专访:长亭沙特门将的守分超能力

admin
admin
admin
102871
文章
87
评论
2022年11月26日14:47:46评论40 views字数 2864阅读9分32秒阅读模式

专访:长亭沙特门将的守分超能力

流量威胁检测与响应
是企业网络链接业务的安全探照灯

使命是让网络东西南北流量皆无盲区  

专访:长亭沙特门将的守分超能力



市面上流量威胁检测与响应产品众多

王婆卖瓜,各家都说自家的好

专访:长亭沙特门将的守分超能力



如何

像沙特门将般

精准捕获威胁守住我方分数

专访:长亭沙特门将的守分超能力



成为一款优秀的检测产品

长亭全悉 (T-ANSWER) 

高级威胁分析预警系统

还有一些答案




专访:长亭沙特门将的守分超能力

一款产品优秀的定义可以有很多种,但如果不可识别未知威胁,一定不是优秀的流量威胁检测与响应产品。

Gartner曾提出,流量威胁检测与响应(NDR)产品应该继续开发新的基于人工智能(AI)的检测方法,特别是构建额外的基于AI的引擎来检测加密流量中的攻击。

基于AI检测技术的NDR产品将会是区别传统依赖规则的检测产品的重要标志。

全悉 (T-ANSWER) 高级威胁分析预警系统引用长亭核心技术能力“智能语义分析算法”,并改造升级为“智能语义分析2.0”检测模型,让智能语义分析能力有了更广阔的应用舞台。


专访:长亭沙特门将的守分超能力



升级一:更深入

新增多种分析模型后的“智能语义分析2.0”,通过词法分析、语法分析、语义分析具备自主识别攻击行为的能力,结合威胁学习模型,主动识别攻击行为,可大幅提高威胁事件的检出率同时降低事件误报率,有效检测0day攻击、变种攻击以及APT等攻击事件。



升级二:更全面

拥有“智能语义分析2.0”检测模型的全悉 (T-ANSWER) ,扩展了更多协议分析能力(覆盖HTTP、DNS、FTP、IMAP、POP3、SMB、SMTP、SNMP、ICMP等千种主流协议),可实现对网络全流量会话的智能分析与威胁检测。



升级三:更实战

全悉(T-ANSWER)的“智能语义分析2.0”能力能够有效覆盖南北向、东西向流量区域,支持HTTP协议与更多非HTTP协议,同步吸收长亭安服、红队实战经验与安全研究成果,实战能力覆盖场景进一步提升。




专访:长亭沙特门将的守分超能力


在探索实战场景能力方面,长亭从无虚招。


常年战斗在攻防一线,我们可以看到,漏洞视角已不再是简单的验证或利用,而是逐步向武器化的趋势演变。


很多漏洞从概念验证(POC)、漏洞利用(EXP),再到武器化(Weaponlized)的进程甚至能在24小时内完成。


要懂攻击,才可以做出可以应对攻击场景的好产品。作为强攻防视角的产品,全悉(T-ANSWER)充分吸收和沉淀长亭安全团队的高价值攻防能力与红队武器研究成果,创新性提出红队武器库检测。


全悉 (T-ANSWER) 高级威胁分析预警系统

红队武器库检测中心

专访:长亭沙特门将的守分超能力



超过200种红队武器检测与识别

全悉(T-ANSWER)可检测覆盖军火级、商用级、工具级、开源级4个级别超200种红队武器,如FireEye、Equation、APT34等泄漏工具集、Canvas、N-Stalker、CobaltStrike、Metasploit、Behinder、Neo-reGeorg、Mimikatz等。



3000+种智能检测模型

全悉(T-ANSWER)分析实战检测规则和红队武器行为特征3000+,有效应对红队自定义协议武器利用、红队武器变形与二次开发,狩猎信息收集、密码破解、远程控制、隧道代理、漏洞利用、域渗透等多个威胁领域,帮助企业补全实战攻防背景下的红队武器视角,提升业务实战风险运营、实战攻防演练中的红队威胁对抗能力。


专访:长亭沙特门将的守分超能力




专访:长亭沙特门将的守分超能力


加密是数据传输的重要保护手段,也是攻击者隐藏攻击行为的最佳方法。


根据Enterprise Strategy Group的最新调研报告显示,95%的企业明确表示遭遇过由于加密流量引起的安全事件,其中更有一半的受访者表示,超过一半的安全事件由加密流量引发。


极速增加的加密流量正在改变威胁局势。从效能和资源的角度看,针对攻击者采用私有加密协议的通讯数据,解密的传统威胁检测方式不一定可行,基于传统特征签名检测方式也无法适应当前复杂多变的加密入侵场景, 全悉(T-ANSWER)会怎么做?


利用AI算法构建智能分析判别模型进行检测。


全悉(T-ANSWER)通过对人机交互行为特征、步态特征、流量的指纹特征、网络行为、证书交互、包大小特征、包时序特征、载荷字符特征、攻击工具特征以及等关键要素建立特征集合,利用人工智能算法构建智能分析判别模型,同时关联异常事件,能够在加密流量不解密的场景下,有效检测加密反弹Shell、ICMP隐秘隧道、DNS隐秘隧道、HTTP隐秘隧道,以及利用冰蝎、蚁剑、哥斯拉、CobaltStrike、Metasploit 等工具的加密入侵与通信行为。


专访:长亭沙特门将的守分超能力




专访:长亭沙特门将的守分超能力


内外网隔离就能达到绝对的安全吗?


大部分企业往往忽视了内网的安全防御能力,从流量检测角度来说,内部的流量情况也成为检测的盲点。


但对流量检测产品来讲,内网威胁的覆盖越多,攻击图谱的还原将越完整,对攻击行为分析、定位失陷资产意义重大。


专访:长亭沙特门将的守分超能力

基于知识图谱技术还原的“安全防护作战图”


面对内网渗透威胁,全悉(T-ANSWER)提供“3大法宝”


安全策略工程师以域安全视角切入,基于协议特征、流量行为特征、主机行为特征和内网流量访问关系等多维信息,结合机器学习模型算法、特征签名检测技术以及报文关联分析等多项检测技术,达成了内网渗透工具、内网协议解析、内网威胁检测能力的交叉覆盖。



内网攻击工具覆盖识别

有效覆盖内网渗透武器库


支持多种内网常见协议识别
如SMB、DCERPC、KERBEROS、NetBIOS、LDAP 等协议识别与解析

30+内网常见威胁检测

覆盖内网信息收集、内网横向移动、内网权限维持、内网权限提升、内网敏感行为与危险调用、内网账户爆破等方面的威胁检测能力。


面对攻击者突破边界后的内网横向渗透的全链路动作,全悉(T-ANSWER)都有相应的手段可以发现(包括但不限于):

· 内网信息收集手段检测

举例:账户枚举、SMB共享枚举、ldap 目录枚举、kerberos 爆破等

· 内网横移手段检测

举例:创建计划任务、psexec、smbexec、wmi、ms17-010 等

· 内网权限提升手段检测

举例:MS14-068、Zerologon CVE-2020-1472、PrintNightmare等

· 内网权限维持手段检测

举例:黄金票据、万能密码等

· 内网环境敏感行为、危险调用检测

举例:Kerberos票据加密方式降级、LDAP 敏感操作、ACL 修改等

· 内网账户爆破检测

举例:kerberos 账户爆破、smb账户爆破、ldap账户爆破等

· 攻击工具指纹检测

举例:mimikatz、metasploit、Cobalt Strike 等


专访:长亭沙特门将的守分超能力

专访:长亭沙特门将的守分超能力

以上剖析了优秀的“检测产品”应有的几大特质,当然产品的能力远不止于此。


全悉 (T-ANSWER) 高级威胁分析预警系统还具备智能恶意文件检测、虚拟化平台威胁检测、网络攻击杀伤链(Cyber-Kill-Chain)检测、威胁情报检测等能力,进行多源数据的聚合研判,并可协同安全运营平台、防火墙、主机安全、蜜罐等产品实现多面主协响应处置等,更多精彩期待与你相见。


专访:长亭沙特门将的守分超能力


「险胁全明辨 伏兵尽知悉」


这是属于全悉 (T-ANSWER) 

高级威胁分析预警系统的Slogan

也是我们不断为之努力的终极目标

欢迎试用

专访:长亭沙特门将的守分超能力


专访:长亭沙特门将的守分超能力

原文始发于微信公众号(长亭科技):专访:长亭“沙特门将”的守分超能力

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月26日14:47:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   专访:长亭沙特门将的守分超能力https://cn-sec.com/archives/1426421.html

发表评论

匿名网友 填写信息