3月8日,专注于APT防御技术研究的安全厂商东巽科技发布了其核心产品“铁穹高级持续性威胁预警系统”的4.0版本。新版本除了成功加入了WEB服务攻击检测技术、沙箱逃逸对抗技术、隐蔽信道检测等多项检测技术外,还支持云端威胁情报的关联查询,并基于威胁杀伤链、威胁事件时间线等多维度建立了威胁态势感知系统,能够有效地提升用户对网络安全的管理和运营能力,保护关键网络资产不受损失。
据东巽科技产品总监周忠介绍,铁穹4.0版本在原有版本基础上进行了大量的场景式创新,其中包括对金融、政府、能源等行业多种网络场景的架构解析与常态威胁分析,在总结规律的基础上,东巽科技新增了多项检测技术以及多种文件检测功能,以便更好地满足了行业用户对高级威胁检测和分析的场景化需求,可以更加有效地保护关键信息资产的安全。
“威胁态势感知地图”让安全风险可见
简洁明了的“威胁态势感知地图”界面,是本次铁穹升级做的全新调整,也是重要的亮点之一。通过地图,用户能够更直观地感受到网络安全的整体威胁态势。界面包括基于全时空的威胁可视化设计、威胁资产分布、宏观威胁分析、基于时间线的威胁事件实时告警、基于杀伤链的多阶段威胁事件统计和分布等,非常便于管理员实时掌握宏观安全态势,及时响应微观安全事件,提升对网络整体的安全与运维能力。
具体来说,威胁态势感知地图展现的内容可以概括为两个方面,一方面对植入事件分类统计,分别实时展现挂马攻击、邮件攻击、文件下载攻击等各类攻击事件的频率和攻击源地域分布情况,这特别有助于管理员总览全局资产风险和及时维护整体安全策略。另一方面通过铁穹系统对内网失陷事件进行监控,将失陷事件按照APT、木马后门、僵尸蠕虫等不同角度进行分类,并定位已被植入特种木马而终端杀毒软件无法查杀的失陷主机。
强化威胁情报利用 弥补威胁事件分析和溯源需求
东巽科技在多年的安全服务项目中积累了大量的威胁情报数据以及威胁事件追溯经验,本次铁穹系统升级也将之全部反馈在新版本上,因此升级后的版本将更加注重威胁情报的利用。
周忠介绍,“在原版本对云端机读威胁情报数据的利用和反馈基础上,新版本强化了对云端东巽威胁情报平台的扩展知识和信息利用,可以对检测出来的攻击和恶意样本等非机读信息做进一步的细节关联查询。云端海量的TTPs信息和黑客组织等相关信息可以有效扩展本地设备的背景知识,更好满足威胁事件分析和溯源场景下的需求。”
革新基础架构提升性能 新增多种威胁场景覆盖
新版本的铁穹在原有的基础架构进行了适当的调整,使采集引擎、文件引擎、各类检测引擎相互独立,功能模块可根据用户实际网络场景进行搭配,如此改变,使得检测效率和检测性能较之前均有了大幅度的提升,满足大流量、分布式检测场景下的需求。
除了在检测性能上有所建树外,铁穹对威胁行为也进行了大幅扩容。新版本的铁穹系统在原有的逃逸行为检测基础上,新增15类200多种逃逸行为的检测,提升了远超同类产品的高级恶意代码检测能力。同时,新版本还增加针对WEB服务发起的SQL注入,跨站脚本攻击(XSS)、跨站请求伪造攻击(CSRF)等攻击的检测,提升了对更多威胁场景的覆盖,进一步帮助用户避免风险。
三项核心技术升级,新增多项功能助力威胁深度检测
作为本次升级最重要的部分,铁穹将威胁情报、动态虚拟执行检测引擎、木马流量通信行为检测引擎等引擎进行关联分析,在高级威胁入侵植入、失陷主机监测等多个阶段进行协同分析,在检测发现的海量威胁行为线索基础上,对指定的内网主机进行分析,并展示其产生的所有事件信息。
隐秘信道检测上,新增了针对木马与C&C服务端通信通道流量等检测功能,可以通过流量还原在看似正常的流量中识别木马的传输流量。同时在原有检测协议的基础上增加了基于SSL加密的HTTPS等协议的解密功能,提高了系统的检出率,更好满足针对金融等特定应用场景的检测。
此外,铁穹还新增了多种文件检测小功能,如自定义的黑/白名单规则库、手工提交样本优先检测功能、远程下载样本等功能,方便用户使用和管理。