǎng)絡(luò)流量數(shù)據(jù),提升回溯的準(zhǔn)確性和效率。
相關(guān)產(chǎn)品
查看行業(yè)應(yīng)用實(shí)踐
方案咨詢(xún)
科來(lái)二十余年專(zhuān)注網(wǎng)絡(luò)流量分析技術(shù)的研究與推廣,致力于將數(shù)據(jù)價(jià)值發(fā)揮最大化。我們將為您提供技術(shù)領(lǐng)先的產(chǎn)品,并分享科來(lái)多年積累的實(shí)戰(zhàn)經(jīng)驗(yàn),助力您成功的數(shù)字化轉(zhuǎn)型與更進(jìn)一步的核心競(jìng)爭(zhēng)優(yōu)勢(shì)。