业务痛点
APT攻击,作为现代网络安全领域的一大挑战,其背后映射的是黑客技术与策略的深刻变革。这类攻击以高度专业化、定制化为特点,往往针对特定高价值目标,如政府机构、大型企业、乃至基础设施行业,进行长期潜伏、持续渗透与精准打击。其目的在于悄无声息地窃取敏感信息、破坏系统稳定或直接瘫痪关键服务,其潜在影响之深远,足以触动国家安全与社会稳定的神经,其威胁程度,不亚于传统战争中的战略打击。
产品介绍
羚界高级可持续威胁监测系统(简称APT)采用旁路部署模式,通过镜像流量来检测外部黑客发起的钓鱼邮件攻击、或在内部网络中传播的恶意软件,利用软件虚拟运行、沙箱逃逸对抗等技术对恶意软件的真实意图进行深度剖析,能够发现常规手段无法检测的APT攻击等高级威胁,并能与防火墙等设备进行安全联动,阻断威胁的进一步蔓延,为企业或组织机构的网络安全保驾护航。
产品能力
通过光口或电口采集镜像流量,进行报文重组和协议识别,针对HTTP、SMTP、POP3、IMAP、FTP和SMB/CIFS协议,会进一步进行载荷分析,以识别是否承载了文件;
基于底层的协议识别和载荷分析,将分片的文件进行重组和还原,并对还原过程进行日志记录和存储;
包括静态检测(流量特征检测和文件特征/AV检测)、动态检测(系统级沙箱和应用级沙箱)、威胁情报检测和关联分析。威胁检测模块共产生四类威胁事件:网络攻击事件(流量检测)、恶意代码事件(沙箱和AV检测)、威胁情报事件和自定义策略告警(黑白名单和自定义策略);这四类事件通过关联分析规则关联归并后生成安全事件;
包括关联分析、预置流程分析、自定义流程分析、行为画像,通过系统预置分析流程或自定义分析流程对威胁进行分析,形成威胁行为画像并输出威胁报告。通过人工加智能识别方式实现资产梳理,支持人工进行资产的新增或导入,系统检测出威胁信息与资产自动关联,进一步实现资产威胁分析。
通过多样化的图表形式呈现网络安全态势、安全事件列表、威胁检测报告以及基础事件和日志,生成图形报表,提供可视化辅助分析工具,监控并呈现系统自身状态。
提供专家会诊、报文抓取、解码工具、手动文件检测、流量包回放、设备操作、数据外发、系统升级等功能。
羚界高级可持续威胁监测系统(APT)
