中国APT安全监测市场全景图

admin
admin
admin
993
文章
2
评论
2020年4月12日16:01:10 评论

市场简评

近年来境外各类政府背景APT黑客组织不断加强对我国网络攻击,窃取大量重要敏感信息,极力攻击试图控制我国核心设备和关键设施,势头猛烈,威胁巨大,严重危害我国网络空间国家安全和利益。

——《法制日报》2020.4.15

 

基于传统特征库检测型的产品在应对APT 攻击时存在明显的局限性,其依赖签名的检测机制无法识别APT惯用的0day漏洞攻击行为,而基于会话的实时检测技术亦无法实现以攻击链视角来追踪和溯源可能长达数月的攻击过程。如果说5年前APT还是一个时髦术语,那么现在它已成为网络空间综合防御体系中必不可少的环节。

在借鉴国外优秀产品实践的基础上,我国网络安全企业在近些年陆续推出高级持续性威胁APT和沙箱等产品,从下图中可以感知近几年APT产品的热度在不断上升,特别是在HW实战中,APT监测产品发挥了一定的作用,已逐渐成为标配产品。在整个网络安全解决方案中,APT监测产品成为了探针,承担了数据采集的工作,也是大数据安全分析的基础,以上是厂商数量近几年显著增加的主要原因。

未来APT监测产品会挤压传统网络入侵检测的市场,或是驱动基于规则的网络入侵检测类产品升级。一方面两类产品的应用场景存在一定重合,二是产品特性层面也有一些交叉。二者未来将会融合为一类产品。在众多的APT厂商中,具备自主研发能力的厂商数量并不算太多,有一些是通过OEM或ODM方式参与进入市场参与竞争的,这也是国内网络安全产业生态的一个特点。

本期安全细分市场观察,我们为大家介绍APT安全监测产品。

中国APT安全监测市场全景图

研究依据

“高级可持续威胁安全监测产品安全技术要求和测试评价方法(试行)(公信安[2014]786号)”是目前国内APT安全监测产品的测试和评价标准,具备销售许可证的厂商有60家,标准主要内容和产品分级依据说明如下:

中国APT安全监测市场全景图

 

典型应用场景

应用场景1:(奇安信提供)

中国APT安全监测市场全景图

客户关注点

1.传统安全设备通常都无法对APT攻击进行有效的检测并生成告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功;

2.威胁情报数据得不到有效利用,对于攻击事件的运营和分析仍处于事后审计的阶段,无法及时发现安全威胁;

3.对未知威胁和异常行为发现能力单一,发现能力不足,仅仅依赖于某一种检测手段,检测效果不明显;

4.对威胁事件的回溯取证分析证据不足时,无法提供强有力的判定依据;

5.对告警数据的响应处置难以形成闭环,常常需要多模块、多系统间多次跳转才能完成一次处置动作。

产品关键特性

1. 天眼系统内置ATT&CK模型和可视化狩猎分析工具,全面助力已知威胁的快速发现和未知威胁的自主拓线分析;

2. 天眼系统结合奇安信自研威胁情报系统,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供天眼系统使用的威胁情报;

3. 天眼系统以攻防渗透和数据分析为核心竞争力,聚焦威胁检测和响应,为客户提供安全服务与产品解决方案,为安全人员提供一套在监测预警、威胁检测、溯源分析和响应处置上得心应手的威胁检测平台;

4. 天眼系统结合全包存储系统,实现了网络原始数据进行全流量完整保存,支持还原网络事件发生时的全部网络通讯内容,实现数据包级的数据取证和责任判定,大幅提升威胁事件溯源的准确性;

5. 天眼系统提供安全自动化编排功能,用户可根据实际业务需要添加任务脚本、联动服务以及工作流程,可根据安全和业务需求定制处置流程,支持针对告警数据直接进行处置,提升响应处置的速度与准确性。

客户关注的主要功能

1. 威胁事件精准检测能力,可及时发现威胁事件,告警详情中可展示威胁事件的攻击成功与否、影响面、响应和处置建议的说明;

2. 分析溯源和取证能力,可提供实时的日志检索功能,可基于告警数据进行取证分析,判定告警数据的准确性;

3. 响应处置能力,对于告警事件可提供自动或手动的运营处置功能,进行闭环的威胁事件处置;

4. 可视化展现能力,可提供威胁态势的总体大屏展现,可直观了解系统整体安全状态与安全状态趋势。

 

应用场景2:(金睛云华提供)

中国APT安全监测市场全景图

客户关注点

1.网络中的加密流量越来越多,同时黑客也常常利用加密技术进行恶意通讯,而流量一旦被加密,所有基于特征检测的防火墙、IDS/IPS、WAF等传统安全设备全部失效。

2.零日威胁层出不穷,恶意代码千变万化,高级逃逸/躲避技术日新月异,基于特征检测的防火墙、防病毒、入侵检测等传统安全手段基本失效。

3.以传统IDS为代表的特征检测类产品告警量大,误报率高,已基本沦为摆设,仅用于满足等保合规性要求。

4.传统安全检测技术大大落后于威胁发展速度,总是先有新的威胁或变种出现,经过一段时间之后才能被检测到,在此之前只能被动挨打,亡羊补牢。

5.APT攻击手段高级,持续时间长,隐蔽性强,对整个安全体系造成严重挑战。

产品关键特性

1.集成网络流量分析、威胁情报IOC(入侵指标)、网络入侵检测、WEB攻击检测、网络行为检测、加密流量分析、隐蔽隧道检测、病毒木马检测、基因图谱检测、沙箱行为检测、人工智能检测、资产威胁画像、攻击链关联分析等各种检测分析技术。

2.既具备传统的特征检测技术,也具备新兴的行为检测技术,还具备基于人工智能的检测技术,内置的AI检测模型不少于10种。

3.既能够检测已知威胁,也能够检测未知威胁及威胁变种。

4.既能够对未加密的流量进行检测分析,也能够对加密的流量进行检测分析。

5.既能够对明文的C&C通讯进行检测分析,也能够对各种隐蔽隧道的通讯进行检测分析。

客户关注的主要功能

1.针对未知威胁的检测分析能力。

2.针对恶意代码变种的检测分析能力。

3.针对加密流量的检测分析能力。

4.针对APT攻击链的关联分析能力。

5.基于全流量的回溯分析取证能力。

 

应用场景3:(新华三提供)

中国APT安全监测市场全景图

(1)互联网威胁监测,部署在互联网出口位置。

(2)内网网络安全态势监控,部署在机构内网不同区域的边界。

(3)办公网用户网络行为监控,部署在办公网出口。

(4)文件/邮件服务器专项防护,部署在邮件服务器或邮件服务器前面。

(5)独立威胁检测中心,作为一个独立的威胁检测中心而存在。

客户关注点

APT攻击的出现,使得被攻击者防不胜防,具体体现有:

1、攻击具有极强的隐蔽能力,针对零日漏洞的攻击利用传统的安全设备,如防火墙,没有有效检测手段。

2、攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,这些信息会被攻击者利用,精心构造攻击步骤。如果不对操作行为进行还原验证,很可能会导致安全事故。

3、用户收到可疑文件后,需要一个可控的运行环境,在该环境下能够监控文件的所有动作,限制文件的访问,防止对本地环境的破坏。

产品关键特性

机器学习检测
实现了利用机器学习检测模型来进行威胁检测的功能,能够对网络中传播的恶意webshell文件、恶意PE文件及恶意域名的快速检测。
动态威胁检测
产品内置数十个沙箱虚拟运行环境,将待检测文件在特定的沙箱中触发运行,通过观察并记录文件在运行过程中的所有动作,结合知识库来判断该文件是否为恶意文件。
嵌套压缩文件检测
产品支持对多级嵌套压缩文件进行检测,能够将压缩文件层层解压,针对每一层级的文件都进行独立检测,以发现隐藏在多级压缩文件中的恶意文件
多维关联分析
内置基于复杂状态机的关联分析引擎,可以对各种检测模块输出基础事件和威胁情报等进行多维度关联分析,提高安全事件告警的准确性,降低误报。
联动阻断防护
具备设备联动阻断防护功能,目前支持被动、主动两种联动方式,结合防火墙、态势感知平台等进行阻断防护。
威胁溯源取证
将流量、审计日志等元数据保留在本地磁盘上,通过强大的搜索过滤功能,支撑客户进行多种条件的混合检索。

客户关注的主要功能
1、检测性能。模拟沙箱能够根据各类待检测文件占比,自动调整不同类型的沙箱配比,达到资源最大化利用。

2、恶意文件逃逸。通过模拟恶意文件所需要的运行环境。防止逃避检测。

3、HTTP追踪溯源。通过对“X-Forwared-For”字段进行分析,还原真实攻击IP,有效进行攻击溯源。

 

APT市场厂商列表

中国APT安全监测市场全景图

注:销售许可证书有效期截止至2020年第一季度末。

weinxin
数说安全
微信扫一扫
  • 本文由 发表于 2020年4月12日16:01:10
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
2022年中国网络安全市场全景图 (2022.4) 报告

2022年中国网络安全市场全景图 (2022.4)

2022年4月27日,数说安全正式发布《2022年中国网络安全市场全景图》(以下简称全景图),这是自2018年开始,数说安全发布的第五版全景图。   数说安全秉承科学、遵循市场发展规律且符合...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: