明朝萬達“Chinasec(安元)高級持續性威脅檢測系統”助力金融行業抵禦APT攻擊
9月20日電 目前,APT(高級持續性威脅)攻擊已經對金融系統、交通、能源,甚至地緣政治造成巨大的影響。APT攻擊廣泛採用0day漏洞、高級定製木馬、專用攻擊設備進行攻擊和信息獲取,具有難發現、難維護、難分析、難追蹤的特點。傳統的網絡安全防護手段已經難以應對APT攻擊。
針對金融行業,2016上半年發生了以孟加央行為代表的一系列發展中國家的央行和大型國有銀行被盜事件,受害者損失高達數千萬美元。2016下半年發生了以台灣第一銀行ATM機吐鈔事件為代表的一系列ATM機攻擊事件。2015年針對金融高管的勒索郵件開始大規模傳播造成嚴重損失。2015年SWIFT系統漏洞導致銀行造成過億美元損失。
金融行業企業在實施APT攻擊檢測之前,有必要了解一下APT攻擊的原理,在這裏我們主要針對水坑攻擊和釣魚郵件兩種攻擊方式(據權威機構公佈在中國這兩種APT攻擊方式佔全部APT攻擊的90%左右)進行説明:
水坑攻擊:當訪問者訪問互聯網上的鏈接時,有可能會訪問到水坑網站,如偽造的某銀行的官網,該網站會提示瀏覽器端的FLASH組件需要更新,此時訪問者由於對該銀行的信任而下載偽裝的升級包,升級包下載完成之後,會像正常的升級包一樣在客户端進行安裝,而該文件在後台則會釋放惡意代碼,惡意代碼會外聯惡意網站並取得聯繫,外部的APT攻擊組織接收到信息後,則會遙控下載更多的惡意組件,並對企業內部網絡進行攻擊、信息收集,進而造成企業重大損失。
釣魚郵件 :攻擊者採用偽裝某銀行的郵件服務器,向銀行的內部員工發送《**銀行領導層重大人事任命》之類的郵年,這類郵件通常會是關係銀行員工切身利益的重要話題,員工急於瞭解真實情況,而忽略了郵件服務器的驗證,打開附件,附件會顯示偽裝的正常文件給員工閲讀,而該文件在後台則會釋放惡意代碼,惡意代碼會外聯惡意網站並取得聯繫,外部的APT攻擊組織接收到信息後,則會遙控下載更多的惡意組件,並對企業內部網絡進行攻擊、信息收集,進而造成企業重大損失。
通過對APT攻擊過程的瞭解,我們可以看到其攻擊的過程主要依賴網絡、郵件和終端三個渠道來完成,因此主要防禦的重點也落在這三個部分:
網絡 :主要監控入口的HTTP/HTTPS流量,獲取協議中的文件附件,對其進行靜態威脅情報檢測及動態沙箱攻擊檢測,以有效的檢測威脅;
郵件 :對進入郵件服務器的郵件進行附件提取,獲取郵件中的文件附件,對其進行靜態威脅情報檢測及動態沙箱攻擊檢測,以有效的檢測威脅;針對威脅郵件可以依據威脅等級設置阻斷策略,完成郵件阻斷;
終端 :對外設傳入電腦終端的文件執行檢測,並對不同渠道發現的威脅進行威脅查找、威脅隔離及威脅處理;
通過三個渠道的有效結合,形成威脅發現、威脅記錄、威脅阻斷及處理的閉環處理過程。
針對APT攻擊,明朝萬達同中科院軟件所一起合作研發共同推出了“高級持續性威脅檢測系統”,該產品具有如下優勢:
產品全面覆蓋網絡、郵件、終端三個不同的渠道,全面檢測APT攻擊,並進行威脅協同處理;
網絡側,可以解析下行HTTP/HTTPS(需要流量解密設備協助處理)協議;
針對郵件側支持下行SMTP、IMAP、POP3協議;
針對終端側結合明朝萬達自有的可信網絡安全管理平台軟件完成同APT管理控制中心的聯動,有效發現和處理APT威脅;
APT動態檢測引擎擁有全球最高的威脅檢出率,目前已經在五大行之一的國有銀行以及國家其它涉密組織進行驗證,在純動態檢測的情況下,檢出率最高;
完成同多家威脅情報廠商集成,支持威脅情報的靜態檢測,大大降低APT動態檢測的資源及時間成本,提高系統的響應效率及檢測準確率;
該產品也提供了很好的兼容性,提供接口可以完成同企業現有安全設備及應用系統的集成,為其提供全企業統一的APT威脅檢測能力,同時也可以將檢測的報告和重大的安全事件提供給企業的SIEM、SOC之類的系統進行統一安全態勢感知及威脅處理。