办公外网APT防护方案

背景与需求

军工单位涉密信息较多,是国外间谍组织、恐怖组织等重要攻击目标,这些攻击者利用APT攻击技术对军工的办公外网、涉密内网进行攻击,试图获取网络涉密或重要信息数据。

以往,大部分安全工作者认为重要的涉密信息运行、存储在隔离的内网中被攻击的可能性很小,而办公外网运行、存储的数据不重要无需做严格的防护措施。但震网事件、韩国KBS电台被攻击事件的曝光,让人们认识到了,攻击者试图攻击内网的第一步往往选择的办公外网,通过控制办公外网寻找机会渗透进内网。因此,办公外网是防范APT攻击的第一道防线,必须做好严密的防范,及时告警APT攻击行为。

《中华人民共和国网络安全法》要求对于那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。军工办公外网虽然没有涉密的数据,但仍需要进行严密防范,在网络边界需要做好APT入侵检测、感知等预防、保护措施。

解决方案

利用铁穹高级持续性威胁预警系统设备,检测办公网络进出口处的网络流量,分析APT入侵及网络已经存在的入侵行为,并及时告警。解决以往办公外网针对APT攻击的防护能力不足。

方案由铁穹高级持续性威胁预警系统设备组成,根据办公外网出口流量大小,选择不同型号的铁穹检测设备,旁路部署在办公外网出口交换机上,实时捕获网络流量,分析流量中可能存在的APT攻击行为。

方案功能

1、全方位、7*24小时威胁监测预警
  • 僵木蠕攻击:远控行为、隐蔽信道通信、失陷主机、远控主机、异常通信行为(木马)
  • 入侵攻击:漏洞扫描、漏洞利用、暴力破解、异常登录、异常通信和访问
  • APT攻击:邮件攻击(鱼叉),WEB挂马攻击(水坑),文件捆绑攻击
2、未知恶意代码样本的深度分析
  • 基于多虚拟机环境的重沙箱分析平台,分析未知恶意代码样本和文件捆绑攻击
3、攻击溯源分析
  • 威胁线索检索查询
  • 攻击事件关联分析
4、态势感知可视化
  • 多维度可视化形式:地图地理分布/时间线告警/统计/排名/趋势/分布等

方案特点

1、基于杀伤链多个阶段的威胁检测,更多的可能
  • 基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率
2、独特的新一代检测技术,更有深度
  • 内置机器学习分析、虚拟执行分析、木马通信行为分析等新一代动态威胁分析技术,有效扩展了分析深度
3、决策导向的可视化,拒绝华而不实的炫目设计
  • 独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸