“云端情报赋能,强网战力升级”知道创宇2021新品发布季这周直播发布的产品是「NDR流量监测系统」,作为一款通过对网络全流量深度分析,实现APT攻击检测和响应的软硬一体化产品,「NDR流量监测系统」的出现引起了热切的讨论和关注。
那么,面对攻击来源众多、频次和烈度日益增强、危险程度不言而喻的APT攻击,作为APT威胁挖掘机的NDR流量监测系统究竟是如何积极应对的呢?
”
APT攻击的起始及发展
2010.06
伊朗震网病毒曝光,疑似和美国、以色列相关,其中牵扯方程式组织;
2013.06
斯诺登事件曝光,揭露机密文档,多个项目涉及到中国;
2016.07
捕获到一例疑似木马的样本,该木马样本伪装成Word文档,实为包含Word类型混淆漏洞漏洞利用的RTF格式文档,样本源于南亚某国隐匿组织的APT攻击,目标以巴基斯坦、中国等国家的科研院所、军事院校和外交官员为主,通过窃取文件的方式获取与军事相关情报;
2016.08
黑客组织 shadow Brokers 泄露NSA 武器资料,包含大量0day漏洞;
2017.03
维基解密曝光CIA资料代号Vault 7,其中包含了 CIA 对 0day 漏洞储备;
2018.03
Slingshot 行动,美情报部门承认是其为针对 ISIS 网络攻击战;
2019.09
外交部发布报告称在国内航空工业系统中发现来自美国中央情报局CIA网络攻击;
2021.01
SolarWinds 供应链攻击事件,美国财政部、商务部以及一些其他政府机构等正被国家级APT组织攻击。
NDR流量监测系统应运而生
NDR优势特点大盘点
● APT情报测绘能力
NDR能够做到对APT攻击组织的基础设施做到提前发现,基于全球领先的空间测绘引擎Zoomeye的数据能力,目前可对 42亿全球IPv4地址进行扫描,拥有累积30亿IPv6地址和200亿+数据量,并保持日更新2000w+条数据。
● 自研DIE流量处理引擎
NDR通过配置自研DIE流量处理引擎已达到10Gbps处理能力,并提供全流量保存及下载能力。此能力在NDR中主要体现为支撑取证及全面回溯分析的需要,提供全流量日志快速查询功能以及高效快速分析全流量涵盖的完整信息,比如需要在所有的流量中查找某个文件的名字,某个域名是否曾经在流量里面出现,NDR可以依靠流量日志做到快速查询分钟级响应。
● 漏洞发现能力
NDR基于全国知名的Seebug漏洞平台及404安全实验室,能做到对最新高危漏洞攻击进行漏洞发现、精准识别。
● 攻防实战经验
知道创宇通过与一线监管单位合作,长期对全球范围内的APT组织进行深入的、持续化的跟踪和研究分析,NDR团队积累了大量的APT分析经验,产品设计也是基于实战出发,一切以方便对APT攻击进行针对性分析为出发点。
NDR实际应用
NDR应用价值展示
成果一:多年针对各类APT样本追踪披露
知道创宇 APT 追踪组长期跟踪以下对中国发起 APT 攻击的活跃组织40+,包括oceanlotus(apt32)、bitter(蔓灵花)、patchwork(魔科草)等等,通过长期的追踪保证 NDR 产品能及时检测到 APT 组织最新的攻击活动。
成果二:APT组织钓鱼网站发现
依托Zoomeye的全球数据测绘能力,目前累计发现近百个钓鱼网站。
成果三:某监管单位离线环境监测预警平台建设
某客户在做好前期的流量汇聚工作后,将大量的离线数据包保存在服务器上,需要在海量数据包里面发现攻击流量。面对客户非实时流量,需要在保证客户环境不变的情况下,使用NDR产品的离线数据包回放模式来处理客户的离线流量数据。NDR配置一个离线数据处理任务,从文件服务器上取数据包处理,帮助客户发现APT攻击。
随着网络信息化高速发展,国际间网络空间对抗更加激烈,国内网络攻击事件频频发生,网络安全的各个环节都有可能遭受APT攻击。知道创宇推出NDR流量监测系统,专门针对高威胁性APT攻击,致力于实现全球范围资源探测和攻击威胁监测,不断完善知道创宇永不过时的互联网安全基础态势测绘底图。
本文始发于微信公众号(知道创宇):NDR流量监测系统,积极应对的APT攻击防御利器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论