校园网APT防护方案

背景与需求

2016年2月教育部办公厅下发了《关于加强信息技术安全工作的紧急通知》,明确要求各教育单位“一、切实落实信息技术安全工作责任制。二、加强对信息系统的统筹管理。三、加快推进信息系统定级备案工作。四、加强对VPN的管理。五、加强信息技术安全事件的应急管理。”根据文件精神,教委领导批示:请信息中心充分分析我系统信息安全形势,抓好落实,责成信息中心研究制定信息安全管理制度,加强信息安全风险管理,加强信息安全预处理,降低信息安全事故发生率。

随着攻击者的手段的多样化,攻击者由传统的“某个人”单一的攻击手段转变为“一个组织”利用先进的攻击手段对特定目标进行长期持续性网络攻击,难以防御,这种攻击主要采用现有检测体系难以检测的技术(0DAY漏洞、NDAY漏洞、已知漏洞变形、特种木马等),组合各种包括社会工程学、钓鱼、供应链植入等在内的多重手段,有针对性地对目标发起攻击,而基于事后签名机制的传统产品如IPS、IDS、杀毒软件 、防毒墙、安全网关等,在面对这种攻击时,这种事后签名机制几乎全部失效。当用户遇到互联网的非法攻击和入侵的时候,势必对各应用系统产生影响,造成访问效率下降、重要信息被窃取,影响巨大。

解决方案

根据学校对校园网安全防护需求,在校园网络中部署APT检测防护设备,用以检测网络中可能存在的APT攻击行为,消除APT隐患。

整个方案由一台铁穹设备组成。在校园网络出口的交换机上,旁路部署铁穹防护系统,对校园网络进行安全检测。

方案功能

1、恶意文件攻击检测
  • 对流量中邮件收发、文件上传下载及传播、网站访问等应用中的各类文件进行还原,使用机器学习、虚拟化漏洞检测等引擎分析其中是否包含已知/未知漏洞的攻击行为
2、钓鱼邮件/网站攻击检测
  • 对流量中的伪造钓鱼邮件、钓鱼网站等结合社工攻击的典型APT攻击方式进行检测
3、已知/未知恶意代码活跃行为检测
  • 采用多种动态及静态检测技术对流量中各类已知/未知恶意代码(木马、僵尸、蠕虫、WEBSHELL等)的传播、植入、活跃的全过程活动行为进行深度分析和预警
4、失陷主机定位
  • 基于木马、后门等的外联通信行为检测,快速定位内网被攻陷的主机和威胁源
5、受控情况分析
  • 针对常见的木马、后门家族,解析其流量行为中的通信协议,分析对失陷主机发起的数据窃取、文件篡改、内网渗透等各种远控指令
6、威胁关联分析
  • 在海量威胁和线索数据的基础上,进行基于Killchain攻击链、行为模式、场景和资产等关联分析,挖掘隐蔽的高级威胁及攻击行为
7、攻击事件预警
  • 对上述攻击事件进行实时预警,给出威胁类型、程度、威胁源、受害者、发现方式等信息
8、可视化分析和态势感知
  • 多维可视化分析和呈现视角。支持时间、地理位置的场景维度;支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度;支持趋势、分布、排名、统计等宏观分析视角

方案特点

1、基于杀伤链多个阶段的威胁检测,更多的可能
  • 基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率
2、独特的新一代检测技术,更有深度
  • 内置机器学习分析、虚拟执行分析、木马通信行为分析等新一代动态威胁分析技术,有效扩展了分析深度
3、决策导向的可视化,拒绝华而不实的炫目设计
  • 独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸