安天发布主线产品能力威胁框架映射图谱

时间 ：  2020年06月06日  来源：  安天

        威胁框架是认知威胁的重要方法，也是安全厂商提高客户安全防御能力、达成客户安全价值的有效途径。

        2011年，洛马提出了网空杀伤链模型，将网空威胁划分为7个阶段，分别是“侦察-武器构建-载荷投送-突防利用-安装植入-通信控制-达成目标”，安天由此提出了阻断、迟滞和呈现杀伤链的产品和解决方案的初期导向，并将主线产品针对这一需求做了捕获、检测、防御、分析、处置的关键动作对标。经过多个机构的改进，杀伤链模型已经演变细化成TCTF、ATT&CK等更细粒度的威胁框架体系。成为深入认知威胁，交换行动情报、改善防御能力、提升产品和体系能力的重要参考，其中ATT&CK最为流行。安天积极对标威胁框架改善产品， 2019年6月30日，全线产品的告警和知识标签输出已经靠拢到威胁框架体系。并不断通过威胁框架为参照系，完善安全引擎、产品能力和分析支撑工作。为了让客户更深入了解安天产品能力，安天决定正式公布安天各主线产品对应威胁框架的检测、防御相关能力映射图谱，并每年发布更新。

图1：安天主线产品关键动作对标

        安天智甲终端防御系统（简称“智甲”）是面向政企客户的终端综合安全防护产品，为办公机、服务器、虚拟化节点、移动设备、国产专用计算机、自助终端、工控上位机等终端防御场景提供多层次、全周期的动态防护能力。

        智甲具有恶意代码查杀、主防监测、勒索病毒增强防护、溢出攻击和横向系统防护等综合威胁防御功能；融合漏洞检测与修复、主机防火墙、终端管控等功能；结合安天独家的高级威胁追溯包服务，可以实现全网威胁追溯，实现终端有效防护。

图2：安天智甲终端防御系统威胁框架能力映射图谱（2019）

        安天探海威胁检测系统（简称“探海”）是面向政府、军队、运营商、能源、金融、交通等行业客户的网络侧威胁检测产品，有效支撑客户网络威胁发现、高级威胁监测、安全事件响应。

        探海以网络流量为检测分析对象，实现对网络流量全面解析、还原和元数据化，精确判定网络传输数据中的攻击载荷，并全面检测网络扫描探测、远程漏洞利用、攻击载荷投放、僵尸网络活动、蠕虫扩散传播、木马远程控制等网络行为的全要素采集、检测、告警及溯源，精准检测已知威胁、有效发现未知威胁。

图3：安天探海威胁检测系统威胁框架能力映射图谱（2019）

        安天追影威胁分析系统（简称“追影”）是面向政府、军队、能源、金融、交通等行业客户的威胁深度分析产品，深度揭示威胁行为，实现威胁情报私有化生产。

        追影利用深度静态与沙箱动态分析技术，可对文档文件、可执行文件、URL等各类格式对象，通过格式识别解析、Shellcode发现、堆喷射检测、字符串信息提取、漏洞利用触发等手段，进行细粒度的向量提取与分析，输出详实的分析报告，实现高级威胁发现与分析。

图4：安天追影威胁分析系统威胁框架能力映射图谱（2019）

        安天捕风蜜罐系统（简称“捕风”）是面向政府、军队、能源、金融、交通等行业客户的主动防御型威胁感知产品，通过仿真诱骗攻击者，捕获威胁。

        捕风通过设备仿真、系统仿真、服务仿真、漏洞仿真等多层次仿真，通过IOT型、工控型、PC型、服务器型等多系统仿真，对攻击行为进行记录与分析，并展示威胁信息。包括威胁行为感知、受害主机告警、攻击链还原与展示、失陷主机感知、威胁情报生产等功能，具有高低交互结合、精准行为预警等优势。

图5：安天捕风蜜罐系统威胁框架能力映射图谱（2019）

        安天拓痕工具箱（简称“拓痕”）是一款面向政企客户的网络安全应急处置和分析取证的便携式产品，用于支撑日常巡检、安全评估、应急处置、分析取证及IT系统紧急运维等场景的安全工作。

        拓痕集主机终端威胁检测、系统深度分析、自动证据提取及疑难问题处置于一身，通过现场处置与远程协助两种工作模式相结合，具有提升应急事件的响应效率、提高应急事件的处置能力、减少应急事件造成的影响损失、降低人员技能要求等多方面优势。

图6：安天拓痕工具箱威胁框架能力映射图谱（2019）