APT防护方案证券

背景与需求

券商的重要业务包括交易、清算、行情、财务办公等系统,其中交易于行情系统主要用于发布给客户使用,清算系统主要用于连接第三方合作伙伴(如银行、证券交易所等)使用,而办公与财务系统仅供内部使用。证券公司的正常运营依赖于以上的信息系统,尤其是对外的集中交易于行情系统面临更为严峻的安全挑战。

交易于行情系统:由于需要通过Internet对外发布,极易遭受来自于Internet的各种攻击,比如黑客攻击干扰和破坏网站,窃取网上机密信息。

清算系统:由于清算系统需要于第三方合作伙伴连接,一旦内部网络或者第三网络出现安全事件,可能形成相互感染。

内部办公系统:内部网络面临病毒破坏问题,近年来,新型病毒层出不穷,他可以利用多种途径进行感染和传播,包括系统漏洞、文件共享、移动外设等方式。

目前各证券公司基本建立了全方位的、统一完整的企业网络安全体系,从桌面客户端、服务器及网关上进行全方位、多层次的整体防护,有效地保护整个网络远离各种网络攻击。然而传统的安全产品基本是基于特征检测的手段,对于广泛使用0day、特种木马、已知漏洞做免杀、无特征等技术的APT攻击,传统安全产品无法应对。

为了应对越来越多的高级持续威胁,东巽科技提供证券行业APT防御体系解决方案。

解决方案

根据实际使用需求,为了能够对证券行业内网进行APT的安全防护,需要在内网的核心交换机部署多台铁穹设备,实现对证券内网APT防护需求。

整个方案由铁穹系统和配套工具及服务两大部分组成。其中配套工具及服务包括:
  • 云端威胁情报平台
  • 终端明镜木马深度检测系统
  • 地端安全服务团队,提供恶意代码分析、处置工作

对外核心系统、对内核心系统、互联网接入网络、第三方接入网络、VPN接入网络流量镜像给铁穹高级持续性威胁预警系统,结合云端平台和高级专家服务,从“云、管、端、地”四个层次建立APT综合防护模型,建立以网络流量检测为发现手段,威胁情报、终端检测和高级安全服务配套的立体防御体系。

方案功能

1、恶意文件攻击检测
  • 对流量中邮件收发、文件上传下载及传播、网站访问等应用中的各类文件进行还原,使用机器学习、虚拟化漏洞检测等引擎分析其中是否包含已知/未知漏洞的攻击行为
2、钓鱼邮件/网站攻击检测
  • 对流量中的伪造钓鱼邮件、钓鱼网站等结合社工攻击的典型APT攻击方式进行检测
3、已知/未知恶意代码活跃行为检测
  • 采用多种动态及静态检测技术对流量中各类已知/未知恶意代码(木马、僵尸、蠕虫、WEBSHELL等)的传播、植入、活跃的全过程活动行为进行深度分析和预警
4、失陷主机定位
  • 基于木马、后门等的外联通信行为检测,快速定位内网被攻陷的主机和威胁源
5、受控情况分析
  • 针对常见的木马、后门家族,解析其流量行为中的通信协议,分析对失陷主机发起的数据窃取、文件篡改、内网渗透等各种远控指令
6、威胁关联分析
  • 在海量威胁和线索数据的基础上,进行基于Killchain攻击链、行为模式、场景和资产等关联分析,挖掘隐蔽的高级威胁及攻击行为
7、攻击事件预警
  • 对上述攻击事件进行实时预警,给出威胁类型、程度、威胁源、受害者、发现方式等信息
8、可视化分析和态势感知
  • 多维可视化分析和呈现视角。支持时间、地理位置的场景维度;支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度;支持趋势、分布、排名、统计等宏观分析视角

方案特点

1、基于杀伤链多个阶段的威胁检测,更多的可能
  • 基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率
2、独特的新一代检测技术,更有深度
  • 内置机器学习分析、虚拟执行分析、木马通信行为分析等新一代动态威胁分析技术,有效扩展了分析深度
3、决策导向的可视化,拒绝华而不实的炫目设计
  • 独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸