騰訊安全防守隊(duì)武器庫(kù)系列:雷達(dá)篇
眾所周知,現(xiàn)代戰(zhàn)爭(zhēng)中雷達(dá)系統(tǒng)至關(guān)重要,攻守雙方都要靠雷達(dá)系統(tǒng)實(shí)時(shí)獲取戰(zhàn)場(chǎng)情報(bào),攻方靠雷達(dá)鎖定攻擊目標(biāo),守方靠雷達(dá)探測(cè)來(lái)犯之?dāng)?。雷達(dá)失靈,或技不如人,千軍萬(wàn)馬就會(huì)變成聾子瞎子,陷入被動(dòng)挨打的悲慘境地。在網(wǎng)絡(luò)安全防御體系中,騰訊高級(jí)威脅檢測(cè)系統(tǒng)(又名“御界”,Network Traffic Analysis System,以下簡(jiǎn)稱騰訊NTA)就是網(wǎng)絡(luò)安全防御體系的“雷達(dá)”,是守護(hù)政企機(jī)構(gòu)網(wǎng)絡(luò)安全的“眼睛”和“耳朵”。
騰訊NTA系統(tǒng)是在企業(yè)網(wǎng)絡(luò)出口或網(wǎng)絡(luò)間的核心位置部署流量探針,對(duì)整個(gè)網(wǎng)絡(luò)出入流量,或網(wǎng)絡(luò)間的橫向流量進(jìn)行鏡像分析,當(dāng)攻擊者突破終端防御和網(wǎng)絡(luò)邊界時(shí),就會(huì)在網(wǎng)絡(luò)流量中留下蛛絲馬跡。
騰訊NTA的簡(jiǎn)單模型
騰訊NTA系統(tǒng)可以7*24小時(shí)分析網(wǎng)絡(luò)流量,檢測(cè)是否存在任何可疑的網(wǎng)絡(luò)攻擊活動(dòng),對(duì)風(fēng)險(xiǎn)事件及時(shí)告警,給安全運(yùn)維人員正確處置風(fēng)險(xiǎn)提供決策參考。騰訊NTA系統(tǒng)支持存儲(chǔ)告警流量包,極大地方便了威脅回溯分析,提升網(wǎng)絡(luò)威脅感知能力。這對(duì)發(fā)現(xiàn)、跟蹤專業(yè)黑客組織對(duì)高價(jià)值目標(biāo)長(zhǎng)期進(jìn)行的APT攻擊必不可少。采用旁路鏡像流量檢測(cè),對(duì)企業(yè)正常業(yè)務(wù)、網(wǎng)絡(luò)性能等不會(huì)產(chǎn)生任何負(fù)面影響。目前,騰訊安全團(tuán)隊(duì)日常研究跟進(jìn)的APT組織超過(guò)100個(gè)。
騰訊安全威脅情報(bào)中心發(fā)表的部分APT活動(dòng)報(bào)告
騰訊NTA的主要功能架構(gòu)