去年的RSA大会上,微步在线发布了威胁检测平台Threat Detection Platform,而今年的RSA大会上,我们则获得了CDM评选的全球威胁情报最具创新能力奖(Most Innovative Awards),同时,我们发布了威胁检测平台的服务器版,TDP-S。
“S” is for server. 这一次,我们想保护的是你们的服务器。
匹夫无罪,怀璧其罪,在网络攻击中,服务器的遭遇往往比较凄惨:本来今天吃着火锅唱着歌,高高兴兴地跑业务,突然从漏洞里钻出个黑客就把自己绑架了,不仅被拖库,还会被强迫着打黑工、挖虚拟货币,甚至还可能会成为绑架者的帮凶……而在大型的网络环境中,找到被黑的服务器其实并不容易,所以,这一次的TDP-S,我们根据生产网环境的特点,推出了这样的功能:
01
服务器失陷检测
基于高质量出站威胁情报,发现外连C2(命令与控制)端行为,定位内部失陷服务器。支持接入微步在线全量高质量C2类型情报分钟级更新。除微步在线自带情报外附带多个开源情报源供选择订阅。
02
黑客木马特征检测
微步在线跟踪主流木马及攻击手法,根据通信协议等行为特征定位内部被控服务器。微步黑客狩猎系统追踪全球100余个黑客团伙,测试提取3000余条木马通信协议特征并将规则特征用于检测。
03
DGA域名访问检测
基于深度学习模型DGA(Domain Generate Algorithm)域名访问发现,基于卷积神经网训练的DGA检测模型。可准确发现对DGA域名的访问,准确度可达99%。
04
黑客后门、DDoS木马检测
利用可疑URL检测发现攻击过程的下载木马和恶意软件的行为。对白名单外可疑URL进行云端检测。及时检测发现服务器环境内的恶意行为如挖黑客后门、DDoS木马等。
05
挖矿、反向代理、发送垃圾邮件
基于模型和规则发现数据窃取及流量异常,发现利用隐蔽信道进行数据窃取,发现服务器失陷后被利用于黑客获取利益的行为如挖矿、反向代理、发送垃圾邮件、扫描嗅探等。
理解起来是不是很抽象?我们来看WebLogic的例子,当黑客利用WebLogic漏洞操纵服务器来挖矿时,会有很多代表性的攻击行为:
首先,黑客通过漏洞攻陷服务器,会访问恶意的IP下载挖矿的工具,访问行为和下载行为就会被TDP-S检测;
其次,服务器被用来挖矿以后,会去对外连接矿池,这种典型的行为也会被TDP-S检测到;
最后,以上所有的行为被TDP-S记录后,就能够完整地还原攻击链,让安全人员摸清攻击手法,而攻击者熟练使用一种攻击手法需要较高的成本,因此,这样不仅能让企业安全人员就能对威胁看得更深、更远,快速了解黑产最新的进攻模式,还能够增加攻击者的成本,从而更有效地进行防范。
我们的TDP-S能够在已知威胁发生的时候,快速检测识别,保证客户生产网业务的连续性和数据的安全,而在未知的威胁来袭时,又可以忠实地记录攻击者的整个攻击过程,让安全人员对事件溯源更精准、迅速。
从客户需求的角度看,服务器失陷的严重性已经被广泛认知,被黑掉去挖矿、发送垃圾邮件,甚至成为攻击者的跳板,哪一种都会让安全人员为之头疼。而根据FireEye最新发布的数据,2017年亚太地区的MTTD从172天猛增到498天,令人咋舌的增幅,其实意味着埋藏在企业深处的病灶开始得到确诊,隐匿得更深更久的威胁开始浮出水面。
曾经你以为万无一失的地方,
说不定正徘徊着名为黑产的幽灵。
现在驱散幽灵的工具已经出现
那么,此时此刻,你的服务器安全吗?
领取专属 10元无门槛券
私享最新 技术干货