公司

首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2022 > 正文

【客戶(hù)故事】8分鐘！看安恒AXDR從網(wǎng)到端極速處置滲透威脅

閱讀量：次

因?yàn)橄嘈?，所以選擇。【客戶(hù)故事】講述數(shù)字時(shí)代，安恒信息助力各行各業(yè)客戶(hù)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型、高質(zhì)量發(fā)展的成功故事。

“

本期精華速遞

7月某日，某集團(tuán)為準(zhǔn)備即將到來(lái)的攻防演習(xí)，需要?級(jí)子公司員工輪流到總部來(lái)值班，當(dāng)所有人都以為是正常的工作交接，殊不知威脅正悄然而至。

戰(zhàn)事未開(kāi)，陰云將至

當(dāng)子公司值班人員將隨身攜帶的辦公筆記本電腦接入集團(tuán)總部辦公網(wǎng)絡(luò)時(shí)，已提前在集團(tuán)總部?jī)?nèi)網(wǎng)部署完成的安恒信息高級(jí)威脅檢測(cè)與分析系統(tǒng)（簡(jiǎn)稱(chēng)“AXDR”）隨即告警。正在現(xiàn)場(chǎng)值守的我司專(zhuān)家工程師緊急開(kāi)始排查?？蛻?hù)現(xiàn)場(chǎng)還部署了迷網(wǎng)蜜罐系統(tǒng)，通過(guò)AXDR終端模塊偽服務(wù)將攻擊流量引流至迷網(wǎng)蜜罐系統(tǒng)并觸發(fā)告警，經(jīng)過(guò)對(duì)AXDR終端模塊偽服務(wù)告警列表、迷網(wǎng)蜜罐系統(tǒng)告警明細(xì)進(jìn)行仔細(xì)研判，我司專(zhuān)家工程師判定這是一起外部感染設(shè)備接?網(wǎng)絡(luò)橫向攻擊事件。

AXDR終端模塊偽服務(wù)告警列表

并且，通過(guò)AXDR平臺(tái)檢索發(fā)現(xiàn)，已有2臺(tái)資產(chǎn)被破解成功，情況十萬(wàn)火急，清除威脅刻不容緩！

火眼金睛，無(wú)所遁形

工程師立即使用AXDR終端模塊?鍵隔離中間攻擊源和受攻擊(掃描探測(cè))成功資產(chǎn)，同時(shí)通過(guò)AXDR終端模塊體檢報(bào)告對(duì)感染系統(tǒng)進(jìn)?體檢分析和調(diào)查取證，發(fā)現(xiàn)可疑連接，且偽裝為某安全廠商任務(wù)欄圖標(biāo)程序。到這一步，真相已然逐漸浮出水面。

惡意文件偽裝為某安全廠商任務(wù)欄圖標(biāo)程序

通過(guò)AXDR終端模塊響應(yīng)中?功能對(duì)隔離感染系統(tǒng)遠(yuǎn)程調(diào)查，發(fā)現(xiàn)進(jìn)程依然存在，?件存在D盤(pán)某目錄下，上機(jī)使用終端殺毒軟件進(jìn)行終端查殺，未發(fā)現(xiàn)任何異常。因此，工程師判斷可疑?件針對(duì)常見(jiàn)殺毒軟件已作免殺，進(jìn)一步調(diào)查取證，終于發(fā)現(xiàn)可疑?件在某主流安全廠商回收站目錄下并已經(jīng)收集大量信息。最終，工程師通過(guò)AXDR終端模塊鎖定造成本次事件的“元兇”。

最終定位的可疑進(jìn)程路徑?件

抽絲剝繭還原事件真相，原來(lái)是由于子公司OA系統(tǒng)網(wǎng)站被植?惡意Flash插件進(jìn)行?坑攻擊，所有訪問(wèn)OA系統(tǒng)的?必須下載安裝Flash插件才能正常使用，導(dǎo)致來(lái)總部值班?員在當(dāng)?shù)鼐W(wǎng)絡(luò)已被下載植??坑攻擊程序，當(dāng)?shù)娇偛拷?網(wǎng)絡(luò)時(shí)攻擊程序?qū)瘓F(tuán)網(wǎng)絡(luò)進(jìn)?橫向掃描滲透，因AXDR平臺(tái)和迷網(wǎng)蜜罐系統(tǒng)告警使事件從發(fā)生、發(fā)現(xiàn)、研判到隔離處置僅僅用了8分鐘就完成，經(jīng)過(guò)事件調(diào)查和評(píng)估本次滲透攻擊未對(duì)集團(tuán)資產(chǎn)進(jìn)?橫向擴(kuò)散影響，受到了客戶(hù)的感謝和肯定。

最終還原的本次事件全貌

AXDR ，大顯神威

在本次事件中，大放異彩的就是安恒信息超新星AXDR——高級(jí)威脅檢測(cè)與分析系統(tǒng)。

AXDR能力體現(xiàn)

AXDR，是基于安恒信息的威脅檢測(cè)和數(shù)據(jù)分析能力，構(gòu)建的一種跨多個(gè)安全層收集并自動(dòng)關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測(cè)和事件響應(yīng)的產(chǎn)品，將是安恒流量、終端威脅檢測(cè)、分析與響應(yīng)的一把尖刀。

AXDR終端模塊，是安恒以ATT&CK模型中TTPs（Tactics, Techniques and Procedures）的理念進(jìn)行開(kāi)發(fā)的模塊。使得AXDR進(jìn)一步具備了終端入侵檢測(cè)、基線(xiàn)采集、日志收集、流量轉(zhuǎn)發(fā)、資產(chǎn)指紋、追蹤溯源、聯(lián)動(dòng)響應(yīng)、封禁處置等功能，具有輕終端、重聯(lián)動(dòng)、易取證、自溯源、全量存的優(yōu)勢(shì)能力。

在最新版本中，AXDR終端模塊推出偽服務(wù)動(dòng)態(tài)蜜罐技術(shù)，該技術(shù)是?種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)將真實(shí)的核?資產(chǎn)或辦公主機(jī)布置?些作為誘餌的未使用端口、網(wǎng)絡(luò)服務(wù)等，使攻擊方在滲透探測(cè)時(shí) 對(duì)這些端口實(shí)施攻擊，AXDR終端模塊將端口流量轉(zhuǎn)發(fā)至迷網(wǎng)蜜罐使攻擊者進(jìn)?交互式操作，從?可以對(duì)攻擊?為進(jìn)?捕獲和分析，拖延攻擊時(shí)間，緩減對(duì)真實(shí)端口定向攻擊，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解所在的資產(chǎn)正在面對(duì)的安全威脅。

利用AXDR終端模塊偽服務(wù)功能+迷網(wǎng)蜜罐系統(tǒng)相結(jié)合可以有效檢測(cè)橫向滲透攻擊，特別是?級(jí)持續(xù)威脅APT以攻陷某個(gè)工作站系統(tǒng)作為跳板，攻擊、滲透、訪問(wèn)其它核?資產(chǎn)，以獲取更多重要信息和敏感資源。在HW期間或日常運(yùn)營(yíng)均可在核?資產(chǎn)配置偽服務(wù)功能以檢測(cè)類(lèi)橫向滲透攻擊事件，對(duì)攻擊?為進(jìn)?捕獲和分析，拖延攻擊時(shí)間，緩減對(duì)真實(shí)端口定向攻擊，引誘攻擊者進(jìn)?蜜網(wǎng)，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解和防護(hù)所在的資產(chǎn)正在?對(duì)的安全威脅。

未來(lái)，AXDR將會(huì)用網(wǎng)端結(jié)合的新一代威脅檢測(cè)能力服務(wù)更多用戶(hù)，歷經(jīng)更多實(shí)戰(zhàn)檢驗(yàn)，在刀鋒火線(xiàn)上見(jiàn)真章。

AiLPHA大數(shù)據(jù)智能安全事業(yè)群

??? AiLPHA大數(shù)據(jù)智能安全事業(yè)群在安恒信息首席科學(xué)家劉博博士帶領(lǐng)下，以“智引新安全，數(shù)領(lǐng)大未來(lái)”為理念，打造行業(yè)引領(lǐng)的態(tài)勢(shì)感知、數(shù)據(jù)安全、零信任、隱私計(jì)算系列產(chǎn)品。目前AiLPHA平臺(tái)產(chǎn)品已經(jīng)服務(wù)于全國(guó)200多家省市級(jí)監(jiān)管單位，3000余家中大型政府、企業(yè)、金融、運(yùn)營(yíng)商等單位。產(chǎn)品和技術(shù)累計(jì)獲得世界互聯(lián)網(wǎng)大會(huì)領(lǐng)先科技成果、工信部示范試點(diǎn)項(xiàng)目、“攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體精品案例”等60多個(gè)獎(jiǎng)項(xiàng)，團(tuán)隊(duì)擁有核心技術(shù)發(fā)明專(zhuān)利400余項(xiàng)，承擔(dān)省部級(jí)重大課題10項(xiàng)，核心產(chǎn)品AiLPHA態(tài)勢(shì)感知平臺(tái)連續(xù)多年被第三方咨詢(xún)機(jī)構(gòu)評(píng)為國(guó)內(nèi)綜合排名第一。

關(guān)閉

AI智能體專(zhuān)區(qū)

AI智能體專(zhuān)區(qū)

告警研判和降噪智能體

安全運(yùn)營(yíng)咨詢(xún)服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類(lèi)分級(jí)智能體

API安全智能體

自動(dòng)化滲透測(cè)試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測(cè)智能體

數(shù)據(jù)安全咨詢(xún)服務(wù)智能體

核心安全產(chǎn)品

場(chǎng)景解決方案

Saas產(chǎn)品訂閱專(zhuān)區(qū)

熱門(mén)產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺(tái)最熱

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)推薦

明御防火墻最熱

AI時(shí)代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測(cè)試

AI應(yīng)急響應(yīng)

AI安全咨詢(xún)

AI代碼審計(jì)

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識(shí)教育解決方案>

公司

【客戶(hù)故事】8分鐘！看安恒AXDR從網(wǎng)到端極速處置滲透威脅

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營(yíng)咨詢(xún)
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類(lèi)
分級(jí)智能體

API安全
智能體

自動(dòng)化滲透
測(cè)試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測(cè)智能體

數(shù)據(jù)安全咨詢(xún)
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)

【客戶(hù)故事】8分鐘！看安恒AXDR從網(wǎng)到端極速處置滲透威脅