安天反高级威胁方案(全版本)

威胁阻断
智能流量控制 基于用户与应用的多级策略 专业入侵防护
多引擎一体化扫描（AV/IDP/恶意软件/URL）
镇关—防火墙需要更新换代
网 络 威 胁
Web威胁 僵尸网络 木马 蠕虫
18
6X
APT 移动威胁
WEB
+
+
手段多样&隐蔽 难以管控
威胁激增
高级持续性威胁（APT）攻击越来越复杂， 越来越隐蔽，方法也越来越多。 许多威胁依附在应用之中传播肆虐 Gartner报告：75%的攻击来自应用层
自我保护
自我学习
网络模拟 行为触发
卖家秀与买家秀
智能消重
诱饵文件
追影是唯一被公安部认定为“增强级”反APT产品
37
解决方案价值
38
APT 解决方案
解决方案价值——快速响应能力
39
发现
评估
上传样本
确认
处置
分析样本,提取病毒特征 获取升级包
本地化 分析
本地化分析
升级包下发
闭环时间缩短为以分计 无需将涉密样本上传云端，样 本无需人工干预 样本行为和威胁详细报告
国产独立引擎
15
工程化病毒分析，自有病毒分析 工具，日处理病毒样本上报>20万 件
庞大的病毒家族库及特征识别， 准确命名病毒才能正确应对威胁
准确分类 关键网络探针部署/分布式 蜜罐/诱饵信箱/用户上报 等全面捕获渠道 病毒分析流水线 研究机构情报共享 自身海量病毒捕获能力
与全球主要病毒研究机构建 立情报共享机制，实时掌握 最新病毒特征
动态分析
综合 关联 分析
动态行为分析 （沙箱）
静态分析
格式解析 模拟执行 行为监控记录 文件判定
文件格式解析 ShellCode发现 漏洞检测 堆喷射检测 字符串信息提取
追影强大的沙箱分析效果
模拟环境真实度 小沙箱，大不同
36
沙箱功能成熟度
移动介质 运行环境
office QQ PDF reader DNS解析 HTTP响应
超级工厂病毒 在2010年7月开始爆发。它利用了微软操作系统中至少4个 漏洞，其中有3个全新的0day漏洞，据赛门铁克公司的统计， 目前全球已有约45000个网络被该蠕虫感染，其中60%的受 害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核 电站遭到攻击。
传统威胁正在向持续、高级的新威胁（APT）演进，对传统安全产品来说新威胁难以检测
目录
32
多维静态扫描
动态模拟分析 发现0Day漏洞
发现免杀木马
APT 解决方案
判定未知威胁
追影——全网未知文件深度分析
初次接触 提升权限 横向移动 完成任务
33
1 2 3 4 5 6 7
建立连接 内部侦查 保持存在
1. 可疑文件异步分析
2. 发现未知恶意文件
3. 发现0day/1day漏洞
攻击武器：
组件名称 EquationLaser EquationDrug DoubleFantasy TripleFantasy Fanny
说明 Equation组织早期使用的植入程序 支持被攻击者动态上传和卸载的模块插件、高级系统。 验证式的木马，验证感染对象是否为预期目标，确认目标后自动 升级更复杂的攻击平台。 全功能的后门程序。 利用若干未被公开的0day漏洞制作的通过USB设备传播的蠕虫， 可攻击物理隔离网络并回传收集到的信息。可升级至 DoubleFantasy和EQUATIONDRUG。 最复杂的攻击组件，完全驻留在注册表中在操作系统启动时执行。
防火墙需要更新换代
•传统的防火墙基于包头信息 •可是却无法分辨应用及其内容
•也不能区分用户
•更无法分析记录用户的行为
镇关—与传统防火墙对比
19
端口 VS.
应用
传统FW（基于端口、IP）
镇关 （基于应用、用户、内容）
传统FW无法根据端口识别和控制应用。无法应对APT攻击。 镇关的进步在于更精细的访问控制，最佳使用原则： 基于应用 + 白名单控制 + 最小授权
高 效
办公/网银
扩大的网络边界--私接无线AP、随身Wifi
25
内网探针检测
内部网络扫描与移动探针相结 合的方式
26
无线检测探针
快速检测及自动阻断BYOD
27
边界检查系统
检测到有非法AP 接入，违规 BYOD设备接入
根据应急策略定 义，自动完成IPMAC-SwitchPort 定位
根据响应策略要 求，确认是否自 动阻断
事件回顾
高速信息采集（流量、文件）
恶意代码全面检测（病毒、木马、蠕虫）
本地化行为分析能力 APT检测能力
国内最早的态势感知可视化系统
安天反高级威胁方案
www.antiy.com
一个典型的APT攻击
2
陆续曝光的APT（高级持续性威胁）攻击
3
Aurora(极光) 2010年1月12日，Google在它的官方博客上披露了遭到了极 光攻击。Google的一名雇员点击即时消息中的一条恶意链接， 引发一系列事件导致这个搜索引擎巨人的网络被渗入数月， 并且造成各种系统的数据被窃取。这次攻击以Google和其它 大约20家公司为目标。
APT是一种有计划、 有目标、有实力、有 策略、有耐心的综合 手段的进行的攻击， 一般都是组织的黑客
行为。
GrayFish
硬 盘 固 件 重 新 编 利用硬盘厂商的升级指令，篡改硬盘固件，获取用户数据于无形 程 安天2014年3月4日对此事件形成V1版报告：http://www.antiy.com/response/EQUATION_ANTIY_REPORT.html
镇关—一体化框架
全识
1000+ 应用特征
20
细管
基于对象的多级嵌套
深查
AV/IDP/恶意软件/URL 四大特征库 AV 引擎 一 体 化 并 行 查 杀 IDP引擎
应用分析 内容过滤
Ports ≠ 应用 Packet ≠ 内容
应用分级 服务保障 内容监管
单次解析 深度并行扫描 精细高效
镇关—智能识别
3. 追溯处置恶意文件
智甲终端防御系统是终端安全守卫者
安全基线
30
城墙
四级策略
兵营
定点清除
炮塔
全网追溯
箭塔
智甲特点
31
小
硬盘空间占用：95M 闲时内存占用：24M 扫描时内存占用： 60M
轻
上行带宽：每百终端 每小时2.66M 下行带宽：每百终端 每小时0.87M
快
一键查杀：秒级 全盘查杀：增量机制， 二次全盘查杀时间从1小 时降到10分钟以下。
双万兆线速检测能力 • 高速多级别检测：包级别引擎/流级别引擎/文件级别引擎 • 家族化特征匹配，提升检测效率 • 专用硬件加速，实现20G高速处理 高精度检测 • 2千万条检测规则，可检测恶意代码超670万类 • 事件风险吸收体系，避免管理者被告警淹没 • 精确定位病毒事件源头
探海亮点——自主反病毒引擎
安天多年来持续跟踪分析的APT事件
6
APT主要攻击方式
7
0Day漏洞 商用攻击平台 已有安全系统绕过
长期潜伏 侵害行为隐蔽性强 损失巨大
威胁≠ 攻击 威胁> 攻击
反APT重点要防恶意代码
恶意代码是APT攻击中的必用“武器”
8
通过恶意代码管控和防御，对APT攻击 手段进行高效打击： 远控 回传 僵尸 暴力破解 网络扫描 主机探测 黑客工具 文档溢出 DNS劫持 木马 提权 横向移动 暴力破解
RSA SecurID EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料 被窃取。使用SecurID作为认证凭据的VPN网络的相关公司重要资 料后续也被窃取。
安天APT事件库已分析整理APT攻击事件超过80起
安天对一个APT事件的追踪分析
方程式
5
方程式组织（Equation Group）是2015年2月发现的超级网络攻击团体。该组织使用的“方程 式”攻击平台已经持续开发了20余年，该组织拥有一套用于植入恶意代码的超级制式信息武 器库，包含7-8款攻击程序，每个程序又包含大量的攻击组件。方程式组织总能比其他组织 早发现漏洞，使用大量漏洞进行传播，在安全攻防对抗中具有绝对的优势。到目前为止，方 程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯、中国（含香港）、英国、印度 等全球超过30个国家感染了数千主机，受害者可能上万。
陆续曝光的APT（高级持续性威胁）攻击
4
火焰 2012年5月，俄罗斯发现一种强大的病毒“火焰”在中东地区大 范围传播。俄罗斯电脑病毒防控机构卡巴斯基称，这种新病毒可 能是“某个国家专门开发的网络战武器”。 “火焰”病毒最早可能于2010年3月就被攻击者放出，但一直没 能被其他网络安全公司发现。 攻击目标：伊朗石油部门的商业情报。
目录
9
APT 解决方案
安天APT解决方案
10
追影威胁分析系统 关键信息记录 网络枢纽
流量捕获、高速检测 网络边界 探海威胁检测系统
修改入口策略 镇关威胁阻断系统
智甲终端防御系统
重点保护 核心资产 智甲终端防御系统 威胁追溯、处置 终端边界
发现&防御APT新威胁的关键点
APT一般的攻击步骤：
初次接触 提升权限 横向移动 完成任务
11
1
2 3 4 5 6 7
建立连接 内部侦查 保持存在
标星的是恶意代码传输和活跃的步骤
安天APT解决方案
12
发现是防御的前提
数据包检测 数据流检测
文件还原
文件检测 恶意URL
APT 解决方案
探海——入口与内网枢纽高速检测
初次接触 提升权限 横向移动 完成任务
13
1 2 3 4 5 6 7
视频
QQ
镇关—精细化权限安全
内网用户 外网用户 允许访问业务系统 允许下载内部服务器文件 禁止外发敏感内容邮件、非法 信息 允许访问指定业务系统 禁止下载内部特定文件 对发到内部邮件、上传内部的 文件进行安全过滤
内部网络 ASG
23
互联网
下一代应用安全网关可实现同一用户在不同 时间地点、访问相同目标对象，给予不同的 内容及行为控制 在浏览、搜索、发布、邮件、文件传输等多 途径控制基础上，结合病毒过滤和入侵防御， 阻断涉密、非法、有害内容传递
用户认证服务器
业务服务器
基于时间、地点、身份、内容的权限管理
镇关—链路负载均衡
公网服务器 电信 公网用 户 网通 教育 网
24
DNS
电信

网通
DNS
出站方 向流量
入站方 向流量
办公网络
数据中心
办公网络 网通
内部用户DNS设置为电信 DNS
智 能
移动应用 Internet 娱乐 IM P2P 视频 应用 电信
目录
16
斩断入侵行为的黑手
应用识别
APT 解决方案
高危行为组合识别
应用高危流量
木马行为阻断
镇关—威胁行为综合治理
初次接触 提升权限 横向移动 完成任务
17
1 2 3 4 5 6 7
建立连接 内部侦查 保持存在
异常分析
智能用户识别 （1000+应用特征） 智能应用识别 智能行为分析
全网升级 全网查杀
解决方案价值——已知APT事件追溯防御
40
• 攻击工具和恶意文件追 溯 • 攻击利用漏洞排查
• 分析和排查APT事件可能帮助我们：
发现类似攻击，减少损失，锁定攻击者 修补管理和流程上的漏洞 升级网络安全方案，技术上防御类似攻击
解决方案价值——威胁3D直观展示
41
态势感知
疫情展示
21
IPS库
病毒库
APP库
URL库
应用识 别
用户识 别
终端识 别
用户 张三
组织单位 研发中心
应用
终端系统
李丽 李四
财务部 采购部
镇关—带宽管理
线路 通道1
部门A 网络流量 部门B 部门C 子部门1 子部门2
22
通道2
通道3 通道4 IP/用户 应用
用户 XX IP组 XX IP XX
子部门3
Web 迅雷
4. 将发现同步给系统内其他安全设备处置
追影——功能构成
34
多来源
开源沙箱
静态分析 动态分析 场景模拟
追影
分析报告
行为分析
已知APT对照
处置建议
手工 提交
第三方 设备
关联分析
自我学习
人工关联 分析分析
追影综合分析能力
NSRL 美国司法认可
35
关联判黑
病毒引擎扫描
4040万MD5 1.48亿白名单
建立连接 内部侦查 保持存在
产品价值—发现威胁
恶意代码（木马等）进入网络 恶意代码在网内横向移动 未知威胁捕获，向Байду номын сангаас析设备提交 威胁追溯（IP、URL、域名）
产品功能
协议解析、文件还原 威胁五元组记录 已知恶意代码检测 未知恶意代码联动
探海——性能特点
14
入口和枢纽节点要求高速高精度检测
目录
28
四级策略保护 安全基线自定义 恶意代码云查杀 全网定点追溯
APT 解决方案
保护终端信息安全
智甲——终端和主机上的全面的防护
初次接触 提升权限 横向移动 完成任务
29
1 2 3 4 5 6 7
建立连接 内部侦查 保持存在
1. 阻止恶意代码的入侵和启动
2. 确认鉴定可疑文件的属性