未知攻，焉知防，TopAPT让未知威胁不再神秘

近期国际知名的IT管理软件公司SolarWinds被曝遭遇严重的APT攻击事件，与此同时天融信听风者实验室也捕获到南亚臭名昭著的蔓灵花组织的APT攻击活动。面对频频曝出的APT攻击事件，小编本着未知攻，焉知防的信息安全理念，以APT29组织攻击事件为例，揭开黑客组织APT攻击过程的神秘面纱，主动出击，将APT攻击扼杀于摇篮之中。

典型的APT攻击过程

SolarWinds APT攻击事件是典型的以供应链为突破口发起大范围攻击的案例，此次事件也完全符合常见APT攻击从攻击准备、攻击入侵到攻陷后的网络安全杀伤链全过程。

攻击准备阶段

攻击组织选定拥有政府、大型企业客户的供应商SolarWinds，并选择其更新服务器作为大范围扩散木马的渠道；

攻击入侵阶段

利用先进、成熟、高隐蔽化的攻击手段，通过技术构建的方式将数字签名后的恶意代码组件植入SloarWinds的更新服务器中，使其以合法的方式大规模分发给客户；

攻陷后的阶段

当SloarWinds客户升级软件后，恶意文件迅速在其网络中扩散，并通过后门方式利用DGA域名技术伪装为正常的业务通信对渗透成功的服务器进行远程控制和敏感数据窃取等攻击活动。

SolarWinds事件网络安全杀伤链攻击过程

针对此类目标明确、隐蔽性强、复杂度高的APT攻击，常规的安全检测手段往往会有一定的滞后，实现对未知威胁的综合定位，实时监测到攻击的每个阶段成为应对APT攻击的重中之重。

APT攻击监测利器—TopAPT

天融信高级可持续威胁安全监测系统（TopAPT）具备流量攻击检测、文件动静态检测、恶意通信行为检测、隐蔽信道检测、机器学习、威胁情报等8大检测引擎，以及具备强大的数据分析与风险预警能力，可实现对蔓灵花、APT29等攻击组织发起的APT攻击全生命周期的监测。

TopAPT攻击态势展示

TopAPT通过对客户业务进出口流量和文件监测分析，可快速发现已知/未知恶意文件、0Day/nday漏洞利用、Web攻击、恶意扫描攻击等入侵行为。同时产品还支持对失陷主机、DGA域名、动态域名、隐蔽信道、异常协议等异常通信失陷行为进行分析告警。最终实现在APT攻击的探测阶段、入侵阶段、回连阶段、内网扩散阶段进行多方位监测，对攻击者的攻击途径、关联关系深入分析，帮助客户快速定位威胁及时做出处置判断，避免持续性威胁造成的严重后果。

TopAPT网络安全杀伤链过程还原

面对复杂多变的APT攻击，天融信TopAPT能够通过深层次多维度的分析发现已知及未知威胁，同时可通过与防火墙联动实现网络攻击检测与阻断的闭环为客户建立纵深防御体系，大幅加强客户对精细化、高级化威胁的感知防御能力，提升客户整体安全运营水平。未来，天融信将继续秉持“中国领先的网络安全、大数据与安全云服务提供商”的企业愿景，以深厚的安全研发能力和行业实践经验为基础，不断推出高品质的网络安全产品及解决方案，为客户网络安全保驾护航。

针对APT29组织攻击事件，天融信高级可持续威胁安全监测系统已通过紧急升级病毒库、威胁情报库以及规则库的方式对攻击进行有效准确的监测，通过与天融信防火墙进行联动，及时阻断攻击，避免出现持续性危害。

TopAPT对SolarWinds APT攻击的检测

热·点·推·荐