明朝萬達“Chinasec(安元)高階持續性威脅檢測系統”助力金融行業抵禦APT攻擊
9月20日電 目前,APT(高階持續性威脅)攻擊已經對金融系統、交通、能源,甚至地緣政治造成巨大的影響。APT攻擊廣泛採用0day漏洞、高階定製木馬、專用攻擊裝置進行攻擊和資訊獲取,具有難發現、難維護、難分析、難追蹤的特點。傳統的網路安全防護手段已經難以應對APT攻擊。
針對金融行業,2016上半年發生了以孟加央行為代表的一系列發展中國家的央行和大型國有銀行被盜事件,受害者損失高達數千萬美元。2016下半年發生了以臺灣第一銀行ATM機吐鈔事件為代表的一系列ATM機攻擊事件。2015年針對金融高管的勒索郵件開始大規模傳播造成嚴重損失。2015年SWIFT系統漏洞導致銀行造成過億美元損失。
金融行業企業在實施APT攻擊檢測之前,有必要了解一下APT攻擊的原理,在這裡我們主要針對水坑攻擊和釣魚郵件兩種攻擊方式(據權威機構公佈在中國這兩種APT攻擊方式佔全部APT攻擊的90%左右)進行說明:
水坑攻擊:當訪問者訪問網際網路上的連結時,有可能會訪問到水坑網站,如偽造的某銀行的官網,該網站會提示瀏覽器端的FLASH元件需要更新,此時訪問者由於對該銀行的信任而下載偽裝的升級包,升級包下載完成之後,會像正常的升級包一樣在客戶端進行安裝,而該檔案在後臺則會釋放惡意程式碼,惡意程式碼會外聯惡意網站並取得聯絡,外部的APT攻擊組織接收到資訊後,則會遙控下載更多的惡意元件,並對企業內部網路進行攻擊、資訊收集,進而造成企業重大損失。
釣魚郵件 :攻擊者採用偽裝某銀行的郵件伺服器,向銀行的內部員工傳送《**銀行領導層重大人事任命》之類的郵年,這類郵件通常會是關係銀行員工切身利益的重要話題,員工急於瞭解真實情況,而忽略了郵件伺服器的驗證,開啟附件,附件會顯示偽裝的正常檔案給員工閱讀,而該檔案在後臺則會釋放惡意程式碼,惡意程式碼會外聯惡意網站並取得聯絡,外部的APT攻擊組織接收到資訊後,則會遙控下載更多的惡意元件,並對企業內部網路進行攻擊、資訊收集,進而造成企業重大損失。
透過對APT攻擊過程的瞭解,我們可以看到其攻擊的過程主要依賴網路、郵件和終端三個渠道來完成,因此主要防禦的重點也落在這三個部分:
網路 :主要監控入口的HTTP/HTTPS流量,獲取協議中的檔案附件,對其進行靜態威脅情報檢測及動態沙箱攻擊檢測,以有效的檢測威脅;
郵件 :對進入郵件伺服器的郵件進行附件提取,獲取郵件中的檔案附件,對其進行靜態威脅情報檢測及動態沙箱攻擊檢測,以有效的檢測威脅;針對威脅郵件可以依據威脅等級設定阻斷策略,完成郵件阻斷;
終端 :對外設傳入電腦終端的檔案執行檢測,並對不同渠道發現的威脅進行威脅查詢、威脅隔離及威脅處理;
透過三個渠道的有效結合,形成威脅發現、威脅記錄、威脅阻斷及處理的閉環處理過程。
針對APT攻擊,明朝萬達同中科院軟體所一起合作研發共同推出了“高階持續性威脅檢測系統”,該產品具有如下優勢:
產品全面覆蓋網路、郵件、終端三個不同的渠道,全面檢測APT攻擊,並進行威脅協同處理;
網路側,可以解析下行HTTP/HTTPS(需要流量解密裝置協助處理)協議;
針對郵件側支援下行SMTP、IMAP、POP3協議;
針對終端側結合明朝萬達自有的可信網路安全管理平臺軟體完成同APT管理控制中心的聯動,有效發現和處理APT威脅;
APT動態檢測引擎擁有全球最高的威脅檢出率,目前已經在五大行之一的國有銀行以及國家其它涉密組織進行驗證,在純動態檢測的情況下,檢出率最高;
完成同多家威脅情報廠商整合,支援威脅情報的靜態檢測,大大降低APT動態檢測的資源及時間成本,提高系統的響應效率及檢測準確率;
該產品也提供了很好的相容性,提供介面可以完成同企業現有安全裝置及應用系統的整合,為其提供全企業統一的APT威脅檢測能力,同時也可以將檢測的報告和重大的安全事件提供給企業的SIEM、SOC之類的系統進行統一安全態勢感知及威脅處理。