Hillstone T-Series Intelligence

 

De Hillstone T-Series dankt zijn intelligentie o.a. aan de volgende kenmerken:

 

 

Unknown Malware Detection

​Hillstone heeft een eigen engine gebouwd die bijna een miljoen "bekende" malware samples geanalyseerd heeft.  Elke sample is geclassificeerd en gekarakteriseerd op basis van meerdere dimensies die de acties, werkwijze en kenmerken van deze sample beschrijven. Wanneer in een productieomgeving nieuwe malware aangetroffen wordt, dan wordt ook deze geanalyseerd, gekarakteriseerd en geclassificeerd. Vervolgens wordt deze vergeleken met de database van bekende malware samples die reeds geanalyseerd zijn. Hoe meer overeenkomsten er gevonden worden tussen het onbekende en bekende sample, hoe betrouwbaarder de conclusie is dat het gaat om een variant van een bekende sample.  Dit proces wordt “statistische clustering” genoemd, een nauwkeurige werkwijze voor het identificeren van nieuwe malware.

 


 

Abnormal Behavior Detection

Hillstone's Abnormal Behavior Detection Engine controleert het netwerk continu om te leren hoe normaal netwerkverkeer eruit ziet voor die specifieke dag, tijd en maand. Wanneer netwerkactiviteiten afwijkingen laten zien zal er een waarschuwing afgegeven worden. Hierbij wordt gebruik gemaakt van “behavior modeling”; het inzetten van een 50+ dimensionale reeks om normaal netwerkverkeer van layer L4-L7 te calculeren. Om er zeker van te zijn dat schadelijke activiteiten eenvoudig herkend worden, is deze engine bovendien getraind door middel van echte hacking tools. Deze technieken beperken false positives en bieden de gebruiker meerdere mogelijkheden om een aanval te stoppen.

 


 

Uitgebreide Forensic Analysis

Hillstone voorziet in een nieuwe manier van visualiseren en analyseren van aanvallen. Elke actie die door een potentieel kwaadaardige code ondernomen wordt,  wordt automatisch gekoppeld aan maatregelen binnen de 'Kill Chain”. Door de aanvullende, uitgebreide forensische informatie is de security analist in staat om de herkomst en de ernst van de aanval te bepalen evenals de methoden die gebruikt worden . Hillstone biedt ook packet capture files die, in combinatie met de syslog en traffic logs, de beheerder voorzien van een grote hoeveelheid aanvullende informatie. Bovendien worden exploits zeer duidelijk in beeld gebracht door data zoals bezochte websites, gebruikte applicaties en het risiconiveau hiervan. Belangrijker nog,  is het feit dat Hillstone de exacte firewall-policy identificeert die het de aanvaller mogelijk maakte om door de firewall te breken. 

 


 

Preventieve Mitigatie

Naast de mogelijkheid om een policy aan te passen ter voorkoming van een aanval, heeft Hillstone diverse automatische preventieve mitigatie-functies ingebouwd. Deze functies bestaan uit vooraf gedefinieerde templates die een aanval automatisch vertragen of blokkeren wanneer verdacht gedrag wordt gedetecteerd. De beheerder kan de templates wijzigen om de bandbreedte of het aantal sessies voor de aanvaller te verminderen. Hij kan ook de beperkingen die hij op netwerkbronnen toepast aanpassen op basis van het type aanval en de ernst ervan. Wanneer het gaat om een kritische aanval met een hoog betrouwbaarheidsniveau, dan kan mitigatie ook een complete blokkering van alle netwerkbronnen inhouden. Indien een template niet bestaat of niet meer actief is, kan de beheerder snel een tijdelijke mitigatie voor die specifieke gebeurtenis instellen.