360高级持续性威胁预警系统(NDR一体机版),是360自主研发的通过流量深度分析结合全球威胁情报、攻击行为分析、机器学习、关联分析等新一代安全技术对各类型网络攻击行为(尤其是新型/未知威胁行为、APT组织活跃行为)进行检测、分析、响应的软硬件一体机产品。
系统部署简单,攻击发现分析能力突出,在现网攻防演练、重保活动、关键信息基础设施保护等强对抗场景中广泛应用,为用户提供传统IDS等威胁管理产品无法实现的更强保障能力。
APT攻击采用免杀或未知木马、0day漏洞攻击等复杂手段,但现有的IDS/IPS/防火墙/WAF等产品无法检测,银行、运营商、电子政务等明确发文要防范APT攻击。360NDR应用全球领先威胁情报,精准检测APT组织、特征检测、沙箱、机器学习、隐蔽信道、场景化检测综合技术,全面检测已知和未知攻击、可以有效检测僵木蠕毒,尤其免杀、未知木马等。
攻防演练已成常态化,参与队伍逐年增加,攻防演练活动中,防守方需要及时发现攻击方的攻击行为并进行响应处置,否则会失分。同时在冬奥会、两会等重保期间,在业务、办公内网、第三方接入的位置部署360NDR可以实时监测攻击方惯用的网站攻击、钓鱼邮件、木马控制、Webshell和进入内网后的横向移动攻击,并及时告警进行威胁阻断,有效保障业务的稳定性运行。
勒索/挖矿方式和技术手段不断升级,勒索软件种类多、更新迭代快,杀软无法检测。部署360NDR可以利用威胁情报、协议特征从流量中识别攻击、通信和横向扩散,应用沙箱、机器学习、勒索诱捕等多种技术识别勒索/挖矿木马,同时还可以联动终端杀软/EDR/FW等进行隔离/查杀,通知运维人员进行处置,及时联动隔离/阻断勒索软件扩散,降低损失。
目前在政策的驱动下,国家要求企业、单位需满足等级保护和关键信息基础安全保护条例。其中等级保护中明确:三级/四级系统应采取技术措施实现新型网络攻击行为的分析。360NDR应用威胁情报、行为分析、机器学习、隐蔽信道等新一代检测技术,不仅满足等保新技术要求,还能帮助进行等保基础上更高要求的关保能力建设,合规和能力建设同步实现,一笔投入两笔收益。
某政府主管部门需对下级单位的大网流量进行统一的安全威胁分析,发现网络威胁事件,针对APT攻击进行及时预警和威胁处置,同时督促下级单位进行安全整改建设。
在网络出口部署多台360NDR设备+管控中心,同时360NDR联动防火墙设备,形成自动化响应的处置方案。
360NDR利用威胁情报,检出疑似Turla APT组织(位于俄罗斯的黑客组织)攻击hotspot.accesscam.org、highcolumn.webredirect.org、ethdns.mywire.org、theguardian.webredirect.org等4个域名。利用流量行为规则,检出与“APT活动行为 - APT-C-23双尾蝎通信数据(GET) “匹配流量、通信格式对比一致、威胁情报佐证,精准识别APT组织并自动化的联动防火墙进行威胁阻断,避免受到持续攻击。
2020年和2021年全国攻防演练,金融行业属于重要基础设施相关行业是攻防演练重点攻防领域,某行高度重视,在原有较为完备的安全防护体系基础上,增加360NDR系统进行监测。
在进出邮件服务器流量、生产区、开发测试网、办公网、互联网业务等区域流量通过核心交换机侧全部接入360NDR系统进行监测。