科來(lái)APT攻擊檢測(cè)系統(tǒng)是一款專門面向APT(Advanced Persistent Threat)高級(jí)持續(xù)性攻擊行為,提供全方位檢測(cè)、發(fā)現(xiàn)與防御的產(chǎn)品。APT攻擊檢測(cè)系統(tǒng)針對(duì)APT攻擊的特點(diǎn),為用戶提供多視角的檢測(cè)發(fā)現(xiàn)能力,及時(shí)發(fā)現(xiàn)針對(duì)客戶的重要資產(chǎn)實(shí)施的多種形式的定向高級(jí)攻擊,而這類攻擊行為是傳統(tǒng)安全檢測(cè)系統(tǒng)無(wú)法有效檢測(cè)發(fā)現(xiàn)。通過(guò)對(duì)高級(jí)網(wǎng)絡(luò)攻擊行為的發(fā)現(xiàn),同時(shí)提供對(duì)攻擊行為的攔截與阻斷,幫助客戶抵御網(wǎng)絡(luò)攻擊與滲透,保護(hù)客戶的重要資產(chǎn)信息與基礎(chǔ)設(shè)施免遭竊取與破壞。
APT攻擊的主要方式和途徑是通過(guò)郵件和文件向被攻擊目標(biāo)投放惡意樣本。科來(lái)APT攻擊檢測(cè)系統(tǒng)利用獨(dú)特的非商業(yè)化虛擬機(jī)分析技術(shù),對(duì)各種郵件附件、文件進(jìn)行深度的動(dòng)態(tài)行為分析,從中發(fā)現(xiàn)利用系統(tǒng)漏洞等高級(jí)技術(shù)專門構(gòu)造的惡意文件,從而發(fā)現(xiàn)和確認(rèn)APT攻擊行為。
科來(lái)APT攻擊檢測(cè)系統(tǒng)具備多維度的檢測(cè)發(fā)現(xiàn)能力,針對(duì)APT攻擊形式和途徑多樣化,攻擊持續(xù)時(shí)間長(zhǎng)的特點(diǎn),以不同的檢測(cè)視角和分析手段,獲取一切與APT攻擊相關(guān)的可疑行為數(shù)據(jù),盡可能多的覆蓋和還原APT攻擊的全貌。
APT攻擊具有隱蔽性強(qiáng),成功率高,危害性極大的特點(diǎn)。通過(guò)科來(lái)APT攻擊檢測(cè)系統(tǒng)能發(fā)現(xiàn)高級(jí)網(wǎng)絡(luò)滲透行為,進(jìn)行直接有效的阻斷與攔截。在阻止APT攻擊行為的同時(shí),避免攻擊行為造成進(jìn)一步損失。
科來(lái)APT攻擊檢測(cè)系統(tǒng)定位于檢測(cè)發(fā)現(xiàn)高級(jí)未知威脅與攻擊行為,而非已知威脅的檢測(cè),而對(duì)已知威脅的檢測(cè)防護(hù)由傳統(tǒng)安全產(chǎn)品實(shí)現(xiàn)。科來(lái)APT攻擊檢測(cè)系統(tǒng)與客戶現(xiàn)有的網(wǎng)絡(luò)安全設(shè)施共同構(gòu)成完整的防護(hù)體系,應(yīng)對(duì)已知和未知的網(wǎng)絡(luò)攻擊與威脅。
獨(dú)有的基于硬件虛擬化技術(shù)的高性能文件動(dòng)態(tài)分析能力,真實(shí)模擬文件的運(yùn)行環(huán)境,充分激發(fā)和全面捕捉樣本文件的多種動(dòng)作行為,準(zhǔn)確識(shí)別通過(guò)各種途徑傳遞的文件中含有的未知攻擊或惡意代碼。
支持標(biāo)準(zhǔn)郵件和多達(dá)十余種主流Web郵件的還原分析,包括SMTP、POP3、IMAP的標(biāo)準(zhǔn)郵件以及sina、sohu、163、126、yeah、21cn、qq等webmail。通過(guò)對(duì)郵件所帶附件的深度動(dòng)態(tài)分析,判斷是否為惡意攻擊郵件。
APT攻擊行為往往通過(guò)多種途徑實(shí)施,在不同的地方總會(huì)留下相應(yīng)的痕跡和線索。科來(lái)APT攻擊檢測(cè)系統(tǒng)對(duì)應(yīng)有多個(gè)檢測(cè)分析模塊進(jìn)行針對(duì)性的檢測(cè)分析,通過(guò)專門的關(guān)聯(lián)分析模塊對(duì)所有檢測(cè)模塊的檢測(cè)結(jié)果進(jìn)行集中關(guān)聯(lián)查詢和展示,呈現(xiàn)APT攻擊行為的全貌。
APT攻擊行為具有多樣性的特點(diǎn),攻擊方會(huì)利用多種攻擊技術(shù)和途徑對(duì)目標(biāo)發(fā)起攻擊,在攻擊行為的不同階段也有著不同的表現(xiàn)形式。科來(lái)APT攻擊檢測(cè)系統(tǒng)具備多種攻擊行為檢測(cè)分析模塊,包括:高危郵件分析、Web攻擊、賬號(hào)異常、隱蔽信道檢測(cè)、TCP異常會(huì)話等,通過(guò)全方位多角度的異常網(wǎng)絡(luò)行為的檢測(cè)與分析,對(duì)APT攻擊事件進(jìn)行全面和完整的分析與發(fā)現(xiàn)故障源以及故障解決建議。
系統(tǒng)除了具備強(qiáng)大的APT攻擊行為的發(fā)現(xiàn)能力,對(duì)于攻擊行為還具備攔截和阻斷能力。對(duì)于發(fā)現(xiàn)的執(zhí)行惡意樣本而發(fā)起的網(wǎng)絡(luò)連接請(qǐng)求,或者潛伏在內(nèi)網(wǎng)的木馬與外網(wǎng)的通訊連接,進(jìn)行有效的攔截與阻斷,并且根據(jù)發(fā)現(xiàn)的最新威脅信息,及時(shí)更新攔截規(guī)則,實(shí)現(xiàn)對(duì)APT攻擊行為的有效防御。
系統(tǒng)具有多種部署形式,典型的分布式部署形式適合大型集團(tuán)和需要對(duì)多個(gè)網(wǎng)段進(jìn)行全面監(jiān)控和防御的客戶,分析中心集中統(tǒng)一管理部署于不同位置的前端服務(wù)器,部署簡(jiǎn)單,易于管理和維護(hù)。單機(jī)形式的部署適合為只有單一網(wǎng)絡(luò)出口的中小型客戶提供對(duì)APT攻擊的檢測(cè)與防御。
