微步在线-国家电网安全体系威胁情报综合应用案例
  • 2021.11.26
  • 1154
  • 北京微步在线科技有限公司

一、案例背景:

该客户为国家电网直属单位,随着“互联网+”业务的蓬勃发展,各类面向互联网用户的服务使公司网络边界持续延伸,网络安全防线持续扩大,网络安全保障压力与日俱增。该客户负责集团公司关键信息系统的建设运维工作,承担着十分重大的网络安全保障任务。

 

二、案例概述:

用户在三个区域设有办公地点,因此分别在三个区域的办公网络出口位置旁路部署了内置威胁情报的威胁检测节点(以下称 TDP),分别采集出口镜像流量和 DNS 日志,进行威胁检测,并将威胁检测结果汇总到总控平台进行集中展示与关联分析,高效发现内网恶意软件(程序),精确定位失陷主机,实现覆盖整个网络包括隔离内网的威胁检测能力。使用的威胁检测技术包括:应用全球领先的威胁情报精准发现内部失陷主机与远控端进行通讯行为,分析流量或协议的特征及时发现异常,利用多种机器学习模型建立基线发现高级威胁,并且可以提取流量中的可疑文件通过本地多引擎或者云端沙箱发现未知威胁。检测恶意威胁的类型包括:勒索病毒、远控木马、僵尸网络、数据窃取木马、隐蔽信道、DGA 随机域名、传统僵木蠕、后门、挖矿工具、远控工具、无文件攻击、高级 APT 攻击等。同时,基于黑客掌握的资产进行关联分析,还原攻击事件,最大范围发现内部失陷节点。
 

利用多种检测技术准确定位失陷主机,在此基础上关联网络流量日志充分还原攻击者网络行为。并且针对失陷主机采集 Windows-Sysmon、Linux-Qsquery 日志,利用机器智能将告警与终端数据进行有效关联,帮助用户定位告警源头到进程粒度,并定位告警关联的其他行为,如创建进程、网络访问、文件操作、注册表修改等,为处置和响应提供判断依据。在内网告警充分关联分析的基础上,利用微步在线威胁情报信息,对威胁事件背后的攻击者、攻击工具、掌握资产、行为特征、影响范围等信息进行补充关联,真正做到知己知彼。
 

随着用户防御体系由被动防御向主动防御模式转型,用户引入微步在线、奇安信等多方情报数据。但是各家情报格式并不统一,而威胁情报管理平台(TIP)能够通过标准化情报格式及其上下文,实现多源情报整合。同时,客户可以根据威胁情报管理平台对不同情报的准确率进行评估,对于准确率较低的情报源,可对情报源上的IOC调整其可信度分值。威胁情报管理平台集成微步在线高质量情报信息,极大的丰富了黑客画像信息,同时保存命中的告警及上下文信息,方便后期查询与检索。

 

三、安全技术应用情况:

该企业已有较为完备的边界防护体系、全流量回溯分析设备以及 web 威胁检测分析设备,但是缺少针对内网的失陷检测能力。TDP 应用威胁情报数据以及机器学习算法等检测机制,通过可视化手段实现告警、关联主机、威胁类型、黑客组织等信息进行展示,为用户安全团队直观地展示了当前组织内的所有失陷主机感染恶意软件(程序)以及关联威胁。通过黑客资产拓展模型自动分析黑客的攻击资产,并结合企业网络流量数据关联出对黑客资产的访问记录,帮助定位内部被攻陷的机器,以及存在的其他风险机器,有效弥补了企业内网威胁事件监测、分析和溯源能力的缺失。
 

用户通过 TDP 多类型的自动化检测引擎,利用分析规则、深度学习、分析师人工判定等多层次的研判机制,快速发现和定位失陷主机。通过网络原始日志以及失陷主机终端日志深入进行威胁事件的关联分析,进一步还原威胁事件全过程,帮助安全人员提高威胁事件检测分析能力,有效解决企业安全分析人员人数短缺和能力不足问题,缩短威胁事件的平均检测时间(MTTD),最大程度缩短威胁平均响应时间(MTTR)。

威胁情报管理平台将多源情报进行规范整合并于态势感知平台进行赋能应用,有效的降低了安全运维人员能耗。同时威胁情报管理平台已实现多台安全设备告警日志接入,应用自主研发统计分析模型累计处理安全日志47万条,生产内部情报3000余条,目前情报转换率达0.7%,高于其他行业试点行业的0.1%。

 

四、客户反馈效果:

威胁情报管理平台将多源情报进行规范整合并于态势感知平台进行赋能应用,有效的降低了安全运维人员能耗。同时威胁情报管理平台已实现多台安全设备告警日志接入,应用自主研发统计分析模型累计处理安全日志47万条,生产内部情报3000余条,目前情报转换率达0.7%,高于其他行业试点行业的0.1%。

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝