深信服|深信服2021年度安全技术盘点,解决了用户哪些需求呢?( 二 )


针对传统杀毒引擎无法检测的高级威胁,我们研发了IoA(Indicator of Attack)高级威胁检测系统。与传统方法检测攻击工具不同,IoA高级威胁检测系统着重检测攻击的技术、战术和过程,了解攻击者意图,在终端上进行攻击阶段的纵深检测和防御。
攻击者在终端上不同攻击阶段的全部行为都会被终端检测响应平台EDR采集记录,再基于用户真实环境上下文关联,通过上下文聚合分析,检测出攻击事件或潜伏在内网的攻击,并可基于进程链的形式还原攻击路径,帮助用户可视化展现攻击事件。
深信服|深信服2021年度安全技术盘点,解决了用户哪些需求呢?
文章插图

很开心地跟大家分享,深信服IoA高级威胁检测系统从2021年11月开始试点,仅1个月已在8000+终端部署,检测出1起利用Gitlab漏洞真实完整的恶意攻击、200+黑灰产攻击、20+红队攻击(实现100%检出率)。
深信服|深信服2021年度安全技术盘点,解决了用户哪些需求呢?
文章插图

今年,国家发改委重点提及虚拟货币挖矿的全链条治理工作。年底各级政府和相关行业纷纷响应,通报了多家单位。挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维成本暴涨,一些挖矿主机极有可能会被植入病毒,导致更严重的网络安全攻击事件等。加密挖矿逐渐成为主流,明文的检测规则已经不再适用,我们急需解决用户对加密挖矿的检测需求。
于是,我们聚焦恶意加密流量的识别,前期通过跑沙箱样本、执行黑客工具等方式收集大量恶意加密流量,从加密前后的通信特征推演,研发了一套专门针对恶意流量的精准识别模型。
深信服|深信服2021年度安全技术盘点,解决了用户哪些需求呢?
文章插图

深信服加密流量识别的核心算法目前已经申请了20+项发明专利,涉及异常检测、机器学习、深度学习等。
值得注意的是,我们的加密挖矿检测有效检出设备超过1000+,矿池IP超过50+,涉及多个挖矿家族(紫狐、双枪、独狼、贪狼等),覆盖多个常见币种(门罗币、以太坊、奇亚币等)。
深信服|深信服2021年度安全技术盘点,解决了用户哪些需求呢?
文章插图

随着攻防技术的升级,黑客的攻击手法也越来越隐蔽,大量使用加密技术,将恶意流量隐藏在正常流量中,成功绕过防护设备。数据显示,通过 Internet 与远程系统通信的恶意软件中有近一半(46%)使用了 TLS加密通信。然而对于此类隐藏的高级威胁,用户完全无感,极易造成数据泄露等重大安全事件。
对此,我们创新提出了“异常检测+主动探测”的未知威胁检测。在异常检测阶段,基于流量特征发现可疑行为,不放过任何一条蛛丝马迹,实现低漏报、高检出;而后在主动探测阶段,进行二次验证,做到零误报,保证推送事件的准确性。
深信服|深信服2021年度安全技术盘点,解决了用户哪些需求呢?
文章插图

目前这种检测技术已上线态势感知SIP、NDR,以及托管式安全运营服务MSS,覆盖60+用户,报送高价值事件120+起,包括黑客攻击、违规操作、攻防演练等多个场景。
深信服|深信服2021年度安全技术盘点,解决了用户哪些需求呢?
文章插图

随着网络安全的发展,用户不断增加在安全建设方面的投入、采购大量的安全设备,但依旧做不好安全运营,到底是为什么?我们发现,用户的不同安全设备会产生大量告警,而且运营人员缺乏丰富处置经验,人工处置往往不及时;同时,不同厂商的设备无法联动,也给用户带来无法及时处置的工作负担,导致运营成本不断增加,用户深受困扰。
由此,我们构建了深信服安全产品联动能力体系,通过SOAR安全编排与自动化响应,使安全建设向“智能化、自动化、动态化”能力提升,实现“自动响应闭环,持续安全运营”。