360威胁情报中心研究发现,关系国计民生的能源企业是境外黑客组织攻击的重要目标,它们利用免杀、钓鱼、水坑攻击等新手段对能源企业进行高级可持续性攻击,传统安防设备难以发现未知威胁。
国内某能源行业的巨头企业,通过部署360天眼新一代威胁感知系统采集全流量数据以及落地360威胁情报,并结合360安全服务人员基于攻防思路构建的分析模型,为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务,提升了发现和防御未知威胁的能力。
能源行业成境外黑客重点攻击目标
在当前信息安全已经上升到国家安全层面的形势下,来自国外具有国家背景的攻击者往往对大型企业进行高级持续性攻击,运用免杀、钓鱼、水坑攻击等新技术手段进行攻击。然而大量未知威胁可以绕过以特征检测为核心检测手段的传统安全防护设备,企业难以有效发现未知威胁,也就无法抵御未知威胁。如何检测未知威胁成为企业面临的挑战。
作为掌握国民经济命脉的某大型能源企业,发生此类攻击的可能性大大增加,如何检测到此类威胁也是该企业所面临的挑战。
图:能源企业是APT攻击的重要目标
全面诊断 定位核心需求
该企业内网安全需求主要有如下几点:
▲高级威胁自动化检测需求
需要对内网中手工渗透测试发现的APT攻击、木马远控、暴力破解、DNS放大攻击等多种安全问题进行自动化发现以及持续检测。
▲安全问题追踪溯源需求
需要根据存在的安全问题获取具体受害机器与外界的通信行为信息,从而发现这些安全问题对企业造成的真正危害并进行问题追踪与溯源。
▲重大安全事件的响应和处置需求
需要在遭受到重大安全事件的场景下第一时间可以研判风险的严重、组织有效的防御行动抑制攻击、提供行之有效的处置修复方案,并最终迅速消除风险。
用大数据的方法解决企业安全问题
大量未知威胁可以绕过以特征检测为核心的传统安全防护设备,现有防护系统难以有效发现未知威胁。
为了有效检测高级未知威胁,该企业总部部署了360天眼新一代威胁感知系统(以下简称天眼TSS)。360通过其所拥有的海量安全大数据,进行大数据运算和分析,结合APT跟踪团队深厚的研究能力,生产针对APT组织的威胁情报,并将其推送到企业内部所部署的天眼TSS系统。天眼TSS系统对企业互联网出口流量及内部关键区域流量进行采集和存储,本地数据和威胁情报数据进行对比分析,从而发现企业内存在的未知威胁。
图:天眼TSS产品部署示意图
该企业部署了天眼TSS系统1套,包括流量采集器2台,分析平台1台,提供3年威胁情报服务、全流量威胁分析服务、360应急响应服务。
通过360安全服务团队的全流量威胁分析,发现内部存在的未被边界安全防护体系所阻断的攻击痕迹,找到存在的不合理的暴露面、漏洞、违规方位和内部攻击等威胁,实现精细的内部风险管控,提升用户内部安全基线。通过内部失陷分析服务,找到并定位到内部系统中已经感染的主机,通过威胁情报及时发现外部攻击,精准的对攻击进行定位和定性,可做到攻击事件的调查和回溯。
并且360安全服务团队为该企业提供了3年的360安全应急响应服务,360安全服务团队依据多年实践经验并结合相关规范整合而成的《360应急响应实施规范》和目前适用性较强的应急响应的通用方法学“PDCERF”,以及依靠自身多年的技术沉淀和服务案例,建立了完善的应急响应流程,提供了有效的检测、抑制、根除、恢复的处置方案,最大限度帮助该企业彻底消除安全风险。
(点击图片查看大图)
客户价值
解决APT检测难的问题
通过部署天眼TSS系统,利用云端大数据挖掘,结合专家分析所形成的威胁情报数据与本地流量进行关联分析,最大限度地发现企业内未知威胁,从而使该企业获得了一般企业所不具备的未知威胁感知能力,使企业的安全检测能力处于行业领先地位。
提升对于攻击者分析的视野和维度
结合360云端海量安全数据, 360安全服务团队可以为该企业输出攻击者威胁情报,持续提升用户组织安全应急处置能力。利用攻击者威胁情报中的IP和IOC可以在时间维度上极大的扩充事件调查中的视野,将不同的攻击来源合并为同源攻击者,完整的看到攻击者的所有攻击手段和相关安全事件。
解决安全事件难溯源的问题
当发生安全事件后,360安全服务团队可以快速对历史流量数据进行检索,结合云端的威胁情报进行多维可视化关联,快速定位攻击、还原攻击路径和追溯攻击者,从源头上控制安全风险,降低攻击再次发生的可能性。通过部署探针,采集客户内部流量数据;通过安全事件分析规则(模型)对采集的数据进行大数据挖掘和分析,锁定安全攻击事件。
提升应对高级威胁事件处置的综合能力
在第一时间采取紧急措施,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生。
360遵守“用户利益第一”的原则,所有服务规范、服务标准都确保用户的最大利益。为该企业提供了严格的及时性服务,应急响应专家24小时处于待命作战状态,提供全全方位、全天候的应急响应服务。360针对安全事件的应急服务提供规范的事故分析和处置报告。对于每次应急事件持续跟踪,确保用户网络应用的安全运行。
▲360发布国内首个业务安全解决方案 1个月限时免费试用
▲360企业安全集团总裁吴云坤:不做别人做过的事
▲企业安全武汉研发中心开始招人啦!