精准式网络攻击检测方案银行

背景与需求

2016年6月27日银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》(简称“通知”)正式发布。通知指出:政策性银行、大型银行、股份制银行、邮储银行要针对高级持续性威胁、精准式网络攻击进行安全评估,对威胁和攻击进行分类场景设定,有针对性的排查系统漏洞、分析脆弱性;形成应对此类攻击的防护措施专项评估报告。

不同与以往的病毒、木马攻击,高级持续性威胁(简称APT)攻击具有针对性,渗透力强,潜伏期长,攻击覆盖面广,传统技术措施很难进行辨认,同时造成的损失更加庞大。从近几年由APT攻击造成的安全事件可以看出,APT攻击具有很强的针对性,已经成为网络安全的首要威胁,而由于银行业金融机构的特殊性,已成为APT攻击的主要目标。APT攻击无法通过单一的安全产品和安全技术进行有效的检测、防护,需结合现有的安全防护体系,补充专业的高级持续性威胁分析系统,并完善管理体系,只有建立以安全技术与安全管理相结合的纵深防护体系,才能抵御APT攻击的威胁。

与互联网直接相连的银行办公外网是APT防护的第一道防线,是APT整体纵深防护体系的重要一环,需要具备实时感知APT攻击行为,及时预警能力。

解决方案

方案根据“纵深防御”原则,在银行单位办公外网出口流量和重要服务器及终端上分别采用不同的检测技术进行检测能力建设,实现多维度精准式网络攻击威胁防护。

方案由流量检测、终端检测和人工服务三大部分组成。其中:
  • 流量检测部分采用铁穹系统检测设备,在办公外网和其他重要网络区域分别部署多台铁穹检测设备,检测、告警、定位被精准式攻击的终端PC或服务器。
  • 终端检测部分采用明镜木马深度检测系统(明镜探针程序和明镜服务器端两部分组成),在铁穹检测设备检测定位的可疑终端或服务器上部署(域推送默认安装)明镜探针程序,收集终端或服务器信息,发送明镜服务器端进行分析、判定、取证。
  • 人工服务提供铁穹设备巡检、分析终端恶意代码样本、入侵痕迹分析、应急等服务。

方案功能

1、精准式网络攻击实时监测预警
  • 远控行为、隐蔽信道通信、失陷主机、远控主机、异常通信行为(木马)
  • 邮件攻击(鱼叉),WEB挂马攻击(水坑),文件捆绑攻击
2、精准式网络攻击溯源分析
  • 威胁线索检索查询
  • 攻击事件关联分析
3、精准式网络攻击态势可视化
  • 多维度可视化形式:地图地理分布/时间线告警/统计/排名/趋势/分布等
4、精准式网络攻击终端信息取证、判定
  • 及时发现、处置已沦陷的主机
  • 取证、分析、溯源特种木马的行为
  • 帮助分析和切断精准式网络攻击

方案特点

1、流量、终端、人工服务多维度防护,完整闭环方案
  • 铁穹流量检测设备实现精准式网络攻击行为检测、告警、定位可疑终端IP;终端检测系统实现终端恶意代码深度检测、判定、取证;人工服务提供样本分析、清除建议、专杀工具等。实现检测、预警、通报、处置的完整闭环解决方案
2、流量检测设备采用多种新型检测技术组合运行,检测准确率更高
  • 基于杀伤链多个阶段的威胁检测技术,从武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段进行检测,大大提升对精准式网络攻击的检测效率
  • 独特的新一代检测技术组合,内置机器学习分析、虚拟执行分析、木马通信行为分析等新一代动态威胁分析技术,有效扩展了分析深度
3、决策导向的可视化,拒绝华而不实的炫目设计
  • 检测隐藏:深度Ring0取证,木马无所遁形
  • 不畏免杀:特种木马行为分析,检测未知木马
  • 拒绝穿透:基于分析,封锁通信,处理进程