安恒信息AXDR最多8分钟从网络应对入侵威胁
7月,某集团子公司的值班人员将经常携带的办公笔记本电脑接入集团总公司的办公网络时,集团总公司内部网部门的安恒信息高级威胁检测与分析系统(简称ldquo;AXDRrdquo;)警报响起。安恒信息专家工程师将在现场开始紧急调查。
经过对AXDR终端模块假服务报警列表、假服务报警明细的详细探讨,我公司专家工程师判定为是外部感染机器接入网横向攻击事件。在AXDR平台上搜索发现,已有两台资产被破解。情况非常紧迫。
工程师立即使用AXDR终端模块,将中间攻击源和受到攻击(扫描探测)的成功资产一键隔离,同时通过AXDR终端模块体检报告,发现感染系统体检分析和调查证据,伪装可疑连接是某安全制造商的任务栏的图标程序。
通过AXDR终端模块响应中心功能对隔离感染系统进行远程调查,流程依然存在,文件存在于D盘的某个目录下,上机使用终端杀毒软件进行终端检测,未发现任何异常。因此,工程师认为可疑文件对常见的杀毒软件已经免杀,并收集了进一步调查的证据,终于发现可疑文件在某主流安全厂商的垃圾箱目录下并已经收集了大量信息。最终,工程师使用AXDR终端模块锁定了导致此次事件的ldquo。元凶rdquo;来修改标记元素的显示属性。
子公司OA系统网站上植入恶意Flash插件进行氢弹攻击。所有访问OA系统的人都必须安装Flash插件才能正常使用。由于AXDR平台和mei系统的警告,距离事件的发生、发现、判决和隔离处置仅用了8分钟就完成了,经过对事件的调查和评估,此次入侵攻击没有对集团资产横向扩散的影响。
这是最后一次公开的事件的全貌
在这种情况下,大放异彩的是安恒信息AXDRmdash。mdash;一个高级的威胁检测分析系统
AXDR是基于安恒信息的威胁检测数据分析能力,跨多个安全层自动收集信息,实现快速的威胁检测事件响应的产品。
AXDR终端模块为[安恒信息]ATTamp;CK模型是以TTPs(Tactics,Techniques and Procedures)理念开发的模块,使AXDR具有终端入侵检测、基线采集、日志采集、流转发、资产指纹、跟踪、联动响应、恩巴哥处理等功能。重联动,便于取证,溯源,是全量存的优势能力。
在最新版本中,AXDR终端模块是一种欺骗攻击者的技术,通过配置以实际核心资产和办公主机为诱饵的未使用端口、网络服务等,攻击者在发现联盟时攻击这些端口。AXDR端模块允许攻击者进行交互式操作,以捕获和分析攻击行为、缩短攻击时间、抑制对实际端口的攻击、推测攻击意图和动机等。
结合AXDR终端模块的虚拟服务功能+mei系统,可以有效检测横向的穿透攻击。特别是对攻击工作站系统的APT的高级别持续威胁,可以访问攻击、穿透和其他核心资产,以获得更重要的信息和敏感的资源。在正常运作中,核心资产配置了伪服务功能,可以检测横向渗透型攻击事件,对攻击行为进行捕捉和分析,延缓攻击时间,延缓对真实端口的定向攻击,引诱攻击者进入蜜网,推测攻击意图和动机。
未来,AXDR将以与网络相结合的新一代威胁检测能力服务更多用户,经过更多实战验证,在刀片式火线上看到真章。