自动化威胁检测与响应
威胁的检测与响应作为网络安全体系建设的重要环节,历来受到政企机构的高度重视。然而面对变幻莫测的攻击手法和善于伪装的恶意样本,检测与响应手段仍然需要不断创新。
在威胁检测方面,此次亮相的奇安信新版天眼上线了智能助理、高级阻断、沙箱防逃逸等多项功能,其中新版沙箱在延续原版本对恶意文件智能、精准检测的基础上,大幅度提升了系统性能和安全性,同时检测环境支持macOS和Android操作系统,使得威胁检测样本覆盖更全。同时,为了避免威胁样本逃逸现象,新版沙箱实现了TLS/HTTPS流量解密的功能,阻止恶意软件采用TLS/HTTPS对自身流量进行加密保护以躲避检测的情况。
另一方面,新版天眼还增加了云上安全感知系统的“云天眼”,帮助用户重点解决云上全网安全在东西向流量上的监控盲区,建立一套在“云”上的监测预警、威胁检测、溯源分析和响应处置能力的高级威胁检测平台。
针对恶意网络请求的检测,奇安信安全DNS(QDNS)基于奇安信威胁情报中心商业威胁情报,能够对APT攻击、勒索软件、窃密木马、远控木马、僵尸网络、网络蠕虫、恶意下载、黑市工具、流氓推广等几十种网络威胁请求进行有效检测和阻断。
在响应方面,作为安全编排自动化与响应的利器,此次亮相的奇安信SOAR3.0以实战化为核心,能够帮助企业和组织将繁杂安全运行过程梳理为任务和剧本,把分散的安全工具与功能转化为可编程的应用和动作,并且借助编排和自动化技术,将团队、工具和流程的高度协同起来,覆盖安全运行的防护、检测、响应等各个环节。总体来看,奇安信SOAR3.0能够将安全事件调查与响应操作的效率提高10倍以上;对于需要重复性持续性的操作,提升的效率更是数以百倍计。
另外,奇安信新版天眼上线了高级阻断功能,能够结合250w+条威胁情报、3000+威胁检测规则,实现对威胁的智能化阻断。
实战化安全运行
随着网络安全实战攻防演习的开展,政企机构对于检测与响应的重视程度日益提升,网络安全体系建设越来越完善,但网络攻击事件依然处于高发状态。资产不清、漏洞不明、情报缺失、流程不通等基础安全问题多年来一直困扰企业客户,没有对资产安全形成运行服务闭环流程,就难以满足当前安全运营实战化、体系化、常态化的要求。
系统安全并非一蹴而就,也不是加强某个环节就能解决的,需要提升整体的防护水平。对此,“系统安全运行构想图”强调,需要用数据驱动的实战化安全运行模式,打通资产管理、配置管理、漏洞管理和补丁管理等四大基础安全流程,环环相扣融入整个大运维环节,从而收缩攻击面、有效控制数字化运营的基础风险。
通过构建系统安全运行服务支撑平台,建立多源异构资产和漏洞数据的融合治理、统一管理,达到全面掌握自身网络资产真实安全状况的目标;同时,帮助政企客户实现流程的通畅&闭环,达到管理更有序的目的;平台自动化能力体现到实际运营工作中,让原本重复的安全运营工作变得更智能、更简单、高效,让安全运行真正成为日常。从而建立与大运维深度融合的安全运营体系,为安全运营的常态化、实战化奠基。
另外,为帮助客户检验防护体系的有效性,奇安信此次发布的自动化渗透测试系统,在学习总结奇安信攻击队的多年实战攻防经验基础上,自主研发了高级漏洞利用框架以及大量漏洞利用插件,通过自动化完成信息搜集、社会工程、漏洞利用、权限提升、持续控制、横向渗透等渗透测试全过程,将传统“手工作坊”式的渗透测试转变为自动化标准化可量化的渗透测试体系。
常态化核心资产防护
作为存储机构核心数据的地方,服务器一旦被攻破很可能会导致大量敏感数据丢失或被窃,因此在网络安全体系里,服务器安全防护通常是最后一道防线,其重要性不言而喻。
基于服务器端轻量级Agent的云锁服务器安全管理系统,同时支持单机版、公有云和私有云的部署。通过统一的Web控制中心,RASP、IN-APP WAF以及服务器操作系统内核加固探针,实现对传统物理服务器和云服务器一致的风险排查、内核加固、已知威胁的精准检测和未知攻击的有效防护。
此次发布的新版云锁重点新增了针对无文件攻击、带外(OOB)攻击、恶意扫描、恶意文件上传等检测能力,对反弹Shell、RCE利用和EDR检测做了重点优化。
同时,云锁还创新性的在服务器安全领域引入了微隔离和零信任的理念,基于不同角度(端口、外连、文件、应用等)的白名单机制,以攻促防,从恶意流量“打点->拿权限->横向渗透”的攻击逻辑出发,实现不同阶段对高危行为的高效防护。
在工业安全方面,工业物联网是工业信息系统的神经末梢,直接影响着的系统运行质量,保障工业物联网安全就成为工业信息化发展的重中之重。针对工业物联网接入设备自身防护水平差,网络接入缺乏监测、感知能力,安全事件缺少有效技术处置手段,系统存在极大被远程入侵风险等问题,“天择”工业物联网接入安全防护系统,对入网终端进行精准、持续、严格的细粒度管控,确保接入网合法、合规、可信的同时,全方位掌控网络边界动态,及时、灵活、高效的处置安全事件,确保网络无风险运行。
体系化供应链安全
供应链连接了这个世界的每个角落,无论物理空间还是网络空间。一个组织已经不能仅仅通过保护自己的基础设施来保护自己。在网络空间对抗不断升级、数字化加速转型、国家战略推动、开源代码被普遍使用的情况下,体系化的软件供应链安全建设势在必行。
据奇安信威胁情报中心发布的《全球高级持续性威胁(APT)2021年中报告》显示,在愈演愈烈的APT攻击中,APT攻击团伙攻击目标开始更加侧重于在供应链中负责提供服务的公司。例如,去年12月,黑客在针对网管软件提供商SolarWinds发动了供应链攻击,在软件更新包中植入了后门程序,全球超过18000家机构都受到了此次事件的影响;又例如,全球航空电信协会SITA——管理着全球超过400家航空公司的机票和旅客数据处理,便曾在今年3月宣布服务器被黑客通过高度复杂的攻击手段入侵。而在国内,奇安信威胁情报中心也曾监测到多起安全公司被入侵造成的供应链攻击事件。
供应链安全建设面向两个主要的场景:第一是用户视角的供应链安全管理场景;第二是开发者视角的供应链安全开发场景。针对这两大场景,奇安信提供的软件供应链安全解决方案,包括代码安全能力、软件空间测绘能力、感知与自主测试能力、自动化流程管理能力等四个部分。