360NDR率先支持对美国NSA量子攻击威胁的检测分析近日

【360NDR率先支持对美国NSA量子攻击威胁的检测分析】近日， 360政企安全集团率先公开披露了美国国家安全局（NSA）针对中国境内目标所使用的代表性网络武器——Quantum（量子）攻击平台。该平台中的Quantum（量子）注入攻击是NSA针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术，主要针对国家级网络通信进行中间劫持，以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击，直接威胁我国政府、医疗机构、科研机构、教育机构和龙头企业等重要行业及单位的数字安全。
Quantum（量子）注入攻击按照攻击特点可以归类定义为MotS（ManontheSide）旁路型中间人攻击。在真实的攻击实例中，量子注入攻击的实施方式异常复杂，既可以针对定向服务端进行中间人劫持访问攻击，也可以通过目标临近的网络节点实施针对定向目标访问发起流量劫持和入侵植入。安全人员难以准确定位网络链路中的哪一跳节点具体实施了量子注入攻击，也极难捕获完整的量子注入攻击过程。
360政企安全集团第一时间开启了全面的“狙击战” ，基于360高级持续性威胁预警系统（简称：360NDR）实现对此攻击的威胁检测支持。针对量子攻击的中间人劫持攻击场景的全阶段及各阶段所表现出的特定行为特点， 360NDR均具备检测能力。
1）在注入攻击阶段，对注入攻击流量中携带有不同负载的重复TCP报文，基于负载大小、报文时序、负载内容特征等维度构建异常检测模型，实现全面覆盖量子攻击的威胁检测。

文章图片
检出NSA量子攻击图

文章图片
量子攻击告警详情图
2）在针对浏览器或其他应用的漏洞利用代码投递阶段，基于虚拟化沙箱、AI检测模型实现对未知漏洞的检测。

文章图片
检出NSA量子攻击图
3）在APT攻击的通信阶段，基于360云端安全大脑持续赋能的威胁情报检测引擎，可以精准识别出NSA量子攻击行为，遏制攻击危害持续产生。

文章图片
检出NSA量子攻击图
类似Quantum（量子）攻击这种由国家或经济利益体驱动的专业攻击团队发起，长期实施、空前复杂且多方位的APT高级持续性威胁（AdvancedPersistentThreat），已经成为当下网络空间内国与国对抗的最重要手段之一，更是网络战的基础攻击手段之一。
360NDR是360自主研发的、通过流量分析结合全球威胁情报、行为分析、机器学习、虚拟执行、关联分析等新一代安全技术对各类型网络攻击行为（尤其是新型/未知威胁行为、APT组织活跃行为）进行深度检测和分析的抗APT类产品。针对APT攻击难以发现、隐蔽性强等特点，产品采用“最大化检测”、“针对性分析”、“场景化关联”结合的理念，综合采用8种检测引擎最大化发现APT攻击线索，利用上下文流量关系分析判断攻击结果，以特定APT组织活动情报为基础进行“针对性”分析，通过攻击场景的内在关联分析出APT的全链过程。产品具备以下关键能力：
云端持续化赋能
360云端安全大脑提供的安全大数据、威胁情报和专家服务持续支撑360NDR系统对APT威胁检测分析与溯源。作为数字安全的领导者， 360政企安全集团拥有超2EB的安全大数据、全球独有的实战攻防样本库、300亿样本文件数，通过攻防情报数据、特征数据、样本数据和攻防全景知识库等对360NDR实时联动赋能，从而全面实现对APT攻击组织的追踪溯源，可覆盖千级恶意家族和攻击团伙。