安天发布主线产品能力威胁框架映射图谱 – 作者:antiylab

  威胁框架是认知威胁的重要方法,也是安全厂商提高客户安全防御能力、达成客户安全价值的有效途径。

        2011年,洛马提出了网空杀伤链模型,将网空威胁划分为7个阶段,分别是“侦察-武器构建-载荷投送-突防利用-安装植入-通信控制-达成目标”,安天由此提出了阻断、迟滞和呈现杀伤链的产品和解决方案的初期导向,并将主线产品针对这一需求做了捕获、检测、防御、分析、处置的关键动作对标。经过多个机构的改进,杀伤链模型已经演变细化成TCTF、ATT&CK等更细粒度的威胁框架体系。成为深入认知威胁,交换行动情报、改善防御能力、提升产品和体系能力的重要参考,其中ATT&CK最为流行。安天积极对标威胁框架改善产品, 2019年6月30日,全线产品的告警和知识标签输出已经靠拢到威胁框架体系。并不断通过威胁框架为参照系,完善安全引擎、产品能力和分析支撑工作。为了让客户更深入了解安天产品能力,安天决定正式公布安天各主线产品对应威胁框架的检测、防御相关能力映射图谱,并每年发布更新。

20200606-2.gif

图1:安天主线产品关键动作对标

        安天智甲终端防御系统(简称“智甲”)是面向政企客户的终端综合安全防护产品,为办公机、服务器、虚拟化节点、移动设备、国产专用计算机、自助终端、工控上位机等终端防御场景提供多层次、全周期的动态防护能力。

        智甲具有恶意代码查杀、主防监测、勒索病毒增强防护、溢出攻击和横向系统防护等综合威胁防御功能;融合漏洞检测与修复、主机防火墙、终端管控等功能;结合安天独家的高级威胁追溯包服务,可以实现全网威胁追溯,实现终端有效防护。

20200606-3.jpg

图2:安天智甲终端防御系统威胁框架能力映射图谱(2019)

        安天探海威胁检测系统(简称“探海”)是面向政府、军队、运营商、能源、金融、交通等行业客户的网络侧威胁检测产品,有效支撑客户网络威胁发现、高级威胁监测、安全事件响应。

        探海以网络流量为检测分析对象,实现对网络流量全面解析、还原和元数据化,精确判定网络传输数据中的攻击载荷,并全面检测网络扫描探测、远程漏洞利用、攻击载荷投放、僵尸网络活动、蠕虫扩散传播、木马远程控制等网络行为的全要素采集、检测、告警及溯源,精准检测已知威胁、有效发现未知威胁。

20200606-4.jpg

图3:安天探海威胁检测系统威胁框架能力映射图谱(2019)

        安天追影威胁分析系统(简称“追影”)是面向政府、军队、能源、金融、交通等行业客户的威胁深度分析产品,深度揭**胁行为,实现威胁情报私有化生产。

        追影利用深度静态与沙箱动态分析技术,可对文档文件、可执行文件、URL等各类格式对象,通过格式识别解析、Shellcode发现、堆喷射检测、字符串信息提取、漏洞利用触发等手段,进行细粒度的向量提取与分析,输出详实的分析报告,实现高级威胁发现与分析。

20200606-5.jpg

图4:安天追影威胁分析系统威胁框架能力映射图谱(2019)

        安天捕风蜜罐系统(简称“捕风”)是面向政府、军队、能源、金融、交通等行业客户的主动防御型威胁感知产品,通过仿真诱骗攻击者,捕获威胁。

        捕风通过设备仿真、系统仿真、服务仿真、漏洞仿真等多层次仿真,通过IOT型、工控型、PC型、服务器型等多系统仿真,对攻击行为进行记录与分析,并展**胁信息。包括威胁行为感知、受害主机告警、攻击链还原与展示、失陷主机感知、威胁情报生产等功能,具有高低交互结合、精准行为预警等优势。

20200606-6.jpg

图5:安天捕风蜜罐系统威胁框架能力映射图谱(2019)

        安天拓痕工具箱(简称“拓痕”)是一款面向政企客户的网络安全应急处置和分析取证的便携式产品,用于支撑日常巡检、安全评估、应急处置、分析取证及IT系统紧急运维等场景的安全工作。

        拓痕集主机终端威胁检测、系统深度分析、自动证据提取及疑难问题处置于一身,通过现场处置与远程协助两种工作模式相结合,具有提升应急事件的响应效率、提高应急事件的处置能力、减少应急事件造成的影响损失、降低人员技能要求等多方面优势。

20200606-7.jpg

图6:安天拓痕工具箱威胁框架能力映射图谱(2019)

来源:freebuf.com 2020-06-06 17:18:11 by: antiylab

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论