启明星辰(002439.CN)

启明星辰:唯有'罗缕纪存' 方能证据确凿

时间:20-08-17 14:55    来源:金融界

网络安全攻击态势 复杂而严峻

近年来,随着我国互联网经济的飞速发展,以及电子货币和数字货币的兴起,勒索病毒、挖矿攻击、APT攻击等面向经济利益的复杂攻击行为越来越多,攻击者也在朝着专业化、组织化的方向发展,攻击影响的领域范围越来越广,造成的经济损失也极为严重。

图1 APT组织披露次数分布

<a href='/' target='_blank'>启明星辰</a>(<a href='/' target='_blank'>002439</a>):唯有“罗缕纪存” 方能证据确凿

图2 APT攻击领域分布

数据来源:启明星辰网络安全态势观察报告

安全事故频繁发生 取证溯源困难

2018年9月,某组织宣称其已经窃取1.2亿个Facebook用户账号的私人信息,并试图以每个账户10美分的价格在网站上出售,截止目前已公布了至少8.1万个账号,实际的丢失数据量,无法溯源查证。

2018年11月,国际知名酒店集团证实,旗下酒店预订系统遭网络入侵,泄露大约5亿客户的个人信息,攻击者复制并加密大量数据,分步“迁移”复制,丢失数据的详细信息,无法溯源查证。

2019年2月,某组织在Market暗网市场上挂出了 6.2 亿用户信息,交易使用比特币进行,卖家宣称这些数据来自Dubsmash、MyFitnessPal、MyHeritage等16 个被攻击的网站,包含大量的个人隐私数据,无法追溯查证。

2020年4月,葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击。攻击组织声称, 已获取EDP公司10TB的敏感数据文件,并且索要了1580的比特币赎金(折合约1090万美元),关于攻击者声称盗取的10TB的敏感数据文件的具体信息,无法追溯查证。

......

面对大量不断频发的安全事件,攻击追溯分析、攻击受损评估困难等问题如何解决?

攻击取证和损失评估

上述多个真实安全事件案例,已经充分证明了当前传统安全产品在分析取证能力方面存在局限性,站在安全事件分析者的角度,在面对网络攻击时,主要面临以下问题:

面对海量攻击告警时,不知如何下手分析

面对可疑攻击时,不知如何判断攻击的真实性

面对复杂攻击时,无法获取有效的攻击证据

面对网络被攻破时,无法判断攻击的影响范围和受害程度

面对数据被盗取时,无法判断数据损失的严重程度

面对0day漏洞时,无法判断0day攻击是否已经出现在自己的网络中

面对APT攻击时,无法确定攻击的隐蔽程度、攻击路径和攻击渠道

......

启明星辰:唯有“罗缕纪存” 方能证据确凿

图3 证据的不完整导致取证和受损评估工作的困难

如图所示,受近几年来自国外高级持续威胁和内部信息泄露的影响,国内企事业单位对安全防护的关注程度和投入都在持续增加,但绝大部分的网络防护重点都是关注“实时防护”,而忽略了攻击数据留存的重要性。攻击证据的不完整性也直接导致了事后取证和受损评估这两项工作举步维艰。攻击者何时进来、何时离去? 他们带走了多少数据,内网还有多少潜伏的安全隐患? 面向层出不穷、变化多端的高级攻击手法,网络防护者迫切需要为这些问题找到一个妥善的解决方案。

启明星辰公司作为国内网络安全领域的领军企业,持续深耕网络安全技术20余年,积累了深厚的实战攻防经验。随着近几年企事业单位对网络攻击取证需求越来越强烈,启明星辰也在攻击取证技术上做了持续的研发投入,并取得了一系列技术成果,在大数据存储、压缩与加密、快速取证检索、实时安全模型分析、未知威胁检测、深度协议解析等层面处于行业领先的地位。作为网络安全领域最早研究全流量分析取证能力的公司,启明星辰全流量分析取证解决方案即将在近日发布,给企事业单位在攻击取证和受损评估层面带来全新的价值,敬请期待!