微步在線推出TDP-S服務器版產品,威脅檢測怎樣做到場景化?
近日,國內威脅情報領軍企業(yè)微步在線在美國RSA大會上宣布,正式發(fā)布Threat Detection Platform-Server(TDP-S),這標志著國內的威脅情報產品面向的場景更細分、更加專業(yè)化。
從國內第一批威脅情報創(chuàng)業(yè)公司成立到現在,已經過去了將近兩年半的時間。毫不夸張地說,國內威脅情報市場已經從蠻荒時期邁入了開化時代,國內的威脅情報廠商從最早的提供數據服務慢慢進化為提供數據、軟硬件產品、咨詢的一體化服務。那么,為什么微步在線選擇在此時將產品細化?威脅檢測又怎樣做到場景化?
威脅不僅存在于辦公網,生產網中招更扎心
微步在線產品負責人黃雅芳介紹說,近兩年針對企業(yè)數據中心內的業(yè)務系統(tǒng)的威脅和攻擊態(tài)勢表現得更加嚴峻。“企業(yè)的數據中心承載著核心業(yè)務系統(tǒng),面臨業(yè)務連續(xù)性及安全合規(guī)等多方面的考驗,威脅不僅存在于辦公網,在生產環(huán)境中也同樣存在,并且危害更為嚴重。”
正因如此,微步在線將旗下的威脅檢測平臺做了升級,于2018年4月正式推出針對服務器版本的威脅檢測平臺(“TDP-S”)。TDP-S平臺針對數據中心環(huán)境提供特定威脅檢測未知木馬下載、連接控制服務器端行為、挖礦木馬等。亦可檢測被控服務器的特定行為,如發(fā)送垃圾郵件、作為反向代理服務器、對外發(fā)起掃描等。
黃雅芳說:“TDP-S最大的特點就是檢測能力高度貼合生產網的場景。如果用燈光來做類比,TDP-S能夠在生產網中照亮更多的角落,讓安全人員看到更遠的地方。”目前TDP-S能夠支持的典型場景有:服務器失陷檢測、黑客木馬特征檢測、DGA域名訪問檢測、黑客后門/DDoS木馬檢測、挖礦/反向代理/群發(fā)垃圾郵件檢測等。
與場景結合的威脅情報應用,是如何實踐的?
我們以生產網場景下的威脅情報應用為例來探討這一問題。生產網場景中有一個典型現象:服務器對外連接域名/主機和下載的行為,要比辦公網中的同樣行為可疑度更高一些。
比如,辦公網中個人和公司的設備對外訪問域名/網站是十分常規(guī)的操作,但是如果這種連接行為在嚴格控制互聯(lián)網訪問的機房或數據中心里出現,就很有必要查一查是不是被攻擊者遠程控制、變成了所謂的“肉雞”。而微步在線的出站威脅情報正好可以幫助查驗連接的域名/網站是否安全,這樣,安全人員就能更快地定位出失陷的服務器。
再比如,生產網中的一臺服務器突然開始下載不明程序,這很有可能是木馬攻擊,此時就要引入可疑URL檢測來查看服務器是否訪問了惡意網站,同時再根據TDP-S提供的黑客木馬特征檢測來進一步判定。據了解,微步在線的黑客狩獵系統(tǒng)追蹤全球100余個黑客團伙,測試提取3000余條木馬通信協(xié)議特征并將規(guī)則特征用于檢測。
這些典型場景并不是拍腦袋想出來的,而是研究黑客攻擊鏈的結果。黃雅芳舉了一個很典型的例子:“比如黑客利用WebLogic漏洞操縱服務器來挖礦,在這個過程中會有很多代表性的行為,首先黑客通過漏洞攻陷服務器,會訪問惡意的IP下載挖礦的工具,這些訪問行為和下載行為就會被TDP-S檢測,而且服務器最終被用來挖礦的時候,會去連接礦池,這也是一種典型的會被TDP-S檢測到的行為。這一連串的行為會被TDP-S完整呈現出來,企業(yè)安全人員就能對威脅看得更深、更遠,能夠快速了解黑產最新的進攻模式,從而更有效地進行防范。”
威脅情報場景化,為什么現在就要實現?
黃雅芳認為,威脅情報應用的細分化、場景化是必然趨勢,行業(yè)變化和市場需求共同推動著威脅情報的應用水準,現在已經達到了一個場景化的需求點。
一方面,是威脅情報行業(yè)的變化。根據FireEye最新發(fā)布的數據,2017年全球平均MTTD在101天,比2016年的99天增加了2天,然而只有美國的MTTD有明顯的下降,歐洲地區(qū)和亞太地區(qū)都有較強烈的反彈,歐洲的MTTD從106天增加到175天,而亞太地區(qū)的MTTD則從172天猛增到498天。
令人咋舌的增幅,其實意味著埋藏在企業(yè)深處的病灶開始得到確診,隨著威脅情報行業(yè)的普及,在行業(yè)中那些隱匿得更深更久的威脅開始浮出水面了,用戶對于威脅情報的需求更明確,消費意識也更強烈。然而這也暴露出了亞太地區(qū)的威脅情報行業(yè)與歐美相比,起步晚、發(fā)展空間大、專業(yè)程度有待提升的現實。更具有針對性的威脅情報產品還沒有大規(guī)模投入使用,威脅情報的場景化一定是大勢所趨。
另一方面,是客戶在實際運用威脅情報時產生了更深層需求。“服務器端的防護不像辦公網,辦公網防護相對更強,很多企業(yè)都安裝了端點防護,有的企業(yè)甚至會啟用多種防護機制,服務器端的防護相比之下更弱一些,而且不會像個人電腦被黑掉一樣容易被發(fā)現,所以造成的現象就是,攻擊者更容易打進來,打進來以后也更難被安全人員發(fā)現。”黃雅芳說。
因此,微步在線的TDP-S,滿足的是客戶兩方面的需求,第一是保障生產網承載的業(yè)務連續(xù)性,保護服務器中的核心數據,通過檢測及時發(fā)現已知的威脅;第二是在未知的威脅發(fā)生后,追溯事件時有據可查,讓安全人員快速追溯源頭,做出響應。
本次RSA大會上,微步在線的展臺是N4904,想體驗TDP-S的RSA參會者,歡迎移步展臺,與微步在線的創(chuàng)始團隊們進行深入交流!
