腾讯NTA检测威胁的能力多次得到重保客户的认可,出色表现的背后绝非偶然,取决于腾讯安全能力的长期积累。
1)强大的安全分析与运营能力
腾讯NTA支持对黑客入侵、渗透的各个阶段进行攻击检测,包括:
爆破攻击检测(支持SSH、RDP、Telnet等协议爆破,Tomcat、Weblogic等应用爆破的检测;
Web攻击检测:内置语义分析模型、AI识别变形混淆、智能行为分析、攻击流量还原等检测能力;
漏洞攻击检测:内置超过10000条检测规则,支持超过2000个安全漏洞利用检测,专业安全运营团队可以对最新出现的高危漏洞利用进行应急响应;
横向渗透检测:支持对内网攻击相关协议进行解析,对内网信息收集行为进行检测;
命令执行检测:支持检测数十种反弹Shell、数百种高危命令执行,支持Windows/Linux系统和IoT平台;
数据泄露检测:支持自定义敏感信息类型,检测攻击者入侵后窃取内网机密的行为。
腾讯安全威胁情报系统是腾讯所有安全产品的公共服务平台,该平台集成了腾讯安全20年的海量安全能力,累积文件样本>150亿,域名信誉数据>10亿,IP信誉核心>20亿,核心IOC数据>50万,每日检测域名或URL的能力>3亿。该系统同时支持第三方威胁情报源。
2)腾讯NTA具备0day漏洞检测能力,哈勃沙箱为全球首家接入VirusTotal
0day漏洞利用,是未知威胁的典型代表,在没有获得攻击特征指纹的情况下,极难被检测到。这也是APT组织攻击高价值目标时,最广泛采用的手段之一。腾讯NTA具备检测未知威胁的能力:虽然不认识(攻击者),但觉得行为(攻击者)很危险很可疑。
哈勃沙箱系统(https://habo.qq.com/)是腾讯高级威胁检测系统(NTA,御界)的一个可选子系统,是全球首个接入VirusTotal平台的沙箱系统,自动化的沙箱分析在恶意软件检测中具有举重轻重的作用,流量探针捕捉、还原可疑文件,再通过哈勃沙箱智能分析,结合静态、动态检测、指纹匹配,最终综合判定可疑样本的风险程度。
腾讯哈勃沙箱单日样本分析量可达20万个,可模拟HTTP、SMTP、FTP等不少于8种协议,支持界面模拟激发样本行为,支持捕获未知0day漏洞,支持的样本格式包括可执行文件、脚本、文档、压缩包、邮件,以及apk、elf等多平台文件。支持不少于160种反沙箱技术检测。
面对海量的数据源,仅靠工程师人工分析判别,是无法完成的任务。腾讯NTA集成AI技术能力,采用深度学习融合模型利用时序特征和静态特征检测未知威胁,已取得多项相关专利。通过数以万计的测试样本验证,AI技术检测精确率达到99.67%,在网络攻防演练实践中,AI技术相比传统方案提升20% 的检出率。
腾讯安全联合实验室拥有业界顶尖的技术专家,安全工程师>3500人,可以为重保客户提供全天侯的安全服务。腾讯NTA的检测能力与腾讯安全专家服务团队有机结合,从而使重保客户拥有0Day漏洞的检测能力。
3)腾讯NTA无缝对接腾讯天幕,可实时拦截攻击流量
腾讯NTA系统支持通过API与腾讯天幕或其他安全产品联动,由腾讯NTA分析获得最新的IOCs情报数据,由腾讯天幕生成封禁规则,利用天幕的旁路阻断技术,秒级阻断高危流量,在最大限度降低安全威胁的同时,对平台正常业务不会产生任何不良影响。
