深信服|深信服2021年度安全技术盘点，解决了用户哪些需求呢？( 二 )

针对传统杀毒引擎无法检测的高级威胁，我们研发了IoA（Indicator of Attack）高级威胁检测系统。与传统方法检测攻击工具不同，IoA高级威胁检测系统着重检测攻击的技术、战术和过程，了解攻击者意图，在终端上进行攻击阶段的纵深检测和防御。
攻击者在终端上不同攻击阶段的全部行为都会被终端检测响应平台EDR采集记录，再基于用户真实环境上下文关联，通过上下文聚合分析，检测出攻击事件或潜伏在内网的攻击，并可基于进程链的形式还原攻击路径，帮助用户可视化展现攻击事件。

文章插图

很开心地跟大家分享，深信服IoA高级威胁检测系统从2021年11月开始试点，仅1个月已在8000+终端部署，检测出1起利用Gitlab漏洞真实完整的恶意攻击、200+黑灰产攻击、20+红队攻击（实现100%检出率）。

文章插图

今年，国家发改委重点提及虚拟货币挖矿的全链条治理工作。年底各级政府和相关行业纷纷响应，通报了多家单位。挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维成本暴涨，一些挖矿主机极有可能会被植入病毒，导致更严重的网络安全攻击事件等。加密挖矿逐渐成为主流，明文的检测规则已经不再适用，我们急需解决用户对加密挖矿的检测需求。
于是，我们聚焦恶意加密流量的识别，前期通过跑沙箱样本、执行黑客工具等方式收集大量恶意加密流量，从加密前后的通信特征推演，研发了一套专门针对恶意流量的精准识别模型。

文章插图

深信服加密流量识别的核心算法目前已经申请了20+项发明专利，涉及异常检测、机器学习、深度学习等。
值得注意的是，我们的加密挖矿检测有效检出设备超过1000+，矿池IP超过50+，涉及多个挖矿家族（紫狐、双枪、独狼、贪狼等），覆盖多个常见币种（门罗币、以太坊、奇亚币等）。

文章插图

随着攻防技术的升级，黑客的攻击手法也越来越隐蔽，大量使用加密技术，将恶意流量隐藏在正常流量中，成功绕过防护设备。数据显示，通过 Internet 与远程系统通信的恶意软件中有近一半（46%）使用了 TLS加密通信。然而对于此类隐藏的高级威胁，用户完全无感，极易造成数据泄露等重大安全事件。
对此，我们创新提出了“异常检测+主动探测”的未知威胁检测。在异常检测阶段，基于流量特征发现可疑行为，不放过任何一条蛛丝马迹，实现低漏报、高检出；而后在主动探测阶段，进行二次验证，做到零误报，保证推送事件的准确性。

文章插图

目前这种检测技术已上线态势感知SIP、NDR，以及托管式安全运营服务MSS，覆盖60+用户，报送高价值事件120+起，包括黑客攻击、违规操作、攻防演练等多个场景。

文章插图

随着网络安全的发展，用户不断增加在安全建设方面的投入、采购大量的安全设备，但依旧做不好安全运营，到底是为什么？我们发现，用户的不同安全设备会产生大量告警，而且运营人员缺乏丰富处置经验，人工处置往往不及时；同时，不同厂商的设备无法联动，也给用户带来无法及时处置的工作负担，导致运营成本不断增加，用户深受困扰。
由此，我们构建了深信服安全产品联动能力体系，通过SOAR安全编排与自动化响应，使安全建设向“智能化、自动化、动态化”能力提升，实现“自动响应闭环，持续安全运营”。