• 企业介绍
  • 荣誉资质
  • 联系我们
  • 新闻动态
  • 安全报道
  • 加入我们

企业动态/正文

东巽科技入选《中国网络安全APT检测市场顶级供应商》

2021-04-22 09:31

近日,国内第三方网络安全研究机构数说安全经过深度调研、详细评估,发布了《中国网络安全APT检测市场顶级供应商》评估报告。目前国内APT检测产品厂商70多家,经过行业产品、技术专家等多个环节详细评估,东巽科技最终获得“中国网络安全APT检测市场顶级供应商”荣誉称号。


0.png

图片来源-数说安全


该报告从以下7个方面近30个功能特性对APT产品进行了全面评估,下面列举东巽科技APT产品优势,希望客户在选购APT产品时提供一些更有价值的参考。

01场景适应性

东巽科技APT产品优势

东巽科技是国内专注于APT攻击检测领域的安全厂商之一,也是较早将机器学习、行为分析等技术引入到未知威胁检测领域的产品之一,除了标准的APT检测产品外,东巽科技还可以提供沙箱、全流量分析、便携式APT、威胁分析平台等多种解决方案。满足金融、运营商、军工、政企、能源电力等行业场景化需求。匹配内网横向渗透监测、5G网络、IPv6环境等业务场景化需求。产品支持软硬件部署、云部署、集群部署等多种部署方式,通过对网络进出流量进行监测,深度发现和分析零日漏洞(0DAY)、恶意代码、黑客控制、渗透行为等攻击及控制行为。


02文件检测能力

东巽科技APT产品优势

文件检测能力可作为单一产品独立存在,也可作为功能模块整合为APT产品的关键技术支撑,该能力综合静态特征检测、沙箱动态行为检测、威胁情报检测、机器学习判定、防逃逸对抗等技术,对高级网络攻击、勒索软件场景中广泛采用的钓鱼邮件、高级木马等恶意代码具备优秀的检出能力和低误报率。动态沙箱仿真通过虚拟化环境模拟运行病毒文件来捕获文件所有执行行为,通过记录文件联网的数据包来进行威胁分析,最后结合HASH检测、行为分析、内容分析、YARA检测、CVE检测、机器学习检测、机器学习判定7大引擎实现已知、未知威胁、样本家族识别,形成完整的分析报告。


03流量检测能力

东巽科技APT产品优势

东巽科技以高级网络威胁发展为锚,从Kill Chain的多阶段重塑“断链式“APT防御技术。产品首先通过采集模块捕获网络数据报文,然后还原成会话或文件信息,接着通过八大检测引擎,从Kill Chain各个不同阶段进行闭环检测。其中:侦查阶段,采用特征匹配方式识别口令爆破、端口扫描、漏洞探测;投递阶段,采用动静态结合检测技术,检测如邮件攻击、水坑攻击等典型APT攻击;安装植入和利用阶段,利用特征检测和行为检测技术识别恶意文件、0day及Nday漏洞利用;控制和渗透阶段,通过主机控制检测、网站控制检测、隐蔽信道检测、DGA域名检测等功能,检测远程控制、数据回传和内网攻击。因此,相比常见的单点检测技术的产品,更容易发现网络攻击行为,尤其是钓鱼/水坑攻击、0Day/nday漏洞攻击、免杀木马、特征木马、隐蔽信道等新型网络攻击行为。



04威胁分析与取证溯源能力

东巽科技APT产品优势

东巽科技APT产品提供时间序列分析、KillChain分析、实体关联分析、ATT&CK技术点分析等基于事件、时间、网络攻击杀伤链、关联关系等多维度的分析模型,可以从多种分析视角看清攻击过程、路径、手段、背景等。同时产品还具备口令专项、邮件检测、非法访问等十多种实战化场景分析,能快速识别特定场景下的攻击行为。在此基础上部署东巽全流量产品以全流量为数据基础,通过对原始网络流量的实时分析,更可以实现告警从初始发生到产生结果,从网络到终端的全生命周期追踪,对网络攻击和异常行为进行线索搜集,及精细化溯源定位。



05协同联动能力

东巽科技APT产品优势

在网络安全运营过程中,有检测有响应才能形成闭环。东巽APT产品能与多家防火墙设备联防联动,对于系统中发现的各类威胁事件,能通过自动或者手动的方式向防火墙下发阻断策略,实现威胁处置。网络管理员也可按照IP五元组(即源地址、源端口、目的地址、目的端口以及协议类型)自定义阻断信息。除此之外,也可将告警、文件检测、失陷主机、漏洞、Web攻击等检测结果通过kafka、syslog等方式上传,与安全分析平台、态势感知、威胁情报等安全设备整合联动,提升企业或组织整体安全方案防护能力。



06威胁情报能力

东巽科技APT产品优势

东巽科技拥有专业的安全研究团队,曾陆续追踪、溯源多起APT组织事件。研究团队通过捕获APT组织、病毒家族分析、漏洞挖掘、IOC情报收集、数据情报共享等多种方式汇聚威胁情报,一方面在安全研究时不断扩充威胁分析知识图谱;另一方面将APT攻击、蠕虫木马、后门软件、僵尸网络、勒索软件、恶意代码等确认后的情报信息注入到产品中,构建信誉库和黑白名单防护机制,不断扩展引擎的检测效率,产品多次现网测试表现出高检出、低误报的能力优势。威胁情报数据支持每周通过离线或在线形式进行更新,同时产品支持用户导入自生产和获得的威胁情报数据来扩充检测能力。



07管理与易用性

东巽科技APT产品优势

产品支持从三权分立模式进行管理,以满足分析师、管理员、审计员等不同用户使用需求。使用方面产品支持从攻击源、被攻击地址、攻击链、时间序列、重点资产风险等多视角以可视化方式呈现全局安全态势;同时也支持以告警事件为线索辅以威胁分析模型,通过搜索、筛选、关键攻击行为高亮显示、原始数据包下载、资产信息匹配等功能进行深度关联分析,帮助用户确认攻击行为、攻击所处阶段、还原攻击过程和当前受影响范围,以便及时作出响应。

从日常运维和管理来看产品支持对检测策略进行配置,除具备报表管理、报表查询等基础功能外,还支持定制自动化网络安全分析报告,内容涵盖:全网安全态势分析、重点事件分析、总结和建议、安全事件详情等等。报告可直接用于日常安全汇报工作。


微信图片_20210422093122.gif

微信图片_20210422093126.jpg