遭遇高级持续威胁攻击(APT 攻击)几乎是每家企业的噩梦。这意味着受攻击企业的核心数据已被盯上,而且很可能遭到泄露。更重要的是,这些企业大多无法快速有效独立做出反应,需要借助外部专业安全能力,实施应急响应与溯源取证。不过,互联网与金融等技术水平较高的行业是例外。由于日常安全设备与人员投入较大,且具备严格的安全运营合规性,这些领域内的企业基本足以应对绝大多数高级威胁。
某大型互联网企业就是一家这样的企业。公司员工人数上万,拥有资深的安全能力,对安全建设要求极高,内部安全团队即可处理90%的日常网络威胁。如果寻找外部专业安全能力支援,多半是遇到了高度复杂的攻击。
几个月前,该企业通过微步在线威胁感知平台TDP收到了高级持续威胁攻击的告警,并内部优先处理、取证。然而该企业安全团队发现,这次威胁的取证难度相比往常更难,经历一段时间的内部研判、调查与取证后,仍旧无法找到突破口。
最终该企业选择采用微步在线的MDR服务。在微步在线的协助下,通过安全分析师独特的分析手法,成功将威胁定位到具体服务器,并进行了后续处置。
APT攻击虽与地缘政治有关,主要攻击对象更多集中在政府与军工等行业,但针对互联网软件行业的APT攻击近两年也频频发生。被攻击企业大多人员规模庞大,业务覆盖面广,具有重要的行业地位,此类企业面临的安全挑战主要在于:
- 企业人员规模大,互联网业务多,使得办公网对外访问流量大,存在资产暴露面大,同时对检测能力,尤其是新型威胁检测能力要求极高;
- 安全设备多,告警量大,安全人员容易产生告警疲劳,增加真实威胁遗漏的几率,给企业带来潜在安全风险;
- 安全人员配置较多,核心能力以常规安全运营为主,但整体事件处理与响应能力无法满足实际安全需求。
“我们每天守着将近10个G的出口流量,表面看上去毫无波澜,但我们知道,事实上有很多新型攻击在悄悄上演,对我们这些企业的安全能力,提出了有更高的要求。”该大型互联网企业相关安全人员说道。
因此,该大型互联网企业结合自身安全需求,最终通过效果测试从多家厂商中选择与中国新一代网络安全代表企业、威胁发现与响应领军企业微步在线达成合作。微步在线以“威胁感知平台TDP+本地威胁情报管理平台TIP”为核心的解决方案,将TDP集群部署接入该企业办公网流量并保证高性能稳定检测,TIP打通已有日志管理平台与业务风控系统,从威胁检测能力、威胁告警准确性与告警噪音、事件溯源与响应能力三个维度增强安全建设。
图 | 微步在线解决方案
全流量覆盖与针对性攻击识别,提升复杂、新型、高级威胁检出能力
通常而言,高级持续网络攻击目标旨在企业高价值资产,前期会经过精心策划与长时间隐藏摸排,从而确定攻击入口,且在攻击成功后,清除相关登录日志,前后期发现难度均非常大。该大型互联网企业虽然部署了传统的防火墙、IDS/IPS、终端杀软及WAF等产品,大多只能抵御已知特定威胁,无法针对APT攻击、定制化恶意软件及0day等新型威胁进行有效检出。面对每天上万人的巨大办公网流量,如果无法做到稳定有效检测,可能对安全带来重大隐患。
TDP背靠亚洲最大的情报搜索引擎和共享社区“X情报社区”,具备秒级更新一手情报,情报能力强大。通过对请求返回双向流量检测,TDP不仅能够实现办公网络威胁全面覆盖,稳定检测,同时可针对内网主机对外访问或下载文件的URL、上传流量中还原的文件样本进行云端深度分析检测。通过TDP,在攻击早期即可快速发现未知威胁与APT攻击,提前做好准备应对各种风险。
聚焦真实威胁,降低告警噪音,缓解运维压力
安全告警噪音是另一个重要问题。某大型互联网企业自研日志管理平台,用于对安全设备、DNS服务器、终端等告警日志进行统一采集、处理与呈现,但无法关联分析,存在海量检测告警,每日可疑攻击IP达上百万,存在大量误报,给企业安全人员带来巨大的处理压力,久而久之安全人员产生告警疲劳,可能导致无法有效发现真实威胁,带来潜在安全风险。
事实上,对于海量的告警威胁,其中很多威胁可能并未攻击成功,甚至未给企业造成真实的危害,因此在安全运营中需要重点关注的,应该是那些真实的威胁。TDP基于双向全流量检测,能够从多个维度捕获攻击,自动查看返回内容从而判定攻击是否成功,最大化减少告警噪音。另一方面,微步在线本地威胁情报管理平台TIP结合实时多源情报,能够与企业已有日志管理平台联动,将日志管理平台检测到的告警信息进一步快速自动化检测分析,消除告警噪音,聚焦企业面临的真正威胁,从而缓解安全运维人员压力,节省更多时间处理高优先级安全威胁事件。
专业分析、7x24服务,提升SOC安全事件处置效率
当下大多企业整体网络安全意识与防护能力在不断提升,但仍与实际安全需求存在一定差距,普遍需要更加专业、自动化、高效的安全处置能力。该大型互联网企业虽然部署了多种安全设备,且安全团队能力比较资深,但面对巨大的办公网出口流量与大量的告警,内部不同平台处置流程时长、处置响应系统之间割裂、自动化程度,处置效率等问题逐渐凸显。
通过TDP不仅能够及时发现各种潜在的未知新型威胁,还可与现有安全设备及工单系统联动,为高危、严重告警及时创建工单,以短信或邮件方式推送至相关安全人员,实现针对大流量场景,高效、稳定的新型威胁检测与运营处置闭环。同时,基于高质量的威胁情报IOC,TDP可对攻击者画像与手法进行归类识别,对高级威胁事件进行验证,能够让企业提前了解自身基础设施风险点,提升事件溯源能力与主动防御能力。此外,微步在线为企业提供快速、专业的应急响应服务,以及定位、处置、溯源安全、追踪安全事件能力,助力保障企业重要活动期间业务正常运转,提升日常安全运营效果。
强大的安全能力不是一天建设起来的,最靠谱的方式,还是结合企业需求特点及当下安全态势,划出重点后,或查漏补缺,或持续精进。微步在线不仅为该大型互联网企业提供了丰富准确的情报能力,同时还增强了企业的日常安全运营能力,提高了对于新型重要威胁的检测能力,保证日常大流量稳定检测,同时极大释放了企业安全人员人效,为企业建立更加牢固的安全体系,赢得了更多时间与精力。