公司

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2022 > 正文

【客戶故事】8分鐘！看安恒AXDR從網(wǎng)到端極速處置滲透威脅

閱讀量：次

因?yàn)橄嘈牛赃x擇?！究蛻艄适隆恐v述數(shù)字時(shí)代，安恒信息助力各行各業(yè)客戶實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型、高質(zhì)量發(fā)展的成功故事。

“

本期精華速遞

7月某日，某集團(tuán)為準(zhǔn)備即將到來的攻防演習(xí)，需要?級(jí)子公司員工輪流到總部來值班，當(dāng)所有人都以為是正常的工作交接，殊不知威脅正悄然而至。

戰(zhàn)事未開，陰云將至

當(dāng)子公司值班人員將隨身攜帶的辦公筆記本電腦接入集團(tuán)總部辦公網(wǎng)絡(luò)時(shí)，已提前在集團(tuán)總部內(nèi)網(wǎng)部署完成的安恒信息高級(jí)威脅檢測與分析系統(tǒng)（簡稱“AXDR”）隨即告警。正在現(xiàn)場值守的我司專家工程師緊急開始排查。客戶現(xiàn)場還部署了迷網(wǎng)蜜罐系統(tǒng)，通過AXDR終端模塊偽服務(wù)將攻擊流量引流至迷網(wǎng)蜜罐系統(tǒng)并觸發(fā)告警，經(jīng)過對(duì)AXDR終端模塊偽服務(wù)告警列表、迷網(wǎng)蜜罐系統(tǒng)告警明細(xì)進(jìn)行仔細(xì)研判，我司專家工程師判定這是一起外部感染設(shè)備接?網(wǎng)絡(luò)橫向攻擊事件。

AXDR終端模塊偽服務(wù)告警列表

并且，通過AXDR平臺(tái)檢索發(fā)現(xiàn)，已有2臺(tái)資產(chǎn)被破解成功，情況十萬火急，清除威脅刻不容緩！

火眼金睛，無所遁形

工程師立即使用AXDR終端模塊?鍵隔離中間攻擊源和受攻擊(掃描探測)成功資產(chǎn)，同時(shí)通過AXDR終端模塊體檢報(bào)告對(duì)感染系統(tǒng)進(jìn)?體檢分析和調(diào)查取證，發(fā)現(xiàn)可疑連接，且偽裝為某安全廠商任務(wù)欄圖標(biāo)程序。到這一步，真相已然逐漸浮出水面。

惡意文件偽裝為某安全廠商任務(wù)欄圖標(biāo)程序

通過AXDR終端模塊響應(yīng)中?功能對(duì)隔離感染系統(tǒng)遠(yuǎn)程調(diào)查，發(fā)現(xiàn)進(jìn)程依然存在，?件存在D盤某目錄下，上機(jī)使用終端殺毒軟件進(jìn)行終端查殺，未發(fā)現(xiàn)任何異常。因此，工程師判斷可疑?件針對(duì)常見殺毒軟件已作免殺，進(jìn)一步調(diào)查取證，終于發(fā)現(xiàn)可疑?件在某主流安全廠商回收站目錄下并已經(jīng)收集大量信息。最終，工程師通過AXDR終端模塊鎖定造成本次事件的“元兇”。

最終定位的可疑進(jìn)程路徑?件

抽絲剝繭還原事件真相，原來是由于子公司OA系統(tǒng)網(wǎng)站被植?惡意Flash插件進(jìn)行?坑攻擊，所有訪問OA系統(tǒng)的?必須下載安裝Flash插件才能正常使用，導(dǎo)致來總部值班?員在當(dāng)?shù)鼐W(wǎng)絡(luò)已被下載植??坑攻擊程序，當(dāng)?shù)娇偛拷?網(wǎng)絡(luò)時(shí)攻擊程序?qū)瘓F(tuán)網(wǎng)絡(luò)進(jìn)?橫向掃描滲透，因AXDR平臺(tái)和迷網(wǎng)蜜罐系統(tǒng)告警使事件從發(fā)生、發(fā)現(xiàn)、研判到隔離處置僅僅用了8分鐘就完成，經(jīng)過事件調(diào)查和評(píng)估本次滲透攻擊未對(duì)集團(tuán)資產(chǎn)進(jìn)?橫向擴(kuò)散影響，受到了客戶的感謝和肯定。

最終還原的本次事件全貌

AXDR ，大顯神威

在本次事件中，大放異彩的就是安恒信息超新星AXDR——高級(jí)威脅檢測與分析系統(tǒng)。

AXDR能力體現(xiàn)

AXDR，是基于安恒信息的威脅檢測和數(shù)據(jù)分析能力，構(gòu)建的一種跨多個(gè)安全層收集并自動(dòng)關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測和事件響應(yīng)的產(chǎn)品，將是安恒流量、終端威脅檢測、分析與響應(yīng)的一把尖刀。

AXDR終端模塊，是安恒以ATT&CK模型中TTPs（Tactics, Techniques and Procedures）的理念進(jìn)行開發(fā)的模塊。使得AXDR進(jìn)一步具備了終端入侵檢測、基線采集、日志收集、流量轉(zhuǎn)發(fā)、資產(chǎn)指紋、追蹤溯源、聯(lián)動(dòng)響應(yīng)、封禁處置等功能，具有輕終端、重聯(lián)動(dòng)、易取證、自溯源、全量存的優(yōu)勢(shì)能力。

在最新版本中，AXDR終端模塊推出偽服務(wù)動(dòng)態(tài)蜜罐技術(shù)，該技術(shù)是?種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過將真實(shí)的核?資產(chǎn)或辦公主機(jī)布置?些作為誘餌的未使用端口、網(wǎng)絡(luò)服務(wù)等，使攻擊方在滲透探測時(shí) 對(duì)這些端口實(shí)施攻擊，AXDR終端模塊將端口流量轉(zhuǎn)發(fā)至迷網(wǎng)蜜罐使攻擊者進(jìn)?交互式操作，從?可以對(duì)攻擊?為進(jìn)?捕獲和分析，拖延攻擊時(shí)間，緩減對(duì)真實(shí)端口定向攻擊，推測攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解所在的資產(chǎn)正在面對(duì)的安全威脅。

利用AXDR終端模塊偽服務(wù)功能+迷網(wǎng)蜜罐系統(tǒng)相結(jié)合可以有效檢測橫向滲透攻擊，特別是?級(jí)持續(xù)威脅APT以攻陷某個(gè)工作站系統(tǒng)作為跳板，攻擊、滲透、訪問其它核?資產(chǎn)，以獲取更多重要信息和敏感資源。在HW期間或日常運(yùn)營均可在核?資產(chǎn)配置偽服務(wù)功能以檢測類橫向滲透攻擊事件，對(duì)攻擊?為進(jìn)?捕獲和分析，拖延攻擊時(shí)間，緩減對(duì)真實(shí)端口定向攻擊，引誘攻擊者進(jìn)?蜜網(wǎng)，推測攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解和防護(hù)所在的資產(chǎn)正在?對(duì)的安全威脅。

未來，AXDR將會(huì)用網(wǎng)端結(jié)合的新一代威脅檢測能力服務(wù)更多用戶，歷經(jīng)更多實(shí)戰(zhàn)檢驗(yàn)，在刀鋒火線上見真章。

AiLPHA大數(shù)據(jù)智能安全事業(yè)群

??? AiLPHA大數(shù)據(jù)智能安全事業(yè)群在安恒信息首席科學(xué)家劉博博士帶領(lǐng)下，以“智引新安全，數(shù)領(lǐng)大未來”為理念，打造行業(yè)引領(lǐng)的態(tài)勢(shì)感知、數(shù)據(jù)安全、零信任、隱私計(jì)算系列產(chǎn)品。目前AiLPHA平臺(tái)產(chǎn)品已經(jīng)服務(wù)于全國200多家省市級(jí)監(jiān)管單位，3000余家中大型政府、企業(yè)、金融、運(yùn)營商等單位。產(chǎn)品和技術(shù)累計(jì)獲得世界互聯(lián)網(wǎng)大會(huì)領(lǐng)先科技成果、工信部示范試點(diǎn)項(xiàng)目、“攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體精品案例”等60多個(gè)獎(jiǎng)項(xiàng)，團(tuán)隊(duì)擁有核心技術(shù)發(fā)明專利400余項(xiàng)，承擔(dān)省部級(jí)重大課題10項(xiàng)，核心產(chǎn)品AiLPHA態(tài)勢(shì)感知平臺(tái)連續(xù)多年被第三方咨詢機(jī)構(gòu)評(píng)為國內(nèi)綜合排名第一。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>