基于端点的APT攻击防御 ----杭州义盾商业计划书
APT防护方案市场容量五年翻一番 APT 防护方案的市场容量预计会从2019年到2023年翻倍(100亿美金左右) Gartner预估: 目前EDR市场有4000万个端点; 到2020年全球会有1.5亿个端点部署; - Source: RADICATI GROUP Market Quadrant 2017 中国已成为全球APT攻击第一目标国! 美国遇到的APT攻击绝大多数来自中国?
传统防御手段不足以应对以APT为代表的新型攻击。 由于APT通常使用0-day漏洞和未知恶意软件,且全程由攻击者参与,其侦查与攻击手段相比于传统攻击更加隐蔽。 同时黑客有各种方式来绕过现有的APT防护方案。 对基于网络流量的分析的下一代防火墙,对流量进行加密绕过; 对静态特征检测的防病毒软件,对恶意软件进行混淆绕过; 对动态沙箱检测,对沙箱进行反侦测,给出错误行为绕过; 端点防御是满足市场对准确度和响应时间需求的最佳选择
目前竞争态势 国际已经有一些EDR的独角兽 CrowdStrike ,Carbon Black,etc HIDS VS. EDR 响应时间 快 防火墙 基于行为分析的EDR 国际已经有一些EDR的独角兽 CrowdStrike ,Carbon Black,etc 杀毒软件 基于日志文件的分析 精确度 (抗逃逸,覆盖率) 低 高 HIDS VS. EDR 沙箱 慢
技术对比 技术对比 抗逃逸 可靠性 实时 基于网络检测 基于静态特征检测 Hooking 沙箱 操作系统底层数据行为检测 (义盾基于ETW数据) 逃逸技术: 反沙箱 混淆 加壳 hook的弊端 ,操作系统的稳定性 。全局hook会增加 系统开销。 带宽 8KB/s
杭州义盾EDR系统技术创新点 通过系统底层监控以检测恶意行为及其语义。我们设计实现了国际首款从操作系 统内置的监控工具(如ETW for Windows)收集的底层行为数据推断出如 keylogging等的恶意行为语义,来对抗逃逸攻击,并且系统的开销低到可以忽略。 通过数据流和控制流实时重建整个攻击链。我们首创以控制流和数据流实时聚合 检测到的攻击点,来构建出一个完整准确的APT攻击链, 从而大大提高检测精度 并可实时阻断。 对混淆过的PowerShell攻击进行检测。混淆过的powershell恶意程序可以轻松绕 过所有VirusTotal上厂商的检测,我们提出了一种轻量级的去混淆方案来实时检 测它。 1秒钟检测 1分钟响应 零误报 实时溯源
–全面防护功能 安石EDR:基于行为特征的高级持续威胁检测 0Day攻击的首轮防御 单点突破后的有效防御(东西向) 系统的自我防护 为其它厂商提供威胁情报和特征 系统根据多维度的细粒度数据和丰富的行为语义关联性,高效快速的还原出恶意攻击链条。让黑客的各种事后掩盖和混淆手段无所遁形。使企业安全维护人员能够迅速溯源攻击,定位威胁,及时清除威胁。
–灵活支持各种部署模式 数据采集器(Collector)灵活支持各种操作系统 Windows 7/10 Linux 云主机 轻量系统开销: CPU <2% (based on Intel® i5 processor testing) Memory 100MB HDD 100MB 带宽<8KB 检测引擎(Detector)支持各种内网和云端部署方式 按照端点收费模式 Windows小版本升级,系统无需升级 没有特征库
-高效实时还原攻击链 原始数据 35,650,758 系统调用事件,包含30个合法程序,529个系统进程 3 个系统集成被义盾安石检测系统侦测出来有恶意,包含了RemoteShell 和 ScreenGrab两个恶意行为 所有进程关联数据如右图 溯源取证自动算法 准确定位了22个与恶意行为相关的进程(4% of 529) 准确还原了攻击链条,包括被黑客在事后擦除的系统日志
团队 中科大93级计算机系毕业,20年网络建设和信息安全销售经验,与多个运营商、企业、金融等用户保持合作关系和长期的销售渠道。 浙江大学91级混合班/信电系毕业, 二十年以上市场营销经验, 一次创业经历。 16年 安全领域技术专家 10年赛门铁克终端安全经验 3年天空卫士创业经验 沈阳贵 销售 李盛 产品战略/市场 廖明生 运营/资本 首席科学家 陈焰教授 浙江大学91级混合班 伯克利博士 浙江大学客座教授 美国西北大学教授 首席架构师 熊春霖 浙大信息安全在读博士 浙江大学91级混合班/计算机系毕业,二十年以上的Intel,ZTE,Broadcom知名外企研发中心的产品和研发经验。 浙江大学92级混合班/能源系毕业,十九年以上的UT,Nokia,等知名企研发中心的产品和研发经验,有多次创业公司CTO经验。 浙江大学92级混合班/计算机系毕业,十九年以上的英特尔,戴尔计算机,贝尔实验室等知名外企研发中心的产品和研发经验。 杨海 研发 宋哲 研发 王昆 研发
市场策略和客户 2019年预计销售额300万人民币
奇盾MAGIC SHIELD 产品 – 产品开发路标 Nov 2018天使轮资金到账 办公室装修完工 Oct 2017 公司成立 Aug 2018 天使轮融资签SPA May 2018 产品算法原型完成 May 2019 试用客户部署 Aug 2019 商用客户部署 You can remove this slide in the interest of time. Dec 2018 产品 MRD确定 April 2019 产品Windows版本完成 July 2019 产品Linux版本完成 Sep 2019 产品国产Linux支持 June 2020 Android支持
典型的APT安全事件….. BYOD渗透进入 2011年,“震网”(Stuxnet)蠕虫病毒侵入了伊朗核电站的西门子工业控制软件,导致1/5愈1000台离心机报废,核计划延迟3年。 https://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html
中国APT攻击受害情况 38个APT组织,覆盖国内多个省份。 政府、企业、军事、基础设施等都是 APT攻击的受害重灾区。 - Source: Fireeye RSAC APT Report 2019
APT 防护方案的全球企业市场容量预计 会从2019年的43亿美金快速扩张到2023年的94亿美金。 Gartner预估:目前EDR市场有4000万个端点; 到2020年全球会有1.5亿个端点部署; - Source: RADICATI GROUP Market Quadrant 2017
传统防御手段不足以应对以APT为代表的新型攻击。 由于APT通常使用0-day漏洞和未知恶意软件,且全程由攻击者参与,其侦查与攻击手段相比于传统攻击更加隐蔽。 同时黑客有各种方式来绕过现有的APT防护方案。 对基于网络流量的分析的下一代防火墙,对流量进行加密绕过; 对静态特征检测的防病毒软件,对恶意软件进行混淆绕过; 对动态沙箱检测,对沙箱进行反侦测,给出错误行为绕过; 对黑客攻击IP源地址的检测和情报搜集,动态改变C&C地址绕过 端点防御是满足市场对准确度和响应时间需求的最佳选择
目前竞争态势 响应时间 精确度 (抗逃逸,覆盖率) 国内市场缺乏真正的EDR厂商 HIDS VS. EDR 国际已经有一些EDR的独角兽 快 国内市场缺乏真正的EDR厂商 防火墙 基于行为分析的EDR HIDS VS. EDR 精确度 (抗逃逸,覆盖率) 杀毒软件 基于日志文件的分析 低 高 国际已经有一些EDR的独角兽 Crowdstick ,Carbon Black,etc 沙箱 慢
安石EDR:基于行为特征的高级持续威胁(APT)检测 –全面防护功能 安石端点检测响应系统 (EDR) 专注在入侵之后的攻击行为检测 国际上首个底层细粒度监控, 抗逃逸,和态势感知的实时检测技术 给出整个攻击链的起源分析和溯源分析 基于控制流和数据流 0Day攻击的首轮防御 单点突破后的有效防御 系统的自我防护 系统根据多维度的细粒度数据和丰富的行为语义关联性,高效快速的还原出恶意攻击链条。让黑客的各种事后掩盖和混淆手段无所遁形。使企业安全维护人员能够迅速溯源攻击,定位威胁,及时清除威胁。
–灵活支持各种部署模式 系统由检测引擎(Detector)和轻量级的数据采集器(Collector)组成。 Windows 7/10 Linux 云主机 检测引擎(Detector)支持各种内网和云端部署方式 按照端点收费模式 系统由检测引擎(Detector)和轻量级的数据采集器(Collector)组成。 Collector可以部署在企业每一个需要保护的系统主机,包括物理PC、服务器和虚拟化主机。 Detector部署在能连接到这些Collectors的服务器或者私有云上,共同协作形成一套完整的终端安全防护方案。
-高效实时还原攻击链 原始数据 35,650,758 系统调用事件,包含30个合法程序,529个系统进程 3 个系统集成被义盾安石检测系统侦测出来有恶意,包含了RemoteShell 和 ScreenGrab两个恶意行为 所有进程关联数据如右图 -高效实时还原攻击链 溯源取证自动算法 准确定位了22个与恶意行为相关的进程(4% of 529) 准确还原了攻击链条,包括被黑客在事后擦除的系统日志
团队 中科大93级计算机系毕业,20年网络建设和信息安全销售经验,与多个运营商、企业、金融等用户保持合作关系和长期的销售渠道。 16年 安全领域技术专家 10年赛门铁克终端安全经验 3年天空卫士创业经验 浙江大学91级混合班/信电系毕业, 二十年以上市场营销经验, 一次创业经历。 沈阳贵 销售 李盛 产品战略/市场 廖明生 运营/资本 首席科学家 陈焰教授 浙江大学91级混合班 伯克利计算机博士 浙江大学客座教授 美国西北大学教授 首席架构师 熊春霖 浙大信息安全在读博士 浙江大学92级混合班/能源系毕业,十九年以上的UT,Nokia,等知名企研发中心的产品和研发经验,有多次创业公司CTO经验。 浙江大学92级混合班/计算机系毕业,十九年以上的英特尔,戴尔计算机,贝尔实验室等知名外企研发中心的产品和研发经验。 浙江大学91级混合班/计算机系毕业,二十年以上的Intel,ZTE,Broadcom知名外企研发中心的产品和研发经验。 王昆 研发 宋哲 研发 杨海 研发
奇盾MAGIC SHIELD 产品 – 产品开发路标 May 2018 产品算法原型完成 Nov 2018 天使轮资金到账 办公室装修完工 Oct 2017 公司成立 May 2019 试用客户部署 Aug 2019 商用客户部署 Aug 2018 天使轮融资签SPA Dec 2018 产品 MRD确定 April 2019 产品Windows版本完成 July 2019 产品Linux版本完成 Sep 2019 产品国产Linux支持 June 2020 Android支持
市场策略和客户
Pre A 轮 融资金额 3000万左右!
THANKS