某國家通信社高級威脅檢測、溯源、響應案例

在2017年，APT組織最為關注的機構類型是政府，50%的APT組織以政府為攻擊目標；其次是能源行業，受到25%的APT組織關注。排在APT組織攻擊目標前十位的重要領域還有金融、國防、互聯網、航空航天、媒體、電信、醫療、化工等。

360企業安全集團特別從全國重點行業客戶中甄選出多家重點客戶，作為這次天眼威脅感知新一代系統的合作創新試點單位。

某通信社作為國家的關鍵信息基礎設施保護單位，承擔著時政宣傳報道工作，在國內重大會議、活動期間網路安全重保監控服務必不可少。該用戶在網路運維過程中，當出現高級威脅的時候，無法及時有效的發現，並且缺乏有效的手段進行阻斷或者應急，對於內網的異常行為和攻擊線索無法發掘，圍繞這些問題，用戶在產品實驗使用期間，與該用戶技術人員，根據業務需要，共同梳理需求、設計功能點，在提升產品服務能力的同時，確保新產品能夠更加貼近實際安全運營需要。

詳細需求

該通信社需要以先進技術手段為支撐，及時發現安全隱患，一旦發生信息安全事故，提供的安全基礎設施應能滿足追蹤、源頭定位的需要，詳細需求如下：

針對網路通信流量實時進行內容還原和記錄，對其中的安全威脅進行取證分析。

對網路流量中文件傳輸協議進行還原和分析，可分析的協議至少包含郵件（SMTP、POP3、IMAP、webmail）、Web（HTTP）、FTP、SMB，監測其中包含的已知和未知威脅。

在監測到已知或未知威脅時，需要了解攻擊過程，並制定相應的處置計劃對威脅進行消除或防禦。

解決方案

360天眼新一代威脅感知系統可基於360自有的多維度海量互聯網數據，進行自動化挖掘與雲端關聯分析，提前洞悉各種安全威脅，並向客戶推送定製的專屬威脅情報。同時結合部署在客戶本地的軟、硬體設備，360天眼能夠對未知威脅的惡意行為實現早期的快速發現，並可對受害目標及攻擊源頭進行精準定位，最終達到對入侵途徑及攻擊者背景的研判與溯源。

360天眼系統流量感測器採集用戶核心出口流量，採集伺服器區、DMZ區以及辦公區流量，對用戶網路進行全面的採集、檢測、分析。

圖1 天眼部署示意圖

部署效果

結合用戶實際環境和檢測需求，360天眼V3071版本基於攻擊鏈的調查分析功能，幫助用戶快速發現問題、定位問題，提供基於全網的安全威脅感知能力，提升全網的威脅檢測與應急響應能力。

通過天眼系統對告警日誌、威脅事件、場景化日誌進行關聯分析；分析結果以可視化視圖和攻擊鏈的方式呈現給用戶；讓用戶可以準確了解到當前受害主機受到的攻擊類型和所處的攻擊階段；以及當前攻擊行為對其他受害主機的影響幫助用戶以攻擊鏈的視角了解整個攻擊過程，協助決策者做出下一步的處置和預警。

圖2 調查分析可視化視圖

圖3 調查分析攻擊鏈視圖

天眼V3071版本提供的三大場景化功能：內網安全、賬號安全、郵件安全，通過對原始流量日誌進行分析發現企業內部的可疑行為。

天眼通過場景化的郵件安全場景，幫助用戶定時從分析平台的郵件索引日誌中，查詢出最新的郵件信息，將敏感關鍵詞匹配對應的信息欄位，判斷該郵件是否命中關鍵詞。天眼郵件安全場景，幫助用戶快速發現內網釣魚郵件，並及時的通知用戶進行處置。

圖4 敏感關鍵詞郵件

圖5 敏感後綴郵件

客戶價值

客戶部署天眼V3071版本後，給用戶帶來以下價值：

網路攻擊的回溯和分析

天眼系統還原和存儲網路流量的元數據，可以幫助客戶回溯已經發生網路攻擊行為，分析攻擊路徑、受感染面和信息泄露狀況。

基於場景化的行為分析

天眼系統首創的使用異常行為場景化分析，基於機器學習的行為分析和統計模型可以發現新異常行為和未知威脅線索。

基於攻擊序列的調查分析

天眼系統可以對攻擊事件進行全方位的調查分析，可以提供完整的分析溯源過程，展現攻擊的前因後果。

重大安全事件的快速響應

基於威脅情報的上下文，天眼系統可以幫助安全運營人員發現、研判和處置重大安全事件，如：永恆之藍、APT事件、NotPetya、Marai Botnet。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！