01
关于TAS威胁分析系统
TAS(太思)威胁分析系统是一款基于网络流量数据检测,结合威胁情报以及大数据分析技术,用来发现、定位和分析网络当中APT攻击的产品。是 LinkSLA 自主研发的一款网络威胁检测系统,与 LinkSLA智能运维管家进行联动,主动闭环服务构建勒索病毒防御体系。
闭环服务构建病毒防御体系
全流量采集和分析
通过旁路部署的方式,将网络流量进行集中存储和还原分析,全面记录网络运行状况,作为威胁告警和威胁溯源的基础数据支撑,当有安全事件发生或者有安全告警产生时,为用户的威胁溯源提供完整全面的网络运行数据,帮助用户做出正确判断。
未知文件鉴定
针对未知的恶意软件和大量的恶意软件变种,引入了动态沙箱技术,通过构造仿真的环境来引爆恶意软件,通过持续监控软件运行状态来对文件属性进行判断,增强产品在未知恶意软件发现方面的能力,切断APT攻击的重要一环。
威胁情报碰撞
通过威胁情报与网络流量的碰撞,发现网络中存在APT攻击的痕迹。利用威胁情报丰富的上下文信息和攻击指标信息对当前网络流量进行匹配,有效发现未知恶意软件,未知漏洞利用等情况,进而实现对APT攻击的检测。
告警信息全自动关联
通过数据处理和计算分析技术将告警信息依据一定的处理模式进行关联,按照时间顺序展示威胁事件进行的全过程,有效减少威胁告警数量,降低了管理人员溯源过程中威胁解读难度,提升安全管理效率。
02
案例处理过程回顾
01 医院TAS系统调试,可实时查看安全日志;
4月某医院TAS系统调试完成,在LinkSLA 智能运维管家的日志监控界面可以实时查看安全日志记录;
02 查看TAS安全日志,导出威胁记录
如图,记录分析:源IP地址为192.168.0.xx 设备中的木马Trojan-Ransom.Wanna.TCP.Spreading,攻击IP地址为172.16.30.xxx 的设备445端口。
03 及时沟通现场工程师,跟踪处理结果。
MOC工程师将安全威胁记录发送给客户及现场工程师进行处理,并跟踪处理结果。
04 网络威胁持续,专家提供解决方案
MOC工程师持续关注,发现Trojan-Ransom.Wanna.TCP.Spreading仍在医院网络中继续攻击,问题仍未解决。
MOC专家建议因为木马蠕虫病毒已经在电脑本地,打补丁只在防火墙上配置,只能防范后续的病毒,无法查杀现有的病毒。必须使用企业版的杀毒软件,对源IP和目的IP设备进行全盘杀毒。对于不能打补丁的旧电脑使用杀毒U盘。
05 全盘查杀,问题解决
Trojan-Ransom.Wanna.TCP.Spreading是木马蠕虫病毒,在杀毒专家的指导下,客户根据安全日志报表中检测到的源IP和目标IP,锁定设备,并检查是否已经安装企业版的杀毒软件,并进行全盘杀毒。Trojan-Ransom.Wanna.TCP.Spreading肆虐问题得以解决。
03
案例总结
TAS系统和LinkSLA智能运维管家安全联动,可以快速发现和处理工单,MOC工程师根据告警信息快速定位攻击源和目标设备,进行全盘杀毒,并及时针对漏洞打补丁,防止病毒横向扩散,有效保障用户IT系统健康运行。
运维无小事,及时发现定位问题,提供解决方案,完成工单的闭环,为客户的网络系统安全保驾护航。