威胁趋势
近年来网络对抗日益突出,全球网络攻击中70%采用加密(Gartner),恶意软件全面转向加密通信。顶级APT组织攻击产生加密流量占比达100%。国外厂商已将加密流量检测作为核心能力,如FireEye、Awake、Corelight等。国内威胁类型包括出联威胁(探测扫描、暴力破解等)和入联威胁(木马回联、反弹Shell等),涉及工具如CobaltStrike、Metasploit等。
技术创新
加密流量分类包括明文流量、可解密流量、嵌套加密流量和完全不能解密流量。技术创新路线从“中间人”解密检测转向不解密检测,采用AI综合决策技术。恶意加密流量分类包括SSL加密、SSH加密、RDP加密、网络层/传输层/应用层隧道等。AI技术可识别利用加密通信的恶意软件、非法加密应用和高级加密威胁,但存在局限性。综合决策是当前最适合的技术路线,结合密码统计、AI、多模型扫描等技术。
运营实践
运营实践包括威胁标签和原创鱼骨图,以及研判闭环(分析工具集)。构建加密业务基线可及时发现可疑流量,维度包括外联网、内联网、在线业务网等。拒绝概率通过威胁标签和鱼骨图提升,研判闭环通过分析工具集实现。
实战案例
2022年黑产HW中,95%以上受控设备采用加密通信,90%以上检出威胁为独家首发。攻击手段包括社交网络钓鱼、0 Day、迂回分支机构等,打穿后95%以上采用加密通信。观成科技产品检测能力在HW中充分发挥,第一时间检出是关键。
