网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

Stuxnet蠕虫病毒（超级工厂病毒）又名“震网”，是世界上首个专门针对工业控制系统编写的破坏性病毒。2010年被发现，至少在2009年之前就开始大规模传播。

传播途径：该病毒主要通过U盘和局域网进行传播。

“历史贡献”：曾造成伊朗核电站推迟发电。

1.网络安全发展-APT

Stuxnet能够利用5个针对windows系统和两个针对西门子SIMATIC WinCC系统的漏洞进行攻击。

特别是针对西门子公司的SIMATIC WinCC过程监控与数据采集(SCADA) 系统的攻击。由于该系统在我国被广泛用于钢铁、电力、能源、化工等的人机交互与监控。。

1.网络安全发展-APT

Stuxnet的攻击目标主要是SIMATIC WinCC软件，主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图

所示：

1.网络安全发展

-APTmrxnet.sys通过

修改一些内核

调用来隐藏被

拷贝到U盘的

lnk文件和DLL

文件

1.网络安全发展-APT

Stuxnet 让公众知道：“原来真有这种事”Snowden 让公众知道：“原来这种事这么多”Hacking Team 让公众知道：“原来这种事都正经当买卖干了”

1.网络安全热点领域

传统安全设备从本地网络或终端数据中发现未知威胁，对于互联网而言，仿佛研究森林中的一片叶子。

通过对互联网海量多维数据的分析、挖掘和关联，才能真正解决在本地数据中快速发现未知威胁的难题：

1.复合型的安全产品举例

2.威胁情报平台

2.复合型的网络安全产品

?CyberBIT是以色列国防部门和情报界的一个主要网络安全解决方案提供商。

?以色列99%电力公司，66%银行，75%国防部门使用它们的产品。

?能够满足石油能源、交通、IT、政府、银行行业的安全需求。

2.

复合型的网络安全产品

2.复合型的网络安全产品

主要产品有三个：

?用于训练和模拟的Cyber Shield TnS（Training and Simulation）?用于网络安全分析和检测的Cyber Shield AnD（Analysis and Detection），类似产品包括：Firewall、IDS、SIEM

?用于网络攻击抑制和响应的Cyber Shield MnR （Mitigation and Response），类似产品包括：SOC

其中后两个产品可以集成起来，形成更加完善的网络安全产品

2.复合型的网络安全产品

用于网络安全分析和检测的Cyber Shield AnD由两个部分组成：

?Sensors负责收集数据以及检测本地异常信息?分析部分负责：

?行为模式异常检测（Anomalies detection of behavioral pattern）一般是通过规则，将多个Sensor搜集的异常进行模式匹配?跨域的关联分析（Cross domain correlation）

一般是对多种类型的Sensor数据进行关联分析，将不同类型数据关联到一起，呈现更复杂的安全事件

2.复合型的网络安全产品

用于网络安全分析和检测的Cyber Shield AnDCyber Shield AnD针对不同行业有不同行业的Cyber Shield AnD定制版本：

?AnD For IT（for IT行业）

?搜集内部网络和主机信息、其他资源

?基于大数据的多层次异常检测

?事件取证和实时分析

?AnD For SCADA（for 工控行业）

?非入侵式，网络协议和硬件诊断

?深度报文分析

?工控系统异常分析和取证

2.复合型的网络安全产品

用于网络攻击抑制和响应的Cyber Shield MnR （Mitigation and Response）

减少网络安全事件处理时间，利用最佳实践提高响应过程，实际上是一个安全运维中心（SOC）

?核心功能：

?智能化安排信息，降低管理员负担

?集成所有的SOC Sensors（影响分析、事件管理、信息共享和协作、事件报告、任务调度、策略和知识管理）

?保护各种资产

?主要模块

?安全事件管理

?安全事件分析和态势感知

?决策支持和解决方案推荐

3.威胁情报平台（进一步的解决方案）Splunk: the threat intelligence companyIBM: intelligence is the new defense

Norse: Norse maintains the world’s largest dedicated threat intelligence network

3.威胁情报平台

威胁情报：是应对资产所发生的威胁的基于证据的知识。包括威胁产生上下文、工作原理、检测方法、响应建议等。

机器可访问的威胁情报：machine-readable threat intelligence (MRTI)

威胁情报平台是用来搜集、关联、分类、集成威胁情报数据的平台，可以实时的支持防御行动优先级划分。

3.

威胁情报平台

3.威胁情报平台

很多研究人员和安全公司，认为威胁情报平台最大的创新是提出了可见性：

Visibility 可见性

Visualization 可视化

Visual Analytics 可视分析