集团办公外网总体APT防护方案银行

背景与需求

2016年6月27日银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》(简称“通知”)正式发布。通知指出:政策性银行、大型银行、股份制银行、邮储银行要针对高级持续性威胁、精准式网络攻击进行安全评估,对威胁和攻击进行分类场景设定,有针对性的排查系统漏洞、分析脆弱性;形成应对此类攻击的防护措施专项评估报告。

不同与以往的病毒、木马攻击,高级持续性威胁(简称APT)攻击具有针对性,渗透力强,潜伏期长,攻击覆盖面广,传统技术措施很难进行辨认,同时造成的损失更加庞大。从近几年由APT攻击造成的安全事件可以看出,APT攻击具有很强的针对性,已经成为网络安全的首要威胁,而由于银行业金融机构的特殊性,已成为APT攻击的主要目标。APT攻击无法通过单一的安全产品和安全技术进行有效的检测、防护,需结合现有的安全防护体系,补充专业的高级持续性威胁分析系统,并完善管理体系,只有建立以安全技术与安全管理相结合的纵深防护体系,才能抵御APT攻击的威胁。

与互联网直接相连的银行办公外网是APT防护的第一道防线,是APT整体纵深防护体系的重要一环,需要具备实时感知APT攻击行为,及时预警能力。

解决方案

方案根据“纵深防御”原则,在银行总部和各重要分支机构办公外网进行统一APT防护建设,实现集团办公外网整体APT监测防护能力。

方案由核心部分和人工服务组成。其中:
  • 核心部分为铁穹系统检测设备和铁穹监控中心设备两部分组成。根据办公外网出口流量大小,选择不同型号的铁穹检测设备,旁路部署在集团总部办公外网出口和重要分支机构办公外网出口交换机上,实时集团总部办公外网出口和各分支机构办公外网出口流量检测,分析流量中可能存在的APT攻击行为。集团总部核心交换机上部署铁穹监控中心设备,负责收集各铁穹检测设备的实时告警信息,汇总告警信息、管控铁穹检测设备。
  • 人工服务提供铁穹设备巡检、分析终端恶意代码样本、入侵痕迹分析、应急等服务。

方案功能

1、APT威胁实时监测预警
  • 远控行为、隐蔽信道通信、失陷主机、远控主机、异常通信行为(木马)
  • 邮件攻击(鱼叉),WEB挂马攻击(水坑),文件捆绑攻击
2、APT攻击溯源分析
  • 威胁线索检索查询
  • 攻击事件关联分析
3、全网APT态势感知可视化
  • 多维度可视化形式:地图地理分布/时间线告警/统计/排名/趋势/分布等
  • 银行单位办公外网整体实现APT威胁态势感知

方案特点

1、基于杀伤链多个阶段的威胁检测,更多的可能
  • 基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率
2、独特的新一代检测技术,更有深度
  • 内置机器学习分析、虚拟执行分析、木马通信行为分析等新一代动态威胁分析技术,有效扩展了分析深度
3、决策导向的可视化,拒绝华而不实的炫目设计
  • 独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸