针对传统杀毒引擎无法检测的高级威胁 ， 我们研发了IoA（Indicator of Attack）高级威胁检测系统 。 与传统方法检测攻击工具不同 ， IoA高级威胁检测系统着重检测攻击的技术、战术和过程 ， 了解攻击者意图 ， 在终端上进行攻击阶段的纵深检测和防御 。
攻击者在终端上不同攻击阶段的全部行为都会被终端检测响应平台EDR采集记录 ， 再基于用户真实环境上下文关联 ， 通过上下文聚合分析 ， 检测出攻击事件或潜伏在内网的攻击 ， 并可基于进程链的形式还原攻击路径 ， 帮助用户可视化展现攻击事件 。

文章图片

很开心地跟大家分享 ， 深信服IoA高级威胁检测系统从2021年11月开始试点 ， 仅1个月已在8000+终端部署 ， 检测出1起利用Gitlab漏洞真实完整的恶意攻击、200+黑灰产攻击、20+红队攻击（实现100%检出率） 。

文章图片

今年 ， 国家发改委重点提及虚拟货币挖矿的全链条治理工作 。 年底各级政府和相关行业纷纷响应 ， 通报了多家单位 。 挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维成本暴涨 ， 一些挖矿主机极有可能会被植入病毒 ， 导致更严重的网络安全攻击事件等 。 加密挖矿逐渐成为主流 ， 明文的检测规则已经不再适用 ， 我们急需解决用户对加密挖矿的检测需求 。
于是 ， 我们聚焦恶意加密流量的识别 ， 前期通过跑沙箱样本、执行黑客工具等方式收集大量恶意加密流量 ， 从加密前后的通信特征推演 ， 研发了一套专门针对恶意流量的精准识别模型 。

文章图片

深信服加密流量识别的核心算法目前已经申请了20+项发明专利 ， 涉及异常检测、机器学习、深度学习等 。
值得注意的是 ， 我们的加密挖矿检测有效检出设备超过1000+ ， 矿池IP超过50+ ， 涉及多个挖矿家族（紫狐、双枪、独狼、贪狼等） ， 覆盖多个常见币种（门罗币、以太坊、奇亚币等） 。

文章图片

随着攻防技术的升级 ， 黑客的攻击手法也越来越隐蔽 ， 大量使用加密技术 ， 将恶意流量隐藏在正常流量中 ， 成功绕过防护设备 。 数据显示 ， 通过 Internet 与远程系统通信的恶意软件中有近一半（46%）使用了 TLS加密通信 。 然而对于此类隐藏的高级威胁 ， 用户完全无感 ， 极易造成数据泄露等重大安全事件 。
对此 ， 我们创新提出了“异常检测+主动探测”的未知威胁检测 。 在异常检测阶段 ， 基于流量特征发现可疑行为 ， 不放过任何一条蛛丝马迹 ， 实现低漏报、高检出；而后在主动探测阶段 ， 进行二次验证 ， 做到零误报 ， 保证推送事件的准确性 。

文章图片

目前这种检测技术已上线态势感知SIP、NDR ， 以及托管式安全运营服务MSS ， 覆盖60+用户 ， 报送高价值事件120+起 ， 包括黑客攻击、违规操作、攻防演练等多个场景 。

文章图片

随着网络安全的发展 ， 用户不断增加在安全建设方面的投入、采购大量的安全设备 ， 但依旧做不好安全运营 ， 到底是为什么？我们发现 ， 用户的不同安全设备会产生大量告警 ， 而且运营人员缺乏丰富处置经验 ， 人工处置往往不及时；同时 ， 不同厂商的设备无法联动 ， 也给用户带来无法及时处置的工作负担 ， 导致运营成本不断增加 ， 用户深受困扰 。