|
產(chǎn)品定位 
數(shù)字革命推動業(yè)務(wù)創(chuàng)新和經(jīng)濟(jì)增長已經(jīng)成為新世紀(jì)的趨勢,但是同時也帶來了新威脅�����,在競爭激烈的市場下����,以APT攻擊為核心的攻擊方式正在愈演愈烈����,此類攻擊發(fā)起者往往是雇傭的黑客團(tuán)隊,攻擊手法非常高級���,會使用到零日攻擊、病毒��、木馬等組合攻擊手段��,從行為上看十分隱蔽��,可以完美的繞過已有的基礎(chǔ)安全設(shè)備��;會給組織帶來非常致命風(fēng)險����。
面對日益復(fù)雜的攻擊形式,單一的防護(hù)無法發(fā)現(xiàn)復(fù)雜的攻擊行為���,APT的防御必須圍繞組織內(nèi)部核心資產(chǎn)開展基于大數(shù)據(jù)模型的風(fēng)險計算���,通過對惡意文件����、惡意攻擊行為��、高級組合攻擊����、基于業(yè)務(wù)的邏輯攻擊進(jìn)行模型分析計算,實時得出風(fēng)險提示�,通過專家在線、現(xiàn)場服務(wù)做到風(fēng)險跟蹤關(guān)閉����,為組織核心資產(chǎn)提供有力的保障。
產(chǎn)品形態(tài)
APT平臺是依托于中新網(wǎng)安研發(fā)的大數(shù)據(jù)平臺建設(shè)的全新風(fēng)險展示平臺�����,多年來的安全服務(wù)能力和大數(shù)據(jù)算法研究能力鑄造了當(dāng)前平臺的三大核心功能�,包括對于未知文件的沙箱檢測技術(shù)、國際常見黑客的攻擊行為指紋技術(shù)以及通過大數(shù)據(jù)算法實現(xiàn)機(jī)械學(xué)習(xí)技術(shù)���,通過三維立體的風(fēng)險定位模型刻畫了攻擊行為的路線�����,有助于發(fā)現(xiàn)潛在和未來的安全攻擊行為���,最大限度保證核心數(shù)據(jù)資產(chǎn)不被黑客侵犯�。
功能特點 
中新金盾高持續(xù)威脅防御系統(tǒng)���,標(biāo)準(zhǔn)的整體機(jī)架式部署��,采用“5+2+1”的產(chǎn)品架構(gòu)���,包括五大支撐引擎���,兩大服務(wù)體系�����,一大展現(xiàn)平臺����。
支撐引擎 1. 數(shù)據(jù)接收引擎 數(shù)據(jù)接收引擎也就是我們俗稱的探針���,不僅能夠支持接收傳統(tǒng)網(wǎng)絡(luò)中交換機(jī)鏡像過來的流量����,還支持以云化的方式部署,通過API接口調(diào)度和虛擬接口調(diào)度的方式�,接收來自云端的數(shù)據(jù)流量。
2. 行為分析引擎 行為分析引擎能夠?qū)W(wǎng)絡(luò)中數(shù)據(jù)包進(jìn)行深度分析�,涉及信息內(nèi)容的權(quán)重、頻次以及動作等�,不僅能夠?qū)崟r的展現(xiàn)攻擊者單次的攻擊行為,還能夠分析出某個時間段的攻擊過程��,對攻擊者的攻擊手法����、滲透過程進(jìn)行深度挖掘。
3. 大數(shù)據(jù)分析引擎 大數(shù)據(jù)分析引擎承載著原始攻擊流量存儲�����、資產(chǎn)行為數(shù)據(jù)存儲���、實施攻擊行為和文件環(huán)境等功能��,為整個數(shù)據(jù)挖掘提供挖掘框架����,實現(xiàn)模型的訓(xùn)練,并且能夠完成歷史行為的深度自學(xué)習(xí)��。
4. 高效沙箱引擎 高效沙箱引擎高度還原了真實的系統(tǒng)環(huán)境�����,支持還原多種文件類型�,分析文件的行為,并對文件進(jìn)行病毒查殺和木馬檢測��。
5. 機(jī)器學(xué)習(xí)引擎 機(jī)器學(xué)習(xí)引擎是中新金盾高級持續(xù)威脅平臺的業(yè)務(wù)分析核心�����,深度學(xué)習(xí)關(guān)注業(yè)務(wù)交易的核心深度識別業(yè)務(wù)的安全風(fēng)險��。
服務(wù)體系 1. 在線專家服務(wù) 在線專家服務(wù)�����,能夠給客戶提供實時的技術(shù)問答和技術(shù)支持�����,包括產(chǎn)品操作����,攻擊行為處理等方面的問題。
2. 現(xiàn)場支持服務(wù) 現(xiàn)場支持服務(wù)除了幫助客戶�,解決產(chǎn)品的上線部署,公司還擁有優(yōu)秀的應(yīng)急響應(yīng)小組���,能夠幫助客戶及時處理���,存在的潛在風(fēng)險,保證業(yè)務(wù)的正常進(jìn)行����。
展現(xiàn)平臺 以可視化的形式全方面的監(jiān)控用戶的資產(chǎn),安全轉(zhuǎn)臺���,基于用戶行為����、數(shù)據(jù)流量進(jìn)行畫像學(xué)習(xí)�����,并實現(xiàn)APT場景和案件的重構(gòu),動態(tài)的顯示攻擊者的攻擊行為路線����。
核心技術(shù)
多維動態(tài)行為檢測 獵潛者能夠多維度的對攻擊行為進(jìn)行檢測,涉及到應(yīng)用層攻擊�����、系統(tǒng)層攻擊以及數(shù)據(jù)庫層面����,目前的檢測類型有18類,包括郵件攻擊�、沙箱檢測、隱蔽信道逃逸檢測�����、web應(yīng)用層攻擊��、域滲透��、遠(yuǎn)程控制等��,并支持多維的攻擊模式識別��,能夠檢測由外網(wǎng)到內(nèi)網(wǎng)發(fā)起的攻擊��,內(nèi)部不同業(yè)務(wù)和安全域間的訪問以及內(nèi)網(wǎng)訪問外網(wǎng)�,防數(shù)據(jù)竊取回傳的檢測。
沙箱技術(shù)
zxsandbox是一款由中新網(wǎng)安自主研發(fā)的沙盒軟件����,用于自動化分析惡意軟件,它通過虛擬機(jī)技術(shù)創(chuàng)建一個獨立的運行環(huán)境運行惡意軟件�,從而監(jiān)控惡意軟件的行為?���!?/span>
1. 反虛擬機(jī)技術(shù)虛擬機(jī)環(huán)境存在一定的指紋特征,某些惡意軟件在運行時�,會針對這些指紋特性對當(dāng)前運行的環(huán)境進(jìn)行檢測,一旦發(fā)現(xiàn)當(dāng)前環(huán)境是虛擬機(jī)環(huán)境����,則不觸發(fā),為了解決虛擬機(jī)指紋特征的問題�����,zxsandbox具有高保真特性,采用一些手段將運行環(huán)境偽造成真實的環(huán)境�����,來誘發(fā)惡意軟件觸發(fā)真實行為��?���!?/span>
2. 高效靈活的文件類型識別zxsandbox具有多種模式匹配和文件類型規(guī)則,能夠高效�、靈活的識別文件類型;針對未知文件類型可快速補充規(guī)則進(jìn)行識別�����,準(zhǔn)確率達(dá)到95%以上�����?��!?/span>
3. 多種靜態(tài)分析常規(guī)的靜態(tài)分析方法主要是依靠病毒引擎�,而zxsandbox針對不同的文件類型�����,添加了特定的檢測方法��,比如針對PDF文檔�,我們嵌入了js檢查,剝離js腳本檢測�����,并可根據(jù)需要對js腳本進(jìn)行動態(tài)分析�����?�!?/span>
4. 高級內(nèi)存分析zxsandbox可對受感染的內(nèi)存鏡像進(jìn)行分析�,主要包括系統(tǒng)的文件操作、注冊表操作��、加載模塊分析��、進(jìn)程分析等�����。
5. 詳細(xì)的網(wǎng)絡(luò)行為記錄zxsandbox能夠詳細(xì)記錄沙盒中所有的網(wǎng)絡(luò)信息���,包括加密的信息�����??梢詭椭l(fā)現(xiàn)惡意軟件的下載動作�����、網(wǎng)頁訪問等行為����。 6. 綜合判斷文件危害程度zxsandbox內(nèi)置了很多惡意軟件的行為特征規(guī)則���,這些規(guī)則是對不同類型的惡意軟件真實行為的總結(jié)�����,貫穿整個靜態(tài)檢測�����、內(nèi)存分析�、網(wǎng)絡(luò)行為記錄等檢測過程。避免正常軟件的正常行為被系統(tǒng)五保�,從而綜合的判斷出文件的危害程度。
|
