持续性威胁猎杀服务是深入的以“人”为主导的调查过程,基于安全产品与威胁情报,发现关键信息资产中潜伏的威胁。持续性威胁猎杀是积极防御层面一种主动和迭代的威胁检测方法,其目的是在攻击者对关键信息资产造成任何损害之前阻止它们。本项服务包含的子服务有:
1.威胁检测子服务:流量侧部署全量采集与检测工具,收集网络通信全量数据,为猎杀做准备;
2.威胁巡检子服务:排查网络内已知威胁告警,人工研判告警信息,一方面排除猎杀噪音,另一方面了解网络威胁现状;
3.人工调查分析子服务:主动观察数据,发现网络内异常,定位异常主机,开展主机排查,研判安全威胁;
4.应急处置子服务:在主机取证分析后,移除恶意进程、文件及数据字段等,恢复业务;
5.专杀开发子服务:全网排查,必要时开发专杀工具协助查杀。
通过开展持续性威胁猎杀服务,可以:
保障客户网络环境内威胁全面发现与处置,通过全网范围的的持续性威胁排查,快速发现安全事件及时采取处置措施进行威胁清除;
协助客户深入发现并分析APT攻击事件,通过持续的威胁猎杀,深入挖掘APT攻击痕迹,掌握攻击者攻击手法、攻击意图,有效反制攻击源。