安恒信息APT攻击预警平台重磅发布新版本
安恒信息APT攻击预警平台重磅发布新版本了!!!
听说这次迭代,很给力!
在动态沙箱分析、红队典型攻击检测、攻击者视角分析、风险调查取证等关键技术基础上,历经多场实战检验,产品组协同研究院对检测策略持续优化升级,并新增资产识别和管理、Linux沙箱、弱口令检测配置、动态口令登录、代理自动更新等多项功能。
新版本上线,有哪些新变化呢?
资产识别和管理
通过对流量中的IP地址、端口等进行统计,对网络资产进行主动发现并快速识别未登记资产。
1、可基于特定应用或服务对内部资产进行梳理(系统类型、IP、域名、端口等),查看资产端口暴露情况,特别是以非标端口提供的服务情况;
2、可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)。
多并发沙箱检测技术
1、平台采用多并发沙箱检测技术,集成主流操作系统winXP、win7、win10、Linux等多种检测环境
2、新增PS1、ELF等格式文件的动态检测
检测模型丰富
1、ARP欺骗:安恒APT预警平台根据网络内MAC与IP地址的绑定关系,分析网络内的ARP流量,判断ARP应答包中的IP和MAC地址是否匹配;通过确认网络内主机的IP与MAC绑定关系,来提高检测精准性
2、弱口令检测:
支持自定义弱口令规则配置(最短口令长度、最少字符类型数),自定义新增弱密码库及其检测类型
支持自定义HTTP登录行为关键字,丰富HTTP弱口令检测模型
支持对HTTP协议请求头中用户认证弱口令、对JSON格式(逗号分割和冒号区分键值)的用户信息提取和弱口令、明文口令和MD5加密口令碰撞的弱口令、BASE64加密口令的弱口令等进行检测
3、自定义规则模型:丰富自定义规则模型,支持按统计来源、访问次数和周期等参数自定义周期统计类规则
4、针对攻防演练,持续新增并优化多条漏洞利用检测规则,如Apache Struct2高危漏洞
5、新增智能语义分析检测脚本文件上传,如jsp脚本
协议解析和数据外送
1、新增250多种应用识别能力,并支持将新增的会话应用数据发送到大数据平台
2、新增SSL 3.0版本RSA解密,并支持对SSL流量进行审计,将审计数据外送到大数据平台
3、支持对NETFLOW流量进行解析并将审计数据外送到大数据平台
4、风险通知新增json格式,支持直接将风险数据发送到大数据平台,无需中转
配置优化与用户管理
1、新增常规协议自动识别功能,包括FTP/IMAP/SMTP/POP3/SSL/SMB/RDP等;可自定义是否启用该功能
2、支持自定义NAT转换前的IP字段名和字段位置
3、新增IDS规则综合查询功能,支持自定义启用/禁用规则和模糊查找
4、新增飞天诚信动态口令登录认证和管理功能,增强账号安全性能
5、云环境下流量代理部署时,支持AGENT自动更新
6、新增导航页语音告警播报功能,播报风险类别、风险级别、攻击状态、客户网络等可自定义
安恒APT攻击预警平台能够发现已知或未知威胁,平台的实时监控能力能够捕获并分析文档或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
本文转自《安恒信息合作伙伴中心》