知道创宇NDR流量监测系统,积极应对APT攻击防御利器

2021年08月20日 13:48 次阅读 稿源:知道创宇 条评论

“云端情报赋能,强网战力升级”知道创宇2021新品发布季这周直播发布的产品是“NDR流量监测系统”,作为一款通过对网络全流量深度分析,实现APT攻击检测和响应的软硬一体化产品,“NDR流量监测系统”的出现引起了热切的讨论和关注。那么,面对攻击来源众多、频次和烈度日益增强、危险程度不言而喻的APT攻击,作为APT威胁挖掘机的NDR流量监测系统究竟是如何积极应对的呢?

APT攻击的起始及发展

于2010左右,业界开始提出APT攻击概念,APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。这其中,有无数铁打事实表明国外的APT组织长期对中国重要单位及关键基础设施网络进行攻击:

*2010.06:伊朗震网病毒曝光,疑似和美国、以色列相关,其中牵扯方程式组织;

*2013.06:斯诺登事件曝光,揭露机密文档,多个项目涉及到中国;

*2016.07:捕获到一例疑似木马的样本,该木马样本伪装成Word文档,实为包含Word类型混淆漏洞漏洞利用的RTF格式文档,样本源于南亚某国隐匿组织的APT攻击,目标以巴基斯坦、中国等国家的科研院所、军事院校和外交官员为主,通过窃取文件的方式获取与军事相关情报;

*2016.08:黑客组织shadow Brokers泄露NSA武器资料,包含大量0day漏洞;

*2017.03:维基解密曝光CIA资料代号Vault 7,其中包含了CIA对0day漏洞储备;

*2018.03:Slingshot行动,美情报部门承认是其为针对ISIS网络攻击战;

*2019.09:外交部发布报告称在国内航空工业系统中发现来自美国中央情报局CIA网络攻击;

*2021.01:SolarWinds供应链攻击事件,美国财政部、商务部以及一些其他政府机构等正被国家级APT组织攻击。

APT攻击具有针对性强、组织严密、持续时间长、隐蔽性高和间接攻击的突出特点,其攻击目标往往集中在商业机密、国家安全机密数据、关键信息基础设施等高敏感、高价值信息,作为常见于国家间的网络攻击行动,具有强烈的政治、经济目的。

近年来境外各类政府背景APT黑客组织不断对我国发起网络攻击,试图窃取大量重要敏感信息,其中美国对我国重要敏感单位进行APT攻击已经常态化。这些攻击不仅集中在我国党政机关、国防军工、科研院所等核心要害单位,还延伸到了关键信息基础设施、能源、金融、军民融合等各个领域。

NDR流量监测系统应运而生

知道创宇着眼于全球网络空间的互联网基础态势,很早就意识到了APT攻击的严峻性。知道创宇与客户共同进行一线攻击跟踪,加强对APT组织的研究,并与国家单位进行深度的实战化合作,长期对全球范围内的APT组织进行深入的、持续化的跟踪和研究分析,铸就了作为APT攻击防御利器的“NDR流量监测系统”。

NDR流量监测系统是一款通过对网络全流量深度分析的软硬件一体化产品,其最大支持10GBPS的实时流量,在网络抓包和流量处理方面都取得了突破性地性能改进,通过APT威胁告警和全流量溯源取证实现APT攻击检测和响应。

该产品旁路部署在网络出口处采集网络通信数据,采用大数据处理架构,集合机器学习、威胁情报、资产扫描等手段,对攻击中广泛采用的0day、Nday漏洞、特种木马、渗透入侵等技术进行深度分析,挖掘网络空间中的已知和未知攻击威胁。NDR通过分析网络通信环境进出的网络流量,从而判断获取网络流量的连接双方及连接行为,是否为APT攻击等可疑行为,并对可疑行为发起告警。

NDR优势特点大盘点

APT情报测绘能力

NDR能够做到对APT攻击组织的基础设施做到提前发现,基于全球领先的空间测绘引擎Zoomeye的数据能力,目前可对42亿全球IPv4地址进行扫描,拥有累积30亿IPv6地址和200亿+数据量,并保持日更新2000w+条数据。

自研DIE流量处理引擎

NDR通过配置自研DIE流量处理引擎已达到10Gbps处理能力,并提供全流量保存及下载能力。此能力在NDR中主要体现为支撑取证及全面回溯分析的需要,提供全流量日志快速查询功能以及高效快速分析全流量涵盖的完整信息,比如需要在所有的流量中查找某个文件的名字,某个域名是否曾经在流量里面出现,NDR可以依靠流量日志做到快速查询分钟级响应。

漏洞发现能力

NDR基于全国知名的Seebug漏洞平台及404安全实验室,能做到对最新高危漏洞攻击进行漏洞发现、精准识别。

攻防实战经验

知道创宇通过与一线监管单位合作,长期对全球范围内的APT组织进行深入的、持续化的跟踪和研究分析,NDR团队积累了大量的APT分析经验,产品设计也是基于实战出发,一切以方便对APT攻击进行针对性分析为出发点。

NDR实际应用

通过对NDR优势特点进行盘点,数据驱动是NDR的关键亮点。根据公安部提出的网络安全挂图作战理论,ZoomEye作为全球闻名的网络空间地图,在网络空间追踪APT攻击的时候也一样起到关键作用。网络安全事件可视化分析通过空间图、网络图的形式集中表达网络安全事件分析的全过程,结合人工智能和大数据分析技术,对攻击事件及攻击者、攻击手段等进行画像。利用网络空间地图,NDR在发现一个APT攻击后,可以通过攻击设施的相似性找到该攻击组织提前布局预备在攻击中使用的设施,做到提前发现提前防御。


在今年3月左右,NDR流量监测系统通过追踪发现了某组织一些针对国内进行攻击的域名和url,通过对这一批攻击基础设施的分析,NDR团队成功找到了共有特征,将共有特征放在zoomeye中进行监控,在5月1日的时候发现有3个符合该特征的域名上线使用,但是该域名当时并未和任何组织攻击相关的恶意工具有联系。

NDR团队对这几个域名做好了实时监控,直到5月4日及5月27日,发现某组织使用该域名作为木马下载服务器及远程控制服务器,并对国内某些单位发起了攻击。

NDR应用价值展示

成果一:多年针对各类APT样本追踪披露

知道创宇APT追踪组长期跟踪以下对中国发起APT攻击的活跃组织40+,包括oceanlotus(apt32)、bitter(蔓灵花)、patchwork(魔科草)等等,通过长期的追踪保证NDR产品能及时检测到APT组织最新的攻击活动。

成果二:APT组织钓鱼网站发现

依托Zoomeye的全球数据测绘能力,目前累计发现近百个钓鱼网站。

成果三:某监管单位离线环境监测预警平台建设

某客户在做好前期的流量汇聚工作后,将大量的离线数据包保存在服务器上,需要在海量数据包里面发现攻击流量。面对客户非实时流量,需要在保证客户环境不变的情况下,使用NDR产品的离线数据包回放模式来处理客户的离线流量数据。NDR配置一个离线数据处理任务,从文件服务器上取数据包处理,帮助客户发现APT攻击。

随着网络信息化高速发展,国际间网络空间对抗更加激烈,国内网络攻击事件频频发生,网络安全的各个环节都有可能遭受APT攻击。知道创宇推出NDR流量监测系统,专门针对高威胁性APT攻击,致力于实现全球范围资源探测和攻击威胁监测,不断完善知道创宇永不过时的互联网安全基础态势测绘底图。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

知道创宇NDR流量监测系统,积极应对APT攻击防御利器

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      相关文章

      招聘

      created by ceallan