12月29日360(股票代码:601360.SH)旗下360政企安全事业群正式发布360新版高级持续性威胁预警系统(R5版)。该版本重点针对实际攻防场景中攻击检测难、误报率高、处理效率低等关键问题提出相应的解决方案。在特征数据、全景攻防知识库等方面持续赋能,帮助客户有效提升高级网络威胁的发现分析能力和响应处置效率。高级威胁攻击打开“潘多拉魔盒”360NDR应运而生针对数字系统的各类网络攻击(尤其是APT攻击)持续对我国党政机关业务运行和敏感数据构成威胁,国防军工、科研院所等核心单位。360政企安全组发布的《2021年上半年全球高级持续性威胁(APT)研究报告》显示,仅今年上半年,360就抓获了12个境外APT组织对我国重点区域发起攻击。此外,从近年来各种实战型攻防演练和APT事件来看,攻防双方已经迎来了全面对抗的时代。传统的“被动”、“简化”防御体系已经无法抵御以智能为支撑的新型攻击。面临攻击者大量使用自研工具规避现有检测技术,攻击检测不全面;各种安全告警信息包含大量重复告警和误报,事件分类效率低,告警准确率低;安全威胁无法及时响应,安全运行效率低下。作为数字安全领域的领导者,360政企安全组早就意识到未来APT攻击对数字化建设和运营的潜在威胁,多年来一直在跟踪研究全球APT组织,同时利用网络流量分析,结合行为分析、机器学习、全球威胁情报等创新技术,打造新一代NDR系统,帮助客户建立对高级网络威胁的监控,实现检测告警、分析确认、联防联动,网络攻击事件全局监控。和反应能力。四大创新技术重构高级威胁响应能力360政企安全集团NDR产品负责人表示,此次发布的新版本面向实战,云端持续赋能,本地响应联动、系统化的攻击检测、场景分析、海量告警分析确认等方面都取得了突破性的改进。1、云端赋能,本地联动,云端持续赋能:360NDR全面的高级威胁检测分析和溯源能力离不开360云安全大脑提供的安全大数据、威胁情报、专家服务持续赋能。360政企安全集团拥有超过2EB的安全大数据,全球独一无二的实战攻防样本库,300亿样本文件。NDR充分实现了攻击组织的溯源。基于EB级数据的威胁情报、检测规则、模型训练,是打磨360NDR差异化能力的基础。本地响应联动:360NDR通过与防火墙、态势感知、终端安全等本地安全产品的联动响应,实现高级威胁的自动分析和闭环处理,有效提升事件响应和处理效率。阻塞;联动360终端安全防护系统,实现单点检测、网络检测溯源、单点处置闭环等。2、新版系统攻击检测基于ATT&CK技战术体系,以及在360威胁情报和360漏洞平台的赋能下,不断覆盖和拓展攻击检测能力。不仅支持识别上百种主流黑客工具,识别典型远程控制软件和代理攻击的异常行为,支持上千种木马家族的远程控制行为,还可以检测虚拟沙箱等未知威胁检测,隐藏隧道检测和AI算法。各方面均达到国内领先水平。3.场景化分析360新一代NDR基于360EB级安全数据,聚合分析攻击者或受害者的IP数据,形成数十种异常访问场景和行为分析,如弱口令的应用行为、内外部/外内部非法外联行为、邮件场景化检测、异常加密通信等。同时通过基于时间线和KillChain的可视化分析模型,支持相关告警的关联分析分析确认攻击行为及影响范围。图:时间序列分析图:KillChain攻击链分析4.攻击告警分析确认新增会话级攻击确认能力。系统支持所有攻击告警的自动分析确认,对每条告警结果进行分析并标记成功,自动可视化每条告警的攻击特征,不仅有效提高了安全告警的准确率,降低了误报率,而且还可以提高分析优先级和易用性,提高分析效率。据360政企安全组消息,新版360NDR已正式对外发布,并开始服务于政府、金融、能源、电力、科研等重要行业用户,和监督。未来,360NDR将持续提升攻防作战、自动化和智能化能力,为政企用户数字化转型提供安全基础。
