深度威胁分析解决方案

 一、背景

       深度威胁解决方案（deep discovery）为企业提供在对抗针对性网络攻击时需要的网络可视化及更加先进且直观的日志分析能力。  深度威胁解决方案包含三个组件。其一是“ 侦测”威胁的威胁发现设备。它通过进行网络监视、实时分析及提供报告，使威胁可视化。其二是，与各种安全产品互相配合的深度威胁分析设备，它深入分析可疑威胁样本，并利用分析结果来拦截威胁。其三是“高级威胁邮件安全网关 ”，专用来检测和阻止社交工程邮件所导致的网络攻击及数据泄漏。此外，深度威胁解决方案也是为了对抗以特定企业为攻击目标的“ 定制化智能防御战略”中的核心产品。搭配联杰易达专家服务，以期提供企业更完善的网络风险管理。

二、威胁发现设备

       正如同侦测威胁的“雷达”。其特长是覆盖了用户环境 中的超过100种的应用程序协议，利用静态分析、动态分析、行为检测等三 种方式，发现用户环境内的各种已知与未知威胁。针对性网络攻击不仅包括邮件附件型和下载型，还利用u盘或员工带入的 笔记本等设备，因此仅监视单一入侵途径（如网络出口）是难以充分应对的。 通过在广泛的应用程序协议中使用多种手法进行检测，并对所发现的日 志信息进行关联分析，威胁发现设备检测出隐藏在组织内部的威胁， 使整体网络通信的情况可视化。

根据静态分析、动态分析、行为检测的关联分析来实现可视化

覆盖包括邮件及web的超过100种的应用程序协议。

三、静态分析

   在组织内的网络中，有pdf及word等多种形式的文件存在。此外，也会使用多种多样的压缩形式或档案库形式。在静态分析中，趋势科技基于25年来积累的针对多种威胁形式的应对经验，使用最新的分析技术，对包含针对性网络攻击在内的各种威胁进行检测。

四、动态分析

   动态分析即virtual analysis，是将在静态分析或行为检测中发现的可疑文件放入被称为沙盒的虚拟环境中进行操作，并根据其被真实运行后的实际动作来判定危险程度。

在深度威胁解决方案的可定制沙盒中，可以选择中文os或各种应用程序等，模拟出组织内实际的it环境。可以详细地调查威胁所带来的影响及其范围。

五、行为检测

   由于针对性网络攻击持续采用社会工程学等巧妙手法，要想完全防止入侵是十分困难的。因此，为了掌握潜伏在网络内的威胁，需 要进行动作检测，其基础是趋势科技在多年进行威胁分析的成就，以及在实际用户环境中应对攻击所获得的知识等。

   例如，当正规的系统管理工具被恶意利用时，其在网络上的行为看起来依然是正常的。然而，如果访问来源的pc不是信息技术部门而是总务部门，则不能称其为系统管理员的正常行为，而应将其视为非法举动。如此，通过对照企业的业务及运用流程，即使对难以辨别的威胁也可以进行检测及识别。

六、深度威胁分析设备

   通过与威胁发现设备或其他安全产品（如邮件安全网关imsa）等的相互配合，提供更具扩展性的深度动态沙盒分析。此外，对于沙盒分析的结果及从产品收集的事件日志，可以通过具有较高自由度的界面，从多种角度进行深度分析。借助更适合用户环境的分析及报告、通知功能，强化企业对针对性网络攻击的分析力和应对力。

六、威胁分析

  1、利用定制化沙盒分析可疑文件

    从各产品发现的可疑文件，利用dda的定制化沙盒分析，从文件运行的动作行为来判断其危险程度。定制化沙盒为了模拟在企业中实际使用的终端环境，提供管理员定义多个不同操作系统或包含不同应用的沙盒环境， 提供更贴近企业实际网络环境的威胁影响与风险范围分析。

    2、定制化沙盒

    定制化的系统镜像 加速处理时间 反虚拟机检测行为 自动压缩包解密 执行文件、文档与url的分析

    3、实时监控

    内核集成（hook，dll注入等） 监控网络流量 相关信息的协作

   4、攻击威胁

    定向攻击和高级威胁已经证明了他们绕开传统安全防御，并且实现网络攻击和窃取敏感数据 的能力。趋势科技的研究显示，超过90%的定向攻击始于社交工程钓鱼邮件，这类邮件通常 含有传统邮件或终端安全产品无法检测的恶意附件或url。

高级威胁邮件安全网关
检测并阻止定向工程邮件导致的网络攻击及数据泄漏