伴隨著對云計算的擁抱、新的DevOps流程的普及、物聯(lián)網(wǎng)設(shè)備的蔓延、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進(jìn)，有效的威脅檢測與響應(yīng)能力作為重要的攻防手段，是提升實(shí)戰(zhàn)化對抗能力的關(guān)鍵因素。

　　我們推出《高級威脅檢測與響應(yīng)解決方案》系列訪談，邀請相關(guān)安全廠商分享主動感知、分析、防御、溯源高級威脅的成功經(jīng)驗，及其方案服務(wù)的能力和特色，為企業(yè)用戶提升安全建設(shè)水平提供一定參考。

　　本期訪談的主角是業(yè)內(nèi)知名的網(wǎng)絡(luò)安全公司知道創(chuàng)宇，我們邀請了知道創(chuàng)宇404實(shí)驗室APT高級威脅情報團(tuán)隊來分享自身在該領(lǐng)域的觀察思考和實(shí)踐。知道創(chuàng)宇——全稱北京知道創(chuàng)宇信息技術(shù)股份有限公司，是一家立足攻防一線，與客戶并肩戰(zhàn)斗，擁有“實(shí)戰(zhàn)對抗”能力的網(wǎng)絡(luò)安全公司。知道創(chuàng)宇成立于2007年，由數(shù)位資深安全專家創(chuàng)辦，以“AI+安全大數(shù)據(jù)”為底層能力，為客戶提供云防御、云監(jiān)測、云測繪產(chǎn)品與服務(wù)。

　　APT攻擊愈演愈烈

　　網(wǎng)絡(luò)空間安全形勢持續(xù)升級

　　今年6月，西北工業(yè)大學(xué)表示，西工大電子郵件系統(tǒng)遭受網(wǎng)絡(luò)攻擊。9月5日，國家計算機(jī)病毒應(yīng)急處理中心發(fā)布《西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報告》，揭露了境外黑客組織長期滲透控制中國基礎(chǔ)設(shè)施核心設(shè)備，竊取中國用戶隱私信息的事實(shí)。

　　這一安全事件讓APT高級可持續(xù)性威脅這一行業(yè)用語走到臺前，讓社會各界加深了對活躍在網(wǎng)絡(luò)陰暗面的網(wǎng)絡(luò)攻擊活動的認(rèn)知。事實(shí)上，在大眾視野之外，APT攻擊、勒索攻擊、超大規(guī)模數(shù)據(jù)泄露、波及范圍極廣的重大安全漏洞等類型眾多的安全事件時刻都在發(fā)生，網(wǎng)絡(luò)空間的安全形勢日漸嚴(yán)峻。

　　● APT攻擊頻次劇增 攻擊手段更加復(fù)雜

　　在采訪中，知道創(chuàng)宇404實(shí)驗室APT高級威脅情報團(tuán)隊的安全專家告訴我們，近兩年來，知道創(chuàng)宇發(fā)現(xiàn)，APT攻擊頻次日益增多，僅今年上半年便發(fā)現(xiàn)了100多起APT攻擊活動，數(shù)量遠(yuǎn)高于去年全年APT事件的總和，且攻擊對象涵蓋了政府、軍工、能源、金融等眾多領(lǐng)域。在攻防對抗中，漏洞利用攻擊、無文件攻擊、供應(yīng)鏈攻擊等各類高級攻擊手法頻頻出現(xiàn)，0day漏洞攻擊數(shù)量顯著。

　　安全專家們談到，知道創(chuàng)宇404實(shí)驗室APT高級威脅情報團(tuán)隊在2021年末發(fā)布的APT攻擊趨勢報告總結(jié)中曾指出，以海蓮花為首的一系列APT組織正在逐步放棄釣魚郵件的傳統(tǒng)攻擊手段，轉(zhuǎn)為采用漏洞攻擊、滲透攻擊等更高級的方式發(fā)起攻擊活動，攻擊目標(biāo)也逐步轉(zhuǎn)為優(yōu)先攻擊安全公司、終端軟件管理公司、科技公司等，再通過上述攻擊在供應(yīng)鏈中植入惡意代碼，實(shí)現(xiàn)供應(yīng)鏈攻擊，抵達(dá)攻擊者的最終攻擊目標(biāo)。從不斷爆發(fā)的大規(guī)模攻擊事件中不難看出，APT組織越發(fā)猖獗，APT攻擊活動也越發(fā)頻繁，采取相應(yīng)措施抵御威脅刻不容緩?！?/p>

　　● 攻防對抗日趨激烈 傳統(tǒng)安全思維日漸式微

　　安全專家們進(jìn)一步指出，隨著攻防雙方對抗手段的持續(xù)升級，漏洞利用攻擊、無文件攻擊、供應(yīng)鏈攻擊等各類高級攻擊手段出現(xiàn)，其攻擊手法隱蔽、破壞性強(qiáng)，給傳統(tǒng)防護(hù)安全帶來了極大挑戰(zhàn)，傳統(tǒng)的被動防護(hù)思維和技術(shù)手段已無法對層出不窮的新型攻擊手法進(jìn)行有效檢測和識別，無形中降低了客戶信息系統(tǒng)的安全防護(hù)能力。

　　”在某些案例里，我們發(fā)現(xiàn)海蓮花組織專門針對國內(nèi)某知名反病毒廠商的殺軟做了免殺。在安裝了某殺軟的機(jī)器上運(yùn)行后，殺軟全盤掃描也無法識別該木馬文件，這凸顯了一線攻防對抗的激烈性。“

　　他們表示，為應(yīng)對日益更新的攻擊手法，業(yè)內(nèi)主流的防護(hù)手段也逐步從傳統(tǒng)特征、情報等單一檢測手段，演變成多種檢測手段融合的方式，通過對高級威脅全周期的不同攻擊階段利用不同的檢測手段進(jìn)行檢測，進(jìn)一步縮短對APT攻擊的發(fā)現(xiàn)周期。同時，將AI技術(shù)引進(jìn)網(wǎng)絡(luò)安全領(lǐng)域也已成為新趨勢，AI技術(shù)基于大數(shù)據(jù)對不同業(yè)務(wù)場景威脅進(jìn)行建模分析，挖掘數(shù)據(jù)規(guī)律及目標(biāo)特征，提升高級威脅及未知威脅的檢出率，提高網(wǎng)絡(luò)分析的效率及準(zhǔn)確性。

　　404實(shí)驗室APT高級威脅情報團(tuán)隊認(rèn)為，當(dāng)前業(yè)內(nèi)主流防護(hù)手段更應(yīng)注重向前防御理念打破被動防御，即在攻擊者發(fā)起攻擊前，就對可疑IP、域名進(jìn)行持續(xù)追蹤，確保攻擊被扼殺在搖籃。作為一線攻防廠商，知道創(chuàng)宇在APT高級威脅檢測與防御方面已經(jīng)積累了大量經(jīng)驗和實(shí)踐，利用全網(wǎng)獨(dú)家的測繪情報，知道創(chuàng)宇已能幫助用戶在APT發(fā)起攻擊前就可識別到可疑IP、域名，有效進(jìn)行提前監(jiān)控，同時結(jié)合基因圖譜檢測、復(fù)雜位運(yùn)算、沙箱檢測等先進(jìn)技術(shù)，實(shí)現(xiàn)對未知威脅的積極防御。

　　安全產(chǎn)品+專業(yè)服務(wù)一體化

　　以APT測繪及APT防御應(yīng)對高級威脅

　　404實(shí)驗室APT高級威脅情報團(tuán)隊表示，知道創(chuàng)宇在早期就意識到了APT攻擊的嚴(yán)峻性，為了掌握APT攻擊在全球的活動情況，以便快速高效地應(yīng)對APT攻擊，知道創(chuàng)宇與監(jiān)管客戶共同進(jìn)行一線攻擊跟蹤，加強(qiáng)對APT組織的研究，并與國家單位進(jìn)行深度的實(shí)戰(zhàn)化合作，長期對全球范圍內(nèi)的APT組織進(jìn)行深入的、持續(xù)化的跟蹤和研究分析。

　　目前知道創(chuàng)宇已經(jīng)形成了安全產(chǎn)品+專業(yè)服務(wù)一體化，通過APT測繪+APT防御的完整解決方案，幫助用戶構(gòu)建精準(zhǔn)和高效的APT全面防御能力。

　　圖：知道創(chuàng)宇A(yù)PT檢測與響應(yīng)解決方案框架

　　向前防御

　　知道創(chuàng)宇通過在全球網(wǎng)絡(luò)空間資產(chǎn)測繪、漏洞挖掘研究以及云防御持續(xù)十余年的一線實(shí)戰(zhàn)對抗，積累了海量向前防御大數(shù)據(jù)和外網(wǎng)持續(xù)交火大數(shù)據(jù)，能夠為用戶構(gòu)建向前防御能力，在空間層面將對抗地點(diǎn)放在自身網(wǎng)絡(luò)疆界以外，在時間層面提前獲取攻擊者資產(chǎn)、畫像、漏洞等一手信息，實(shí)現(xiàn)網(wǎng)絡(luò)安全防御關(guān)口前移，贏得時間和空間的主動。

　　邊界防御

　　通過在互聯(lián)網(wǎng)邊界旁路部署創(chuàng)宇云圖威脅檢測系統(tǒng)、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng)，對進(jìn)出互聯(lián)網(wǎng)的流量進(jìn)行全流量深度分析，基于基因圖譜檢測、復(fù)雜位運(yùn)算、APT情報測繪、沙箱檢測等技術(shù)，對流量中存在的0Day漏洞攻擊、勒索病毒、惡意代碼變種、惡意文件、異常訪問行為、數(shù)據(jù)泄露、暗網(wǎng)通訊、APT攻擊等進(jìn)行檢測與識別，構(gòu)建針對攻擊鏈的交叉檢測驗證體系。

　　內(nèi)網(wǎng)防御

　　通過在內(nèi)網(wǎng)主機(jī)或云主機(jī)上部署創(chuàng)宇云影內(nèi)網(wǎng)主機(jī)安全監(jiān)測系統(tǒng)輕量級客戶端，提供對抗黑客攻擊及惡意代碼的能力，有效檢測及攔截已知和未知安全威脅如0Day攻擊、勒索病毒攻擊、橫向滲透、無文件攻擊、供應(yīng)鏈攻擊、APT攻擊等，并且可以提供資產(chǎn)清點(diǎn)、端點(diǎn)取證、溯源分析、系統(tǒng)恢復(fù)等能力，將預(yù)防、檢測和響應(yīng)集中在統(tǒng)一的控制臺流程中，為端點(diǎn)提供全面的全生命周期安全防護(hù)。

　　協(xié)同聯(lián)防

　　通過將檢測結(jié)果同步給旁路部署的威脅情報網(wǎng)關(guān)進(jìn)行聯(lián)動，實(shí)現(xiàn)對攻擊者的旁路阻斷，形成監(jiān)測預(yù)警、威脅檢測、溯源分析和響應(yīng)處置能力閉環(huán)，同時可與云端進(jìn)行實(shí)時情報更新，實(shí)現(xiàn)全網(wǎng)聯(lián)防聯(lián)控。創(chuàng)宇威脅感知大數(shù)據(jù)平臺（CIC）則可以收集多源的高級威脅檢測數(shù)據(jù)，通過大數(shù)據(jù)建模和關(guān)聯(lián)分析，實(shí)現(xiàn)全局視角的威脅態(tài)勢感知和風(fēng)險研判。

　　專家服務(wù)

　　知道創(chuàng)宇404實(shí)驗室APT高級威脅情報團(tuán)隊由經(jīng)驗豐富的安全專家組成，長期為國家相關(guān)部門進(jìn)行APT監(jiān)測相關(guān)技術(shù)支撐，可為客戶提供專業(yè)的一手APT情報、APT木馬及流量分析服務(wù)，協(xié)助客戶實(shí)現(xiàn)安全事件的溯源分析，持續(xù)提升高級威脅檢測與響應(yīng)能力。

　　多管齊下

　　助力企業(yè)客戶打好應(yīng)對APT攻擊的組合拳

　　404實(shí)驗室APT高級威脅情報團(tuán)隊的專家介紹，在產(chǎn)品層面，知道創(chuàng)宇主要通過：創(chuàng)宇云圖威脅檢測系統(tǒng)、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng)、創(chuàng)宇云影內(nèi)網(wǎng)主機(jī)安全監(jiān)測系統(tǒng)、創(chuàng)宇威脅感知大數(shù)據(jù)平臺（CIC）在內(nèi)的四款安全產(chǎn)品，來幫助用戶打好應(yīng)對APT攻擊的組合拳。

　　”創(chuàng)宇云圖威脅檢測系統(tǒng)、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng)實(shí)現(xiàn)了基于網(wǎng)絡(luò)全流量的高級威脅檢測。創(chuàng)宇云影提供了覆蓋個人終端、主機(jī)側(cè)的高級威脅檢測和響應(yīng)處置的能力。創(chuàng)宇威脅感知大數(shù)據(jù)平臺（CIC）則可以收集多源的高級威脅檢測數(shù)據(jù)，通過大數(shù)據(jù)建模和關(guān)聯(lián)分析，實(shí)現(xiàn)全局視角的威脅態(tài)勢感知和風(fēng)險研判。“

　　客戶案例：

　　助力某央企精準(zhǔn)感知未知威脅 實(shí)現(xiàn)高級威脅防護(hù)

　　在采訪中，404實(shí)驗室APT高級威脅情報團(tuán)隊的專家為我們分享了知道創(chuàng)宇成功幫助某央企構(gòu)建APT檢測與防御能力的成功案例。據(jù)介紹，此前該企業(yè)客戶也曾部署過其他安全廠商旗下的NTA、NDR、EDR類型設(shè)備進(jìn)行嘗試，但經(jīng)檢測分析結(jié)果發(fā)現(xiàn)，其在未知威脅攻擊防護(hù)方面效果仍然欠佳，無法實(shí)現(xiàn)精準(zhǔn)檢測和事后的溯源分析。因此迫切需要找到一套真正符合自身安全建設(shè)需求的系統(tǒng)性解決方案，更全面、及時地監(jiān)測到各類APT攻擊信息，增強(qiáng)對于重要系統(tǒng)的安全監(jiān)控。

　　關(guān)鍵挑戰(zhàn)

　　在對客戶的安全現(xiàn)狀進(jìn)行全面深入的檢測和梳理過后，知道創(chuàng)宇發(fā)現(xiàn)該企業(yè)主要存在三個方面的痛點(diǎn)：

　　01 APT攻擊來去無影蹤，難以獲取APT組織的線索，無法做到及時防御，信息泄露造成嚴(yán)重?fù)p失；

　　02 當(dāng)前分析流量主要依靠人工，高級安全分析人員人手欠缺，無法支撐大量的告警分析，且不可控因素較強(qiáng)；

　　03 溯源困難，無法全面了解已發(fā)生的APT事件背景包括攻擊目標(biāo)、范圍、趨勢等信息，無法對未來的安全規(guī)劃提供合理化建議。

　　解決方案

　　針對這一企業(yè)存在的安全問題，知道創(chuàng)宇安全團(tuán)隊通過多次現(xiàn)場溝通和調(diào)研，最終在該客戶總部數(shù)據(jù)中心互聯(lián)網(wǎng)邊界旁路部署了創(chuàng)宇云圖威脅檢測系統(tǒng)、創(chuàng)宇獵幽APT流量監(jiān)測系統(tǒng)對進(jìn)出互聯(lián)網(wǎng)的流量進(jìn)行全流量深度分析，為了減少對原有鏈路的影響，采用1分2分光器以80:20的分光比例對流量進(jìn)行采集。

　　同時在辦公PC、云主機(jī)、物理主機(jī)上分別部署創(chuàng)宇云影內(nèi)網(wǎng)主機(jī)安全監(jiān)測系統(tǒng)輕量級客戶端進(jìn)行安全檢測，并將安全檢測的數(shù)據(jù)匯總于管理中心進(jìn)行安全分析。在發(fā)生告警后，知道創(chuàng)宇安全專家協(xié)助客戶進(jìn)行現(xiàn)場取證，結(jié)合創(chuàng)宇智腦威脅情報進(jìn)行深入分析，對攻擊鏈完整還原，提供分析報告并給出安全策略的優(yōu)化建議。

　　應(yīng)用效果

　　在該系列產(chǎn)品全面部署上線后，僅一周的時間內(nèi)，知道創(chuàng)宇就在該企業(yè)內(nèi)網(wǎng)中發(fā)現(xiàn)包括內(nèi)網(wǎng)webshell滲透攻擊、內(nèi)網(wǎng)主機(jī)感染mozi木馬進(jìn)行橫向傳播、內(nèi)網(wǎng)主機(jī)感染Polaris木馬進(jìn)行橫向傳播、內(nèi)網(wǎng)主機(jī)對其他內(nèi)網(wǎng)主機(jī)進(jìn)行漏洞攻擊、內(nèi)網(wǎng)主機(jī)感染多個APT組織木馬及其他各類木馬，以及多起外部IP對內(nèi)網(wǎng)進(jìn)行漏洞攻擊事件，隨后快速有效幫助該客戶精準(zhǔn)感知未知威脅并進(jìn)行快速處置。

　　專家們談到，能否真正助力客戶精準(zhǔn)感知未知威脅、實(shí)現(xiàn)高級威脅防護(hù)，是衡量廠商安全能力和APT攻擊檢測與響應(yīng)解決方案價值的唯一準(zhǔn)繩。他們認(rèn)為，知道創(chuàng)宇這一套APT攻擊檢測與響應(yīng)解決方案價值主要體現(xiàn)在以下四個方面：

　　01 首創(chuàng)將ZoomEye全球網(wǎng)絡(luò)空間測繪與APT情報相結(jié)合，產(chǎn)出精準(zhǔn)的高價值A(chǔ)PT測繪情報并落地到產(chǎn)品，有效提升APT攻擊的感知能力。

　　02 對Seebug 漏洞平臺進(jìn)行規(guī)則轉(zhuǎn)化，形成特有的漏洞規(guī)則，有效提升產(chǎn)品針對漏洞利用攻擊的檢出能力。

　　03 對用戶關(guān)鍵的網(wǎng)絡(luò)流量進(jìn)行全流量威脅分析，將人工智能落地到網(wǎng)絡(luò)安全領(lǐng)域，利用大數(shù)據(jù)與人工智能技術(shù)構(gòu)建網(wǎng)絡(luò)攻擊檢測預(yù)溯源解決方案。

　　04 對云端情報、全流量檢測、終端檢測多種技術(shù)發(fā)現(xiàn)的威脅進(jìn)行進(jìn)一步的關(guān)聯(lián)分析，基于APT攻擊鏈及攻擊場景模型挖掘出高級威脅。

　　APT攻擊將持續(xù)復(fù)雜化和隱蔽化

　　更加難以檢測和防范

　　采訪最后，談及APT攻擊未來攻防趨勢以及知道創(chuàng)宇的應(yīng)對思路時，404實(shí)驗室APT高級威脅情報團(tuán)隊的專家談到，”未來3-5年黑客會更加有針對性、有組織性地對關(guān)基單位、企業(yè)發(fā)起攻擊，以達(dá)到竊取重要信息，非法盈利的目的。比如前段時間，勒索組織對國際知名安全廠商思科進(jìn)行定向勒索。類似的這些攻擊也往往具有強(qiáng)時效性，漏洞剛被披露甚至是未被察覺的時候，黑客就發(fā)起了攻擊，讓大家措手不及，難以及時應(yīng)對?！?/p>

　　此外，未來高級威脅可能會更多地針對現(xiàn)有特征檢測技術(shù)的對抗，實(shí)現(xiàn)對特征檢測技術(shù)的繞過，如IDS類檢測特征繞過、殺軟特征繞過，也有研究利用人工智能技術(shù)，如強(qiáng)化學(xué)習(xí)，訓(xùn)練對抗現(xiàn)有檢測手段的繞過能力工具或樣本，以及更多地使用加密或隱蔽隧道方式，隱藏攻擊行為和內(nèi)容。

　　他們表示：”知道創(chuàng)宇404實(shí)驗室APT高級威脅情報團(tuán)隊針對未來趨勢，將依照向前防御理念，從國內(nèi)領(lǐng)先的Seebug漏洞平臺上提取實(shí)時披露的最新漏洞信息，在第一時間將最新高危漏洞轉(zhuǎn)化為規(guī)則特征，確保N day漏洞攻擊的優(yōu)越檢測性能?！?/p>

　　同時知道創(chuàng)宇404實(shí)驗室也將持續(xù)深研測繪與情報結(jié)合的解決方案，增加APT情報提前獲取的準(zhǔn)確性、高效性。對于某些復(fù)雜攻擊，知道創(chuàng)宇404實(shí)驗室將專門定制模型算法，結(jié)合機(jī)器學(xué)習(xí)、大數(shù)據(jù)處理，有針對性地對其進(jìn)行檢測，目前已在實(shí)戰(zhàn)中驗證了隱蔽隧道檢測模型針對加密流量進(jìn)行檢測的優(yōu)越性。此外，知道創(chuàng)宇相關(guān)產(chǎn)品還將進(jìn)一步的與云防御持續(xù)交火大數(shù)據(jù)融合，以數(shù)據(jù)情報為全線產(chǎn)品動態(tài)賦能，形成云地聯(lián)動、多點(diǎn)協(xié)同的聯(lián)防聯(lián)控能力，協(xié)助客戶構(gòu)建積極防御體系。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<