12月29日,三六零(股票代码:601360.SH)旗下的360政企安全集团正式发布360高级持续性威胁预警系统全新版本(R5版本)。该版本重点针对攻防实战场景中面临的攻击检测难、告警误报率高、处置效率低等关键问题提出相应的解决方案,同时新版本依托360云端安全大脑在威胁情报数据、样本数据、特征数据、全景攻防知识库等方面持续化赋能,帮助客户有效提升高级网络威胁的发现分析能力及响应处置效率。
高级威胁攻击打开“潘多拉魔盒”
360NDR应运而生
数字化浪潮在催生巨大生产力的同时,也打开了网络攻击威胁的“潘多拉魔盒”。针对数字系统的各类网络攻击(尤其是APT攻击)持续对我国党政机关、国防军工、科研院所等核心单位的业务运行及敏感数据形成威胁。360政企安全集团发布的《2021年上半年全球高级持续性威胁(APT)研究报告》显示,仅今年上半年,360就捕获到12个境外APT组织对我国重点领域发起攻击。
此外,从近年来各类实战型攻防演练和APT事件来看,攻防双方开启了全面对抗的时代。传统“被动式”、“单一化”的防御体系对有情报支持的新型攻击网络攻击防御已经力不从心,面临着攻击者大量使用自研工具逃避现有检测技术,攻击检测不全面;各类安全告警信息含有大量重复报警和误报警,事件分效率及告警准确率低;安全威胁无法及时响应处理,安全运营效率低等痛点。
作为数字安全的领导者,360政企安全集团很早就意识到了未来APT攻击对数字化建设和运营的潜在威胁,并多年来对全球范围的APT组织进行持续跟踪和研究,同时利用网络流量分析,结合行为分析、机器学习、全球威胁情报等创新技术打造了新一代NDR系统,通过实现网络攻击事件的检测告警、分析确认、联防联动、全局监测等,帮助客户建立针对网络高级威胁的监测和响应能力。
四大创新技术 重构高级威胁应对能力
360政企安全集团NDR产品负责人表示,此次发布的新版本以实战对抗为目标,在云端持续赋能、本地响应联动、体系化攻击检测、场景化分析、海量告警分析确认、等方面都取得了突破性改进。
1. 云端赋能、本地联动
云端持续赋能:360NDR全面的高级威胁检测分析与溯源能力离不开360云端安全大脑提供的安全大数据、威胁情报和专家服务持续赋能。360政企安全集团拥有超2EB的安全大数据、全球独有的实战攻防样本库、300亿样本文件,通过攻防情报数据、特征数据、样本数据和攻防全景知识库等赋能后,360NDR全面实现对攻击组织的追踪溯源,基于EB级别数据所提炼的威胁情报、检测规则,模型训练等正是打磨出360NDR差异化能力的基础。
本地响应联动:360NDR通过与防火墙、态势感知、终端安全等本地安全产品的联动响应,实现对高级威胁的自动化分析和闭环处置,有效提升事件响应和处置效率,如联动防火墙实现攻击源阻断;联动360终端安全防护系统实现单点检测、网络检测溯源、单点处置闭环等。
2. 体系化攻击检测
新版本以ATT&CK技战术体系为基础,在360威胁情报、360漏洞平台等能力赋能下,持续进行攻击检测能力覆盖和扩展。不仅支持数百种以上主流黑客工具的识别、典型远程控制软件及代理攻击异常行为的识别、千种木马家族远控行为,同时在虚拟化沙箱检测、隐蔽隧道检测、AI算法等未知威胁检测方面均已达到国内领先水平。
3. 场景化分析
基于360EB级别的安全数据,360新一代NDR通过对攻击者或受害者IP进行数据汇聚分析,形成数十类异常访问场景和行为分析,如应用弱口令行为、内对外/外对内的非法外联行为、邮件场景化检测、加密通信异常等。同时支持通过基于时间线和KillChain的可视化分析模型,将相关告警进行关联分析来分析确认攻击行为及影响范围。
图:时间序列分析
图:KillChain攻杀链分析
4. 攻击告警分析确认
新增会话级攻击确认能力。系统支持全量攻击告警的自动分析确认,对每条告警结果进行是否成功的分析和标注,同时对每条告警的攻击特征进行自动化可视,不仅有效提升安全告警准度、降低误报率,还可以提升分析优先级和易用性,提升分析效率。
据360政企安全集团消息,360NDR新版本已正式对外发售,开始服务于政府、金融、能源、电力、科研、监管等重要行业用户。未来,360NDR将不断完善攻防实战对抗和自动化、智能化能力,为政企用户的数字化转型提供安全底座。
