首页 > 解决方案 > 金融办公网APT攻击防护方案

金融办公网APT攻击防护方案

产品文档

一.  背景和需求

银行办公网运行着日常办公相关业务系统,如OA系统、邮件系统等,系统稳定运行是正常办公的保证。随着网络攻击技术的发展,银行办公网面临着更为严峻的安全挑战。

1、  除了面临传统的病毒、木马等恶意代码威胁,利用U盘、光盘等文件传输介质带入的高级恶意代码威胁严重威胁的办公网安全。这类高级恶意代码具有极强的免杀、隐藏、感染、破坏能力,可以躲避杀毒软件的查杀、快速扩散,可通过定时爆发机制破坏系统及办公数据。

2、  现今流行的高级持续性威胁(简称APT)攻击则更具威胁性,典型的攻击方式有邮件攻击,利用未知漏洞捆绑恶意代码作为附件进行的邮件攻击,可以快速穿透传统的安全防御到达内网办公终端,通过控制办公终端,进一步渗透内网服务器,窃取、控制、破坏内网信息系统数据。

面对新型威胁,2016627日银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》指出:政策性银行、大型银行、股份制银行、邮储银行要针对高级持续性威胁、精准式网络攻击进行安全评估,对威胁和攻击进行分类场景设定,有针对性的排查系统漏洞、分析脆弱性;形成应对此类攻击的防护措施专项评估报告。

为此,银行办公网需要采用有针对性的防御措施补足现有安全防护体系补足。新的安全防护措施需要能够做到:

1、  长期监控针对办公网发起的鱼叉式钓鱼攻击、水坑攻击、文件捆绑共享传染、U/光盘摆渡攻击等APT入侵行为,实时的检测、预警、取证;

2、  快速检测和定位办公网络中已经被恶意代码非法控制的终端主机,避免被上传高级“定时炸弹”攻击模块,而演变为数据摧毁、业务瘫痪攻击;

3、  对网络内存在的流量异常、网络行为异常等可疑主机进行快速核查,批量进行终端信息采集、深度分析、取证分析等处置工作;

4、  对重要服务器、信息系统资产进行重点监控,检测Web攻击、远程植入攻击、网页挂马攻击等网络攻击渗透行为,检测网站后门控制、僵木蠕远程控制等非法控制行为, APT威胁态势感知提供安全威胁数据支撑。

二.  方案设计

2.1  概述

通过在银行办公网建立一套覆盖网络流量威胁检测(铁穹高级持续性威胁预警系统)和终端威胁检测(明镜木马深度检测系统)的防护方案,实时检测网络攻击及网络内部的高级恶意代码等APT攻击,定位和处置内部被植入恶意代码的主机。尤其针对未知木马、后门、蠕虫等APT攻击的检测和处置。

2.2  方案组成

如下图所示。铁穹旁路部署在内、外部各网络边界,明镜终端探针根据需要随时安装在各终端上。

1. 总行部署东巽铁穹产品。在总行内部部署铁穹产品,检测办公终端可能存在的高级恶意攻击行为,同时检测终端接收邮件、共享文件等各类APT入侵行为。

2. 内部邮件和文件服务器前部署铁穹。集中检测内部通过内部邮件或文件进行渗透传播的各类恶意代码攻击,防范常见的APT入侵途径。

3. 内网重要应用/业务服务器前部署铁穹。针对重要业务实施重点防护。

4. 各分行部署东巽铁穹产品。在各分行连接总行的网络边界位置分别部署东巽铁穹产品,帮助各分行内网对来自总行的攻击进行检测和分析,同时及时监测本内网是否有发起针对总行办公网的攻击。分析其中的高级攻击行为。

5. 在总行部署东巽铁穹监控中心设备。与总行和各分行部署的铁穹产品进行关联,管控各铁穹产品,如收集告警信息、查看铁穹产品工作状态、升级铁穹产品规则库等。

6. 总行及各分行内网分别部署明镜木马深度检测系统。明镜终端探针取证内网各终端上的可疑数据,集中发给内网的明镜分析中心,集中判定各类木马、蠕虫、间谍软件等,深度分析APT攻击中的高级恶意代码。

7. 高级安全服务:东巽安全服务团队基于部署的东巽APT产品,提供定期(月/季)木马巡检服务,高级木马人工分析服务,帮助清除内网各类恶意代码和攻击威胁。

2.3  功能

1.   攻击流量检测

通过网络流量检测已知/未知恶意文件攻击、钓鱼邮件/网站攻击、WEB渗透攻击、已知/未知恶意代码活跃行为、异常访问和通信行为等威胁。

2.   失陷主机定位

通过网络流量分析定位被攻击并植入恶意代码的失陷主机。

3.   攻击态势感知

多维可视化分析和呈现视角。支持时间、地理位置的场景维度;支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度;支持趋势、分布、排名、统计等宏观分析视角。

4.   铁穹和明镜的闭环分析

支持铁穹检测和定位失陷主机和未知木马可以行为,明镜进行深度的取证分析和判定。

5.   终端木马行为痕迹深度取证

终端探针工作在驱动层,对木马执行涉及的终端进程、文件、服务、内存、注册表、钩子、网络等可疑数据进行全面、深度的数据采集和取证。

6.   终端已知/未知的木马、间谍、后门等恶意代码深度分析

基于终端取证数据,分析中心采用木马行为分析、全球威胁情报检测、文件静态检测等引擎深入分析和判定各类已知和未知的木马、间谍、后门、蠕虫等终端恶意软件。

7.   灵活的终端木马分析方式

既支持对终端数据的实时分析,也支持历史数据的反复回溯分析。既支持对人工离线采集数据导入分析中心分析,也支持对终端在线采集数据的自动上传分析。

2.4  特点

1、  全面的威胁检测

铁穹基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率。

2、  未知威胁和APT攻击检测

采用木马流量和终端的行为模式分析技术、机器学习分析、动态虚拟执行分析、全球威胁情报等新一代动态威胁分析技术,深度分析未知攻击和终端木马。

3、  决策导向的可视化

独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸。

4、  独有的终端未知木马分析

国内独有的采用终端取证、木马行为模式分析,结合全球威胁情报技术,深度分析未知木马。

5、  联动网络检测,落地闭环处置

可配套铁穹和全球眼,形成网络检测和终端落地的联动方案,实现安全闭环。

6、  灵活部署方式

铁穹支持单机、集群及分布式部署、集中管理等方式,适应不同场景的部署。

 

三.  产品配置

3.1  产品配置清单

1.   根据现网流量大小和部署位置,选择合适的铁穹产品型号部署:

1)      百兆:DX-TQ500PDX-TQ500E

2)      千兆:DX-TQ1000PDX-TQ1000E

3)      多千兆:DX-TQ3000PDX-TQ3000E

2.   明镜木马深度检测系统除了系统软硬件的配置外,需要确定终端数目,以便购买 XXX数量的终端授权。