亞信安全深度威脅發現設備TDA是一款360度的網絡流量分析產品,該產品是亞信安全自主研發,且完全擁有自主知識產權的產品。通過TDA設備,可掌握全 網絡的流量來偵測并響應APT攻擊與未知威脅。TDA可掃描網絡第2層至第7層的數據流量,包含100多種通訊協議的應用如HTTPS,HTTP,FTP,TFTP,SMTP,POP3,IMAP,SNMP,IRC,DNS,DHCP,P2P,SMB,RDP,VNC,TELNET,TCP,UDP和數據庫協議(MSSQL,MySQL,Oracle)等,為用戶提供較全的網絡威脅偵測。
● TDA可以支持Webshell檢測: ghost webshell,PHP webshell2,ASP webshell1,PHP webshell3,PHP Webshell4,ASP webshell_2等
● TDA支持常見漏洞檢測:支持Tomcat寫文件漏洞,ImageMagick命令執行漏洞,ElasticSearch 命令執行漏洞,Samba 遠程命令執行漏洞等漏洞檢測
● TDA支持如下黑客工具攻擊檢測:Cknife,SQLmap,havij,awvs,Nmap,pangolin,EarthWorm,sql綜合利用工具,dirbuster,w3af,OWASP ZAP 2.6.0,Bbscan,OpenVAS,Golismero security scanner等
● TDA支持威脅流量與協議異常檢測 ,如零日攻擊、網絡蠕蟲、木馬、后門、僵尸、間諜軟件、網絡漏洞、網頁威脅(網頁漏洞、跨網站攻擊)、釣魚郵件、暴力攻擊、數據庫注入攻擊等
● TDA支持定制化黑白名單檢測:支持將企業長期累積的黑白名單(如IP/URL/Domain/File SHA1) 匯入TDA實行偵測或是排除。
TDA采用三層式的偵測方法,一層是靜態分析,第二層是動態分析及行為偵測,第三層是事件關聯,目的就是為了發掘隱匿的攻擊活動。TDA根據靜態分析、動態分析、事件關聯的匯總分析結果來實現威脅偵測的可視化。其獨特的偵測引擎加上定制化沙箱動態模擬分析,能快速發掘并分析惡意文檔,惡意軟件、惡意網頁,C&C通信數據以及傳統防護無法偵測到的定向式攻擊活動。其深入的威脅情報分析能力能協助安全管理員快速響應,并可自動與亞信安全產品或第三方情報中心透過公開標準分享情報,建立一個實時的定制化體系來防范黑客攻擊。
一層靜態分析:
1)惡意文件偵測:通過內置的病毒代碼匹配,能夠偵測各種文件型病毒,如木馬、僵尸、后門等;
2)惡意行為分析檢測:通過內置的行為分析技術,能夠偵測威脅流量與協議異常威脅,如零日攻擊、網絡蠕蟲、木馬、后門、僵尸、間諜軟件、網絡漏洞、網頁威脅(網頁漏洞、跨網站攻擊)、釣魚郵件、暴力攻擊、數據庫注入攻擊等。
第二層動態分析:
1)虛擬化沙盒系統:支持用戶本地化環境定制為沙盒系統;
2)具有安全風險評估技術分析:包含針對注冊表、內存、程序、網絡活動、文件系統等操作系統環境的變化進行記錄與分析;
3)廣泛的文檔分析支持:各種Windows可執行程序、OFFICE文檔,FDF、Web內容、各類壓縮文件。
第三層事件關聯:
通過多協議關聯分析技術,能夠自動關聯不同協議、不同會話的威脅日志,發掘隱匿的攻擊活動,實現威脅偵測的可視化。
TDA具備PACK流量包存儲功能,可以針對檢測到的安全攻擊事件進行單獨預存數據包,便于用戶下載PACK流量包進行深入分析;TDA設備也可以對其掃描過的全流量進行存儲,支持用戶在一定時間內,基于單IP地址進行回溯,并支持下載回溯的流量包。
功能特性
● 簡單易用,快速部署
TDA 為一網絡旁路偵測設備,主要對于網絡鏡像流進行多網絡層的分析(網絡層從第二層至第七層),部署快且運作時不影響部署環境的網絡效能。全新設計的智能搜尋以及威脅分類界面,可以讓安全管理員容易進行重要日志的快速查找以及定制化條件的日志報表輸出。
● 云端大數據庫倍增分析能力
TDA 能針對 APT 攻擊提供網絡防護,監控所有連接端口以及 100 多種通訊協議,分析所有進出的網絡數據流量。通過其特殊的偵測引擎與定制化沙盒技術,能發現并分析攻擊者使用的惡意文檔,惡意軟件、惡意網頁,幕后操縱(C&C)惡意通訊,以及隱匿的攻擊活動,提供調查情報讓調查人員快速響應并阻止攻擊。再加上亞信安全最早投產的全球 APT 情報數據庫及全球最強的云安全智能防護網絡(Smart Protection Network),可以讓 TDA 在偵測大量的變種威脅以及利用零日漏洞的未知攻擊上的偵測更具優勢。
● 威脅預警,態勢分析
大部分的威脅發現設備無法確切告知用戶某攻擊正在進行的階段,以至于安全管理員在響應處理上無法采取更有效的策略。而 TDA 在攻擊事件的分析上可具體呈現出每個 APT 攻擊所在的階段,幫助安全管理員針對事件所在的攻擊階段采取更有效率的響應策略以及作為。
● 聯動響應,實時處理
作為亞信安全 APT 治理戰略中的重要一環,TDA 可透過與亞信安全終端安全產品 OfficeScan,服務器安全產品 Deep Security,以及網絡安全產品 Deep Edge 進行實時聯動,從企業安全運營的各個重要環節實時阻斷威脅的攻擊活動。透過產品本身提供的 Web API 以及安全威脅情報共享標準 IOC ,企業的既有安全架構可充分利用 TDA 所產出的本地威脅情報進行集成和利用,持續累積強化企業自身的安全防護能力。
部署條件:具鏡像流量輸出功能的交換機
部署位置:TDA 可部署于總部與分支機構中間,數據中心出入口,辦公網與互聯網的邊界,生產網與內網的出入口等等。一臺 TDA 可同時接入不同部署環境的鏡像流量,實行威脅的偵測分析。
亞信安全深度威脅發現設備TDA-硬件參數
| 型號 | 產品形態 | 配置類型 | 單位 | 硬件規格 | 功能模塊 | 功能描述 | 使用場景 |
|
亞信安全深度威脅發現設備 TDA EE 380 |
軟硬一體機 | 必選 | 套 |
接口數量:標配4個千兆電口 吞吐量:500Mbps 電源:250W*1 硬件外形:軟硬一體化1U標準機架式設備; CPU:2核*1 內存:8G 硬盤容量:1T*1 閑置插槽:無 |
動態沙箱分析 | 通過內置沙箱對未知威脅進行分析,分析維度包含注冊表、內存、程序、網絡活動、文件系統等 | 等保/HW/數據中心 APT檢測/威脅運維/網威脅流量監控/醫療、企業、教育、政府等中小型網絡 |
| 惡意行為檢測 | 對威脅流量與協議異常檢測 ,如零日攻擊、網絡蠕蟲、木馬、 后門、僵尸、間諜軟件、網絡漏洞、網頁威脅(網頁漏洞、跨網 站攻擊)、釣魚郵件、暴力攻擊、數據庫注入攻擊等 | ||||||
| 惡意文件檢測 | 在網絡層對文件進行還原與檢測,能夠偵測各種文件型病毒,如木馬、僵尸、后門、蠕蟲等 | ||||||
| 威脅分析及聯動驗傷 | 提供主機威脅回溯調查的自動驗傷功能,支持威脅類型包括勒索病毒、木馬病毒、惡意代碼、僵尸網絡、釣魚網站、滲透工具、挖礦網址、挖礦病毒、帶毒郵件攻擊等 | ||||||
|
亞信安全深度威脅發現設備 TDA EE 680 |
軟硬一體機 | 必選 | 套 |
接口數量:標配4個千兆電口 吞吐量:1Gbps 電源:350W*2 硬件外形:軟硬一體化1U標準機架式設備; CPU:2核*1 內存:16G 硬盤容量:1T*2 閑置插槽:1個全高 |
動態沙箱分析 | 通過內置沙箱對未知威脅進行分析,分析維度包含注冊表、內存、程序、網絡活動、文件系統等 | 等保/HW/數據中心 APT檢測/威脅運維/網威脅流量監控/醫療、企業、教育、政府等中小型網絡 |
| 惡意行為檢測 | 對威脅流量與協議異常檢測 ,如零日攻擊、網絡蠕蟲、木馬、 后門、僵尸、間諜軟件、網絡漏洞、網頁威脅(網頁漏洞、跨網 站攻擊)、釣魚郵件、暴力攻擊、數據庫注入攻擊等 | ||||||
| 惡意文件檢測 | 在網絡層對文件進行還原與檢測,能夠偵測各種文件型病毒,如木馬、僵尸、后門、蠕蟲等 | ||||||
| 威脅分析及聯動驗傷 | 提供主機威脅回溯調查的自動驗傷功能,支持威脅類型包括勒索病毒、木馬病毒、惡意代碼、僵尸網絡、釣魚網站、滲透工具、挖礦網址、挖礦病毒、帶毒郵件攻擊等 |
上一個: 戴爾PowerVault ME4系列存儲
下一個: 漏掃
相關文章
相關產品
