亚信安全正式推出威胁狩猎服务,以“早发现、早诊断、早处置、高质量”为优势原则,为用户彻底解决缺少高级攻击防御经验、缺乏相关高级技术工具、无法对威胁进行溯源等难题提供全面协助。
威胁狩猎是主动的发现网络中恶意数据及行为的安全审计方法。
威胁狩猎服务是由威胁分析专家根据客户环境中的威胁线索,主动进行关联分析,在确认威胁影响范围和影响程度的基础上,提供治理建议的服务。判断威胁狩猎的成熟度级别需要考虑以下三个基本因素:
收集和分析数据的工具;
所收集的数据质量及细粒度;
威胁分析专家的技能水平和猎捕经验。
早发现:威胁狩猎是需要高级威胁的线索,而安全产品告警和异常行为检测是这些线索的来源。黑客团伙或者红蓝对抗攻击方入侵总会利用一些未知的漏洞或者手段,但是在入侵跳板主机成功后,会用一些常规的手段进行提权、探测和横向移动,传统的安全产品和EDR ATT&CK规则检测框架都会发现一些“蛛丝马迹”,这些蛛丝马迹就像是丛林中猎物留下的足迹,指引着猎人进行狩猎追踪。
早诊断:EDR相比于传统的端点安全防病毒产品的最大区别就在于操作系统内核级别的行为日志高清记录,它就像是安装在操作系统上的高清摄像头,将进程启停、文件操作、网络连接、注册表修改和系统日志如实记录下来并且长期存储。威胁狩猎人员可以输入威胁线索和查询条件,EDR服务端能够以可视化的方式绘制出进程事件树,帮助威胁狩猎人员有效关联出疑似威胁的入侵轨迹,确认威胁的影响范围和影响程度,为根治问题提供技术支撑。
早处置:威胁狩猎人员使用EDR工具进行远程的遏制和修复,对高级威胁入侵造成的破坏和留存的后期进行根治修复,避免在红蓝对抗和上级监管过程中集中爆发问题。
- 高质量:在亚信安全威胁狩猎诸多的成功案例中,我们发现用户对于安全事件线索的看法普遍处于“狼来了”的麻木状态,即各种安全厂家的产品(尤其是安全态势感知平台)每天都生成海量的告警信息,而安全运维人员即使加班加点也无法处理如此多的告警事件,结果就是放任这些告警于不顾,等到黑客团伙真正发起总攻的时候,毫无防范之力。亚信安全推出的大终端2.0运维平台从根本上改善了上述被动的防护态势,我们将亚信安全产品(例如OfficeScan、DS、TDA等)的日常告警日志聚类成有优先级排序的安全事件,并且联动到EDR产品进行遏制、调查和修复,完成威胁狩猎分析早发现、早诊断和早处置的闭环操作。
亚信安全的威胁狩猎服务,区别于传统的安全服务和红蓝对抗的攻防服务,开辟了高级威胁检测响应的服务新赛道。
威胁狩猎服务依托亚信安全的EDR行为检测能力和威胁分析的专家能力,能够有效地检测零日漏洞等高级威胁,解决这些安全漏洞可能隐藏几年都发现不了的安全风险。
威胁狩猎服务由亚信安全具备攻防能力的威胁狩猎专家为用户提供高级威胁的溯源分析,能够回答 “谁进来了、是敌是友、干了什么”的疑问,能够及早发现治理“潜伏”的高级威胁,避免这些高级威胁在红蓝对抗、重保的关键时刻集中发作。
事件背景:红蓝对抗期间某能源客户的OA系统上EDR产品告警,发现异常进程调用行为。
威胁线索:亚信安全EDR产品具有丰富的基于ATT&CK架构的异常行为检测规则,在本次事件中EDR上报了异常进程调用的规则告警。
用户OA系统的主程序Java进程吊起CMD和Whoami进程
红蓝对抗攻击方一共使用了17次CMD指令和1次Whoami指令来获取必要的主机信息,达成攻击方成功插旗并上报裁判组得分的目的
通过EDR记录并溯源到copy指令,发现test123456.jsp的WebShell木马文件替换行为
通过网络驱动记录,发现攻击方利用大量互联网IP调用本漏洞
在本案例中,威胁狩猎专家依据EDR的行为规则IOA成功检测到OA系统零日漏洞攻击,通过EDR的高清记录和溯源分析能力,将红蓝对抗攻击方如何拷贝WebShell文件,如何利用CMD和Whoami指令获取插旗信息,以及通过哪些互联网IP实施的攻击,都分析得清清楚楚,协助用户编写溯源分析报告,提交裁判委员会进行防守得分。
为何选择亚信安全威胁狩猎服务
亚信安全的专业威胁狩猎服务,为用户提供本地和远程的高级威胁检测响应服务,开启了国内威胁狩猎服务新赛道。
在攻防演练中,威胁狩猎服务表现出色,通过EDR工具成功溯源包括零日漏洞在内的多起攻击方攻击事件,编写详尽的威胁狩猎分析报告,帮助客户在端点侧得分。
在已经购买EDR产品的客户中,威胁狩猎服务也积累了众多成功案例,帮助用户主动检测并溯源潜伏在端点侧的高级威胁,深受用户好评。
EDR作为威胁狩猎服务中的高效工具,其操作系统高清记录和高级威胁检测能力,为威胁狩猎专家提供技术支撑。亚信安全EDR产品在2020年IDC中国的厂商评估中位列“领导象限”。
亚信安全EDR产品通过了国内权威第三方评测机构赛可达实验室的专业评测,在国际知名的ATT&CK架构模型中以124个技术点覆盖度在国内处于突出地位。