APT(Advanced Persistent Threat)是指高级的、持续性的渗透攻击,通常针对具体公司或特殊机构。是黑客以窃取核心资料为目的,针对企业发 动的网络攻击和侵袭行为。其目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。
典型的APT攻击,包括多个攻击过程,如:资源侦查、外部渗透、命令与控制、内部扩散、数据外发等。一旦攻入企业内部,黑客能在企业内部持续横向渗透,收集 敏感信息并回传,造成巨大的损失。
A(Advanced):
即高级入侵手段。单点隐蔽能力强、攻击空间路径不确定
防御难点:传统的基于特征匹配的边界防御技术难以生效
P(Persistent):
即持续性攻击。攻击时间上具有长持续性,一旦入侵成功则长期潜伏,寻找合适的机会外传敏感信息,而在单个时间点上却无明显异常。
态势感知(Server Awareness)
安全态势感知是以大数据分析为基础,描述用户网络安全状况及变化趋势,辅助运维人员快速发现、定位、处置有效的已知和未知/高级威胁。
CIS是华为推出的态势感知系统,采用最新大数据分析和机器学习技术,可用于抵御APT攻 击。它从海量数据中提取关键信息,通过多维度风险评估,采用大数 据分析方法关联单点异常行为,从而还原出APT攻击链,准确识别和 防御APT攻击,避免核心信息资产损失。
CIS总体工作流程
- 数据采集:
- 通过采集关键网络路径的流量,包括WEB流量、MAIL流 量、DNS流量等,通过采集关键设备和服务器端的日志信息,获取相关软件在终端的各种行为信息等。
- 大数据处理:
- 数据预处理负责对采集器上报的归一化日志和流探针上报的流量元数据进行格式化处理,补充相关的上下文信息(包括用户、地理位置和区域),并将格式化后的数据发布到分布式总线。
- 分布式存储负责对格式化后的数据进行存储,针对不同类型的异构数据(归一化日志、流量元数据、PCAP文件)进行分类存储,分布式存储的数据主要用于威胁检测和威胁可视化。考虑到可靠性和高并发性能的要求,分布式存储的数据保存在多个检测/存储节点,并且可以按需扩展存储节点。
- 分布式索引负责对关键的格式化数据建立索引,为可视化调查分析提供基于关键字的快速检索服务。分布式索引采用了多实例自适应的索引技术和时间片抽取的分层索引结构,索引数据保存在多个检测/存储节点,提供了高可靠性和高并发索引能力,支持按需弹性扩展索引。
- 威胁检测:
- CIS在收集的大量的原始的流量信息和日志/事件等数据 的基础上,采用大数据的技术进行关联分析。CIS提供了丰富的异 常行为检测模型,通过离线检测、实时检测、关联分析、机器学习 和综合评估实现贯穿APT攻击全阶段的检测,辅以上下文信息的验 证,针对APT全攻击链中的每个步骤,渗透、驻点、提权、侦查、 外发等各个阶段进行检测,建立文件异常、mail 异常、C&C异常检 测、流量异常、日志关联、web 异常检测、隐蔽通道等检测模型并 关联检测出高级威胁。
- 威胁呈现:
- 安全态势感知:通过威胁地图直观展示企业在全球范围内面的威 胁和最近发现的威胁事件,方便安全运维分析人员能及时发现威 胁、预判全网安全走势。
- 智能检索:
- 支持通过关键字、条件表达式、时间范围对事件和流量 元数据进行快速检索,快速定位到安全运维分析人员关注的威胁和 上下文数据,并支持查看数量趋势统计和检索结果详细数据,10亿 条记录查询5秒内返回结果。
- 攻击路径可视化:
- 支持基于攻击链进行事件调查,通过不同的攻击阶段关联流量元 数据,在流量元数据检索结果列表可以下载元数据相关的PCAP文件,在同一个界面方便安全运维分析人员进一步取证分析,调查效率高效快速。
- 威胁联动:
- 安全设备联动:CIS系统检测出的威胁信息,能够在分钟内联动到华为NGFW设备,在网络侧进行阻断。
- 终端设备联动:CIS系统可将检测结果同步给第三方终端设备,在 终端进行检测并清除威胁。
- 云端服务:
- CIS系统检测出的威胁情报信息,能够上传到全球威胁 智能中心,智能中心对外提供信誉查询服务。同时,CIS系统还 能够根据客户需求,自动或手动到云端信誉中心,查询IP信誉、 Domain信誉、文件信誉等,结合信誉信息做高级分析;CIS系统还 提供云端情报web查询界面,协助客户对检测出的威胁做进一步的调查分析。