威胁情报赋能 瑞星新一代导线式防毒墙上线IoC检测

2022年5月5日，国际汽车租赁巨头Sixt公司表示，他们4月29日在IT系统上检测到可疑活动，并很快确认自己遭受到网络攻击。部分业务系统被迫中断，运营出现大量技术问题，业务陷入混乱。

2022年3月22日，微软公司证实，黑客组织Lapsus$获得了该公司系统的有限访问权限。Lapsus$声称成功入侵了微软的系统，获得了Bing、Cortana和其他项目的源代码，并发布了一份9gb 7zip压缩包的种子文件。

2022年2月8日，国际电信巨头沃达丰的葡萄牙公司表示，遭受了“以损害与破坏为目的的蓄意网络攻击”，其大部分客户数据服务被迫下线，此次事件给葡萄牙数百万用户造成了不便甚至混乱。

近年来，针对政府及企业的APT攻击日益增多，使得传统安全解决方案不断受到挑战。虽然很多企业都采取了网络防护措施，但安全事件仍然频繁发生，这是因为传统的物理隔离网络、离散式防御体系在高级攻击下显得十分脆弱。

当防御滞后、检测能力弱、覆盖不全面、信息缺乏等因素导致安全问题出现时，企业无法在威胁早期尽快发现和预警，无法对攻击来源和受害目标进行准确定位，无法了解攻击的途径和源头，在决策上缺乏数据上的有效支撑，就会错失防御时机，不能及时应对安全风险。

因此，瑞星公司基于强大的威胁情报数据能力，在新一代导线式防毒墙中加入了IoC检测功能。该功能通过APT情报库、僵尸木马蠕虫等病毒情报库，及用户自定义特征库，对网络流量进行全方位威胁检测，再结合自动化处置及人工响应，可以帮助企业用户预知风险、发现风险、应对风险。

图：IoC检测功能界面

瑞星安全专家介绍，IoC(Indicator of Compromise) 陷落标识，是一种威胁情报，当攻击者使用其特有攻击方式（包括恶意文件签名、恶意IP地址以及服务器域名等）进行攻击时，系统可以对网络流量进行IoC检测，发现已经失陷的终端或服务器。通过还原已发生的攻击，及预测未发生的攻击，可以帮助用户识别系统或网络上潜在的恶意活动，并迅速采取行动，防止此类攻击再次发生，或通过早期阻止来减轻损害。

面对新的安全形势，传统防护产品或解决方案都集中在实时防御上，无法抵御APT攻击等网络威胁，因此需要建立以威胁情报为基础的预警、防御、检测和响应平台，再结合大数据分析、攻击链纵深防御等策略，形成一个全新的防御体系。

图： IoC检测功能追踪APT攻击

瑞星新一代导线式防毒墙的IoC检测功能包含IPv4、IPv6、域名、URL、MD5、SHA256、数字证书、CVE漏洞、攻击组织等多种情报类型，及APT情报库、僵木蠕情报库、用户自定义特征库，并且支持Rootkit、下载器、勒索软件、垃圾邮件、漏洞利用、远程控制、ATP攻击等多种威胁类型的检测，因此可以追踪攻击活动，预先构建防范体系。

图：瑞星威胁情报大数据

瑞星公司表示，IoC检测功能依托超过400亿条实体和关系数据的瑞星威胁情报大数据，利用人工+人工智能等多种手段，可以迅速精准地检测网络威胁，广大企业级用户可借助瑞星新一代导线式防毒墙中的IoC检测功能，强化企业安全建设，防范各类网络攻击。