NGTP解决方案之“多兵种快速反应小组”

现如今网络威胁铺天盖地;攻击目标,攻击手段,攻击特征,攻击目的也是现代版的孙悟空,变化多端。作为网络防护的解决方案,犹如现代化的反恐部队,随着恐怖形式的多变,快速反应小组也要有新的应变能力,推出新的应变形式,也就是所谓的敌变我变,随机应变。

各大安全厂商都在推出了自己的安全防护方案,宣传能防御未知威胁;然而客户看中的是防御的实时性和防御效果,免受财产,资产的损失。

邓爷爷说过“实践是检验真理的唯一标准”(本人绝对信服)。通过后面的案例来了解NGTP解决方案中的“多兵种快速反应小组”如何快速高效应对多变的恐怖环境。NGTP解决方案是一套安全防护系统,可以根据实际环境添加,削减模块,类似于针对不同的恐怖袭击组织不同的人员作出突发事件响应。下图是一个典型NGTP解决方案:

NGTP解决方案

NGTP解决方案

TAC—-NSFOCUS 威胁分析系统,用于静态,动态检测位置未知。 SEG—邮件安全网关,过滤邮件中可疑邮件。
ESPC-安全网络管理中心。

下面以有代表性攻击响应实例来说明NGTP解决方案的时效性,及对NGTP解决方案强大的扩展支撑。

最近影响非常非常严重的locky勒索软件,已经让不少人苦不堪言,locky勒索软件的工作流程在此不是重点,要说的是NGTP对于这种未知的攻击如何做到有效防御。目前在国内L煤炭公司(实在不方便透露,更不要怀疑事件的真实性)的网络中发现locky勒索软件的痕迹。NGTP从发现该攻击到实施防护预案,中间只用了2分钟,并且在这两分钟之内成功拦截locky软件的破坏行为,12个小时之内NGTP部署的全网能够成功拦截locky软件的恐怖袭击。对此该客户不理解,怎么可能做到从发现可疑攻击到成功拦截恐怖袭击中间只需要两分钟,即使要对样本分析也要按小时计算。

这就是NGTP的强大之处,针对locky软件的攻击,NGTP动用“多兵种”组成的“快速反应小组”进行协同作战。为理解NGTP中的”多兵种”协同作战的本质,先来了解一下在现代化反恐战争中,对恐怖袭击的大致处理过程:

多兵种快速反应小组反应流程

多兵种快速反应小组反应流程

第一步要组织情报收集人员,收集到哪里可能会有人肉炸弹,定时炸弹或是恐怖分子。

第二步,情报人员将情报报告给情报中心。由情报中心对情报做初步分析,处理将情报送给指挥中心。

第三步就是指挥中心迅速组织快速特战小组包括拆弹专家,爆破专家,特种部队等去恐怖地带处理恐怖事件。

第四步快速特战小组对恐怖事件中及时处理,包括拆除炸弹或是爆破等,同时通过审讯等方式了解更多情报,由情报人员传递给情报中心同时将情报分析汇总,分析后了解更多可能的潜在威胁,及恐怖组织藏匿地点等信息反馈给指挥中心。

第五步,指挥中心推出新的策略和组织快速特战小组处理恐怖事件。

第六步,通过无人侦察机对藏匿地点跟踪侦查,拍照,实施精准打击,消除潜在威胁。

从对恐怖事件响应流程上看,处理此次事件组成了情报人员,情报分析人员,指挥部,拆弹专家,爆破专家,特种部队,无人机等多兵种,立体式防卫体系,有效遏制恐怖袭击事件。

NGTP正是借鉴了这种”多兵种”立体式防卫体系,才能实时有效防御locky软件的恐怖袭击。那么具体NGTP是怎么样做到的呢,接下来对反恐战争中的人员配备和分工与NGTP解决方案中的事件处理做一映射,如下图:

映射

映射

要知道在反恐行动中针对不同的恐怖行为要建立不同的组织机构,NGTP方案对不同的网络攻击行为也建立了不同的模型。由于locky主要是通过邮件传播,针对locky攻击NGTP标准解决方案部署了两道防御阵线,第一道防线就是SEG邮件安全设备,第二道利用NGTP建模防御攻击。而对于该煤炭公司来说并没有部署第一道防线,而是直接部署了第二道防线,之所以能在2分钟之内实施安全防护,12小时内实现NGTP全网防护也是归功于NGTP根据现在恶意软件的攻击行为例如locky攻击应用了全新的“组织机构”建立检测模型。

该模型如下图所示:

1.IPS自动学习访问外网时常使用的IP地址,内网访问外网常用会按照不同行业IP数据和种类不同,比如在本次煤炭企业常用IP为5000多个外网IP,添加到该IP时常访问列表。

2.Locky软件启动后会链接新的IP,IPS判断该IP为新IP地址,则第一次标记为可疑网络行为,分配权重为X,同时IPS判断该网络行为请求的为一个PE文件,第二次标记权重为Y。

3.在该链接返回数据后文件还原可知,该文件大小小于1M(90%的恶意软件小于1M),第三次标记权重为Z。同时将该样本发给TAC做情报分析。

4.基于恶意软件在下载会和服务器或是外部主机建立链接,如果在半小时之内还有该外网IP或是新IP地址的链接,则标记权重M。

5.如果f(X,Y,Z,M)大于某一阀值则可判断是一次网络攻击行为阻断往外IP或是新IP的链接。

IP的链接

IP的链接

6.locky软件从一个未知IP上图中的X.X.37.175地址下载小于1M的PE文件,同时PE文件运行后很快(45秒钟)从一个新的IP X.X.87.106地址请求公钥KEY,基于该检测模型,NGTP在两分钟之内成功拦截locky软件的恐怖袭击。

7.为了能挖掘更多的情报,分析人员结合TAC分析会对PE做进一步的分析,分析出攻击源,攻击的行为,攻击手段,和网络特征及样本指纹,在4小时内出分析结果,同时制定应急响应规则升级包,12小时内在NGTP全网升级病毒库及规则升级包。

针对本次攻击的NGTP防护方案正式采用了“多兵种快速反应”的思想,利用自动化学习,机器处理,人工参与,情报分析,任务下发等手段,成功拦截恐怖袭击,查找攻击源。其过程如下:

第一步 IPS(情报人员)收集网络行为(哪里可能会有人肉炸弹,定时炸弹或是恐怖分子等情报)。

第二步 IPS(情报人员)将网络行为(情报)给建模(情报中心),由建模(情报中心)对网络行为(情报)进行数据分析(情报分析),处理并将可疑网络行为特征(情报)送给策略中心(指挥中心)。

第三步 策略中心(指挥中心)组织新规则(快速特战小组拆弹专家,爆破专家,特种部队等去恐怖地带)对事件作出响应(处理事件)。

第四步 新规则(快速特战小组)对事件及时处理阻断或是告警,同时TAC或是研究员(情报中心)通过数据分析(审讯等方式)了解更多的网络行为(情报),同时将网络行为(情报)汇总,分析后了解更多的潜在威胁及攻击源(恐怖组织的藏匿),并将攻击特征,网络行为等(情报)反馈给策略(指挥中心)。

第五步 策略中心组织新的规则(快速特战小组)处理攻击事件。

第六步 通过势态感知平台(无人机)对攻击源(藏匿地点)跟踪定位(侦查,拍照),之后实施精准打击,消除潜在威胁。

势态感知

势态感知

通过态势感知(无人机)侦查,确定了这次攻击是由土耳其最大港口城市伊斯坦布尔和拉脱维亚首都里加地区联合发起的恐怖袭击;病毒来自于土耳其,而要获取秘钥需要连接到拉脱维亚的服务器。

NGTP解决方案通过建立“多兵种快速反应小组”协同作战,针对不同攻击形式建立多种检测,防御模型;通过全天候,“多兵种”,立体式防御体系,快速跟踪定位潜在威胁,有效防御潜在攻击行为。

如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment