明朝万达高级持续性威胁检测系统助力行业抵御APT攻击

本篇文章1603字，读完约4分钟

明代万达“中国证券(安源)高级持续威胁检测系统”帮助金融业抵御易受攻击

北京，9月20日(新华社)——目前，apt(高级持续威胁)攻击已经对金融系统、交通、能源甚至地缘政治产生了巨大影响。Apt攻击广泛使用0天漏洞、高级定制木马和特殊攻击设备来攻击和获取难以发现、维护、分析和跟踪的信息。传统的网络安全措施已经难以应对易受攻击。

对金融业而言，2016年上半年，以孟加拉国中央银行为代表的发展中国家的一系列中央银行和大型国有银行被盗，受害者损失了数千万美元。2016年下半年，发生了以台湾第一银行atm机吐事件为代表的一系列atm机攻击事件。2015年，针对金融高管的勒索邮件开始大规模传播，造成严重损失。2015年，swift系统漏洞导致银行损失超过1亿美元。

在实施apt攻击检测之前，金融业企业有必要了解apt攻击的原理。这里，我们主要关注两种攻击方式:水坑攻击和网络钓鱼邮件(据权威机构统计，这两种apt攻击方式约占中国所有apt攻击的90%)。

水坑攻击:当访问者访问互联网上的链接时，他们可能会访问水坑网站，如伪造的银行官方网站，这将提示浏览器端的flash组件需要更新。此时，由于对银行的信任，访问者会下载伪装的升级包。下载升级包后，它将像普通的升级包一样安装在客户端，而文件将在后台释放恶意代码。恶意代码会接触到恶意网站并取得联系。外部apt攻击组织收到信息后，会远程下载更多的恶意组件，攻击企业内部网络，收集信息，给企业造成巨大损失。

网络钓鱼电子邮件:攻击者使用伪装成银行的邮件服务器向银行内部员工发送诸如“银行领导的主要人事任命”等邮件年份。这类电子邮件通常是关系到银行员工切身利益的重要话题。员工们急于知道真实情况，却忽略了邮件服务器的验证，而打开了附件。附件将显示伪装的普通文件供员工阅读，而文件将在后台释放恶意代码。恶意代码会接触到恶意网站并取得联系。外部apt攻击组织收到信息后，会远程下载更多的恶意组件，攻击企业内部网络，收集信息，给企业造成巨大损失。

通过对apt攻击过程的理解，我们可以看出攻击过程主要依赖于三个渠道:网络、邮件和终端，所以主要防御集中在这三个部分:

网络:主要监控入口处的http/https流量，获取协议中的文件附件，进行静态威胁情报检测和动态沙箱攻击检测，有效检测威胁；

邮件:从进入邮件服务器的邮件中提取附件，获取邮件中的文件附件，进行静态威胁情报检测和动态沙盒攻击检测，有效检测威胁；对于威胁邮件，可以根据威胁级别设置拦截策略，完成邮件拦截；

终端:对从外设传输到计算机终端的文件进行检测，对不同渠道发现的威胁进行威胁搜索、威胁隔离和威胁处理；

通过三个渠道的有效结合，形成了威胁发现、威胁记录、威胁阻断和处理的闭环处理过程。

针对apt攻击，明朝万达与中国科学院软件研究所合作，共同开发并推出了“高级持续威胁检测系统”，该系统具有以下优势:

产品全面覆盖网络、邮件和终端三个不同渠道，全面检测易受攻击，并进行威胁协同处理；

在网络端，可以解析下行http/https协议(需要流量解密设备协助处理)；

支持邮件端的下游smtp、imap和pop3协议；

终端方面，结合明代万达拥有的可信网络安全管理平台软件，完成与apt管理控制中心的联动，有效发现和应对apt威胁；

Apt动态检测引擎拥有世界上最高的威胁检测率。目前，已被国内国有银行和其他涉密机构核实。在纯动态检测的情况下，检测率最高；

完成与多家威胁情报供应商的集成，支持威胁情报的静态检测，大大降低apt动态检测的资源和时间成本，提高系统的响应效率和检测精度；

该产品还提供了良好的兼容性，提供了与企业现有安全设备和应用系统完全集成的接口，为其提供了整个企业统一的apt威胁检测能力，并为siem、soc等企业系统提供了检测报告和重大安全事件，以实现统一的安全态势感知和威胁处理。