概述
APT(Advanced Persistent Threat,高級持續性威脅)是黑客以竊 取核心資料為目的�����,針對企業發動的網絡攻擊和侵襲行為�。其目標是
訪問企業網絡���、獲取數據���,并長期地秘密監視目標計算機系統�����。近年 來,APT攻擊已經成為業界關注和討論的熱點���。因其獨特的攻擊方式和
手段,傳統的安全防御工具無法有效防御。典型的APT攻擊���,包括多個 攻擊過程,如:資源偵查、外部滲透、命令與控制、內部擴散、數據
外發等。一旦攻入企業內部��,黑客能在企業內部持續橫向滲透�����,收集 敏感信息并回傳����,造成巨大的損失����。
華為推出的CIS(Cybersecurity Intelligence System,網絡安全智
能系統)����,采用最新大數據分析和機器學習技術�,可用于抵御APT攻 擊��。它從海量數據中提取關鍵信息����,通過多維度風險評估���,采用大數
據分析方法關聯單點異常行為��,從而還原出APT攻擊鏈����,準確識別和 防御APT攻擊���,避免核心信息資產損失���。
全面檢測:基于APT攻擊鏈���,檢測單點事件���,關聯組合威脅
? 數據采集:通過采集關鍵網絡路徑的流量�����,包括WEB流量����、MAIL流 量�、DNS流量等,通過采集關鍵設備和服務器端的日志信息���,獲取
相關軟件在終端的各種行為信息等。
? 檢測分析:CIS在收集的大量的原始的流量信息和日志/事件等數據 的基礎上��,采用大數據的技術進行關聯分析����。CIS提供了豐富的異
常行為檢測模型,通過離線檢測�、實時檢測����、關聯分析�、機器學習 和綜合評估實現貫穿APT攻擊全階段的檢測��,輔以上下文信息的驗
證���,針對APT全攻擊鏈中的每個步驟��,滲透、駐點���、提權、偵查�����、 外發等各個階段進行檢測���,建立文件異常��、mail 異常���、C&C異常檢 測����、流量異常��、日志關聯��、web 異常檢測、隱蔽通道等檢測模型并 關聯檢測出高級威脅��。實現精確的APT攻擊預警���,通過主動防御����,
有效縮小攻擊時間窗����,降低了企業損失。
全網協防:威脅聯動安全設備、終端設備處置閉環,云端信 譽共享
? 安全設備聯動:CIS系統檢測出的威脅信息�����,能夠在分鐘內聯動到
華為NGFW設備,在網絡側進行阻斷。
? 終端設備聯動:CIS系統可將檢測結果同步給第三方終端設備,在
終端進行檢測并清除威脅��。 ? 云端服務:CIS系統檢測出的威脅情報信息�,能夠上傳到全球威脅
智能中心,智能中心對外提供信譽查詢服務。同時�����,CIS系統還 能夠根據客戶需求�����,自動或手動到云端信譽中心�,查詢IP信譽�����、 Domain信譽���、文件信譽等���,結合信譽信息做高級分析����;CIS系統還 提供云端情報web查詢界面����,協助客戶對檢測出的威脅做進一步的
調查分析�。
全網可視:安全態勢實時感知,PB級數據秒級檢索溯源
? 威脅地圖呈現: 通過威脅地圖直觀展示企業在全球范圍內面的威 脅和最近發現的威脅事件���,方便安全運維分析人員能及時發現威
脅、預判全網安全走勢���。
? 智能檢索:支持通過關鍵字、條件表達式����、時間范圍對事件和流量 元數據進行快速檢索��,快速定位到安全運維分析人員關注的威脅和
上下文數據,并支持查看數量趨勢統計和檢索結果詳細數據�,10億 條記錄查詢5秒內返回結果��。
? 支持基于攻擊鏈進行事件調查,通過不同的攻擊階段關聯流量元 數據���,在流量元數據檢索結果列表可以下載元數據相關的PCAP文 件,在同一個界面方便安全運維分析人員進一步取證分析�����,調查效 率高效快速�����。
