办公网APT防护方案电力

背景与需求

电力行业是国民经济的基础产业,是一切电子设备正常运行的基础,保证持续、高效的电力供应是关系到国计民生的大事,也是电力部门工作注目的焦点。

最近几年,针对电力行业的网络攻击日趋频繁,办公网是与互联网直接相连的网络,攻击者通常利用办公网作为跳板攻击电力系统核心网络,因此办公网作为防护APT攻击的第一道防线,必须采取切实有效的安全防范措施,对网络进行有效防范,防止黑客和病毒的入侵,确保电厂的稳定运转。

解决方案

根据电厂网络安全防护需求,在办公网络中部署APT检测防护设备,用以检测网络中可能存在的APT攻击行为,消除APT隐患。

整个方案由一台铁穹设备组成。在办公网络出口的交换机上,旁路部署铁穹防护系统,对办公网络进行安全检测。

方案功能

1、恶意文件攻击检测
  • 对流量中邮件收发、文件上传下载及传播、网站访问等应用中的各类文件进行还原,使用机器学习、虚拟化漏洞检测等引擎分析其中是否包含已知/未知漏洞的攻击行为
2、钓鱼邮件/网站攻击检测
  • 对流量中的伪造钓鱼邮件、钓鱼网站等结合社工攻击的典型APT攻击方式进行检测
3、已知/未知恶意代码活跃行为检测
  • 采用多种动态及静态检测技术对流量中各类已知/未知恶意代码(木马、僵尸、蠕虫、WEBSHELL等)的传播、植入、活跃的全过程活动行为进行深度分析和预警
4、失陷主机定位
  • 基于木马、后门等的外联通信行为检测,快速定位内网被攻陷的主机和威胁源
5、受控情况分析
  • 针对常见的木马、后门家族,解析其流量行为中的通信协议,分析对失陷主机发起的数据窃取、文件篡改、内网渗透等各种远控指令
6、威胁关联分析
  • 在海量威胁和线索数据的基础上,进行基于Killchain攻击链、行为模式、场景和资产等关联分析,挖掘隐蔽的高级威胁及攻击行为
7、攻击事件预警
  • 对上述攻击事件进行实时预警,给出威胁类型、程度、威胁源、受害者、发现方式等信息
8、可视化分析和态势感知
  • 多维可视化分析和呈现视角。支持时间、地理位置的场景维度;支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度;支持趋势、分布、排名、统计等宏观分析视角

方案特点

1、基于杀伤链多个阶段的威胁检测,更多的可能
  • 基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率
2、独特的新一代检测技术,更有深度
  • 内置机器学习分析、虚拟执行分析、木马通信行为分析等新一代动态威胁分析技术,有效扩展了分析深度
3、决策导向的可视化,拒绝华而不实的炫目设计
  • 独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸