信息安全-深信服安全感知

一．新的安全形势与挑战二．面向未来，有效保护三．深信服安全感知平台四．产品特色及成功案例国家高度重视网络安全建设全天候全方位感知网络安全态势树立动态、综合防护的防护理念对新型威胁进行持续检测和分析没有网络安全就没有国家安全构建关键基础设施安全保障体系网络安全等级保护2.0十三五信息化规划习主席4.19讲话网络安全法安全事件频发，安全形势日益严峻平昌冬奥会开幕式当天，冬奥网站被攻击中国某军工企业被美、俄两国黑客攻击思科高危漏洞清明期间被利用医疗行业勒索事件爆发台积电遭到勒索病毒攻击多个行业受到Globelmposter攻击2018.22018.22018.32018.32018.82018.8ToBeContinued……组织面临的安全挑战持续升级安全挑战暴露面越来越多危害越来越大漏洞风险不可控攻击越来越频繁18年CNVD收录14201个安全漏洞18年零日漏洞收录数量持续走高，达到5381个18年基础软硬件严重漏洞频出，修复难度很大数字化转型驱动业务对外开放，导致大量业务暴露互联网互联网+与云计算技术，导致物理边界模糊互联互通、数据融合，带来的数据流转与交换，导致风险面增大Cncert18年捕获病毒超1亿个，日均传播500万次境内感染计算机恶意程序的主机数量约655万台2018年高级威胁攻击同比增长3.6倍数据破坏平均损失386万美金GandCrab勒索病毒一年销售额20亿美金网络犯罪造成的全球损失5千亿美金当前安全建设遭遇瓶颈-看不见安全威胁新型未知威胁难检测根因分析：静态特征检测难以应对新型威胁，缺乏对内网攻击行为持续检测手段看不见内网潜伏威胁水坑攻击鱼叉邮件攻击零日漏洞攻击黑客内部潜伏后预留的后门伪装合法用户的违规操作行为封装在正常协议中的异常数据外发当前安全建设遭遇瓶颈-看不清安全风险割裂的安全视角，难以看清安全全貌根因分析：缺乏主动资产与脆弱性识别，安全设备相互割裂、难以深度关联分析，缺乏全局安全视角海量的安全日志，难以识别有效告警日志内容专业性强，运维人员读不懂日志之间关联少，无推理总结性描述看不清资产，看不到风险在哪里看不到僵尸资产管理员弱密码系统存在高危漏洞当前安全建设遭遇瓶颈-问题响应处置慢根因分析：设备之间难以协同响应，缺乏影响面分析看不到威胁的扩散，处置不彻底运维人员精力有限，处置效率低一．新的安全形势与挑战二．面向未来，有效保护三．深信服安全感知平台四．产品特色及成功案例安全建设从被动防御到主动防御升级被动防御主动防御防御为主、被动响应•边界防护•入侵防护•主机杀毒缩小攻击面，提升攻击成本构建防御、检测、响应于一体的主动防御体系，重点关注持续监测、快速响应能力建设全面检测、快速响应•持续监测•智能分析•协同联动提早发现，缩短检测和响应时间亟需补齐监测和响应能力的缺失主机杀毒边界防护持续检测快速响应全局可视主动防御体系❌❌❌威胁检测、响应建设成趋势《Gartner公布2019年七大安全和风险管理趋势》•该报告提到的第二大趋势指出：安全运营中心正在实施，重点是威胁检测和响应。随着安全警报的复杂性和频率的增加，安全投资也从威胁防御向威胁检测转变，这需要在安全运营中心方面进行投资。•对于大型企业、关键行业而言，及时发现网络中的潜在威胁并进行快速响应也是极为重要的事情。对此，IDC认为，网络安全主动防御体系必须有能力应对下一代先进的自动化攻击手段，相关技术将会在网络安全防御解决方案中发挥积极而重要的作用，在中国与之对应的是网络安全态势感知解决方案。网络安全态势感知解决方案将成为防御体系中的核心指挥中心，将不同安全组件有机结合、合理编排，提升防御门槛，消减攻击带来的危害。感知威胁防患未然《IDCMarketScape：中国网络安全态势感知解决方案2019》调研安全态势感知落地过程中常见的问题态势感知等于“地图炮”？？？基于采集的各类日志进行关联分析或直接分析，由于厂商之间日志差异性大、往往很难去重合并，日志关联性不强，需要投入大量的人员进行分析。01落地难投入大呈现的是大量的攻击日志，忽视基于业务维度的风险可视；威胁、漏洞、资产三者之间往往孤立管理，缺乏关联性，风险难以全面掌控。03安全可视差02检测能力弱安全告警内容专业性强，运维人员读不懂，日志之间关联少，缺乏详细举证，且无推理总结性描述；难以联动安全组件进行处置闭环；04运维繁琐复杂检测能力过度依赖原有的安全设备的日志或外部的威胁情报，部分厂商还采用传统基于特征、规则静态匹配方式，难以有效发现内部潜在的安全威胁。安全态势感知核心要素数据来源智能分析安全可视协同响应主动提取必要有效数据具备不依赖特征、规则发现新型威胁能力基于业务的可视化宏观辅助决策微观有利运维自动化协同联动处置大半安全威胁一．新的安全形势与挑战二．面向未来，有效保护三．深信服安全感知平台四．产品特色及成功案例产品定位定位为客户的本地安全大脑，是一个集检测、可视、响应等多功能于一体的大数据安全分析平台和安全运营中心精准检测全局可视协同响应产品组件数据中心区办公A区办公B区DMZ区管理区潜伏威胁安全云脑全流量采集基础威胁检测实时漏洞分析元数据提取大数据架构机器学习算法Flow行为分析引擎用户行为建模威胁情报云端智能分析规则模型1.潜伏威胁探针2.安全感知平台4.其他可选组件：本地沙箱、终端EDR、下一代防火墙等3.安全云脑安全感知平台架构网络设备安全设备主机/服务器数据库中间件应用/服务云设施采集对象SyslogSNMPWebservice数据采集TCP/ＵＤＰ数据清洗数据过滤标准化关联补齐数据标签数据预处理数据存储ElasticSearch存储MongoDB存储安全分析关联分析行为分析机器学习ＵＥＢＡ特征匹配协议分析访问关系分析违规访问资产识别安全态势溯源分析潜伏威胁攻击态势脆弱性分析威胁预警大数据安全分析安全态势展示与应用层安全预警威胁监测资产中心报表／报告脆弱性监测对外接口JDBCODBCMapReduce并行处理框架探针国家级监测平台行业监管平台第三方大数据平台云端安全服务平台安全云脑平台平台对接安全感知平台工作流程全流量+安全数据有效采集智能分析+深度挖掘态势感知+风险可视协同响应+专家服务安全设备主机日志威胁情报网络流量安全态势感知深度风险可视云脑EDR安服AF安全感知核心能力海量数据有效采集全流量数据提取各类安全日志采集实时威胁情报同步精准检测能力持续监测安全威胁智能分析新型威胁深度深掘异常行为提前发现潜在风险全局可视能力资产与脆弱性可视业务风险可视威胁影响面可视综合安全态势可视协同响应能力多设备协同联动一键封堵、一键查杀一键隔离、一键提醒高级人工服务MDR精准检测能力-安全威胁持续监测外部威胁实时监测横向威胁实时监测外连威胁实时检测失陷业务服务器失陷终端INTERNET对外攻击隐秘通信C&C控制违规访问风险访问发现绕过防御的外部攻击风险行为违规行为可疑行为横向攻击发现内部横向渗透行为发现风险外连行为高危攻击残余攻击暴力破解恶意文件风险访问精准检测能力-安全云脑持续赋能安全能力增强安全威胁情报安全规则更新安全分析能力未知威胁防护IOC事件库热门威胁事件库规则算法事件响应速度变快热门威胁5分钟响应全球热点事件1小时响应安全能力高频更新深信服安全设备安全能力安全云脑高可用架构海量数据汇聚大数据分析与挖掘多引擎综合判定智能安全分析厂商安全情报全网安全信息安全分析师数据科学院攻防专家情报信誉规则模型云查杀威胁情报漏洞情报URL信誉域名信誉文件信誉文件云查URL云查域名云查僵尸网络Web攻击Webshell未知攻击APT威胁分析安全风险攻击回溯黑客画像病毒安全感知平台精准检测能力-新型威胁智能分析特权账号冒用异常行为检测越权非法操作违规访问行为内部数据泄露绕过行为检测风险访问行为隐蔽通道检测高级威胁检测新型Webshell未知恶意文件DGA域名检测恶意流量行为可疑邮件行为时间序列分析二类分类多类分类聚类离群点检测DNSflow引擎HTTPflow引擎SMTPflow引擎POP3flow引擎IMAPflow引擎文件鉴定引擎ADflow引擎SMBflow引擎机器学习分析引擎场景建模算法集合专家规则异常行为分析建模流量行为用户行为操作行为长周期分析大数据分析原始数据网络行为数据文件Poayload终端行为数据精准检测能力-SAVE智能检测引擎深信服人工智能检测引擎SAVESANGFORAI-basedVanguardEngine创新人工智能无特征技术准确检测未知病毒Wannacry、Badrabit、GlobeImposter及其变种100%查杀泛化能力强权威机构认可89.45%92.45%96.76%34.34%78.26%21.05%0.00%20.00%40.00%60.00%80.00%100.00%360BitDefenderAviraSAVE检出率千万级样本的测试，人工智能SAVE处于业界领先的水平精准检测能力-DNS异常检测在交通建设股份发现海莲花APT事件，使用IOcUYAAAAAAAAAAAAAAAAAAAAAAAAC-O.co.uk这样的DNS隧道传输数据域名独报率超过70%APT检测能力高检出、低误报、强泛化DGA检测硬编码域名检测DNS隧道检测僵尸网络检测僵尸网络检出率达到99.7%，并能追溯病毒家族（业内领先）speeh4ab5893940.mespeeh062e9c0b96.cloudspeeh062e9c0b96.vipspeehe34a33001b.cloud独报的speeh僵尸网络家族全局可视能力-全网资产与脆弱性可视资产洼地：僵尸资产资产暴露面：风险端口开放资产脆弱性：系统漏洞资产脆弱性：弱密码资产务脆弱性：明文传输存在风险网络信息系统ERP信息系统产品信息系统财务信息系统法务系统审计系统…资产主动识别全网资产可视资产脆弱性可视全局可视能力-风险深度可视高效运维业务维度可视攻击链关联安全事件举证影响面分析攻击入口点溯源元数据取证全局可视能力-综合态势可视辅助决策全网安全态势可视外部攻击态势可视业务外连风险可视业务脆弱性与风险可视横向攻击态势可视核心区EDREDREDREDR潜伏威胁探针潜伏威胁探针EDR办公区EDREDRAF下一代防火墙潜伏威胁探针分支区EDREDREDRAF下一代防火墙Internet全球威胁情报共享中心APT检测云服务云端大数据智能分析中心安全态势感知4.端点安全EDR，一键查杀、微隔离安全感知平台，本地安全大脑Virus网页恶意代码（http）黑客Emailvirus邮件病毒2.下一代防火墙，融合的边界防护，一键阻断，智能封锁外部IP1.云端威胁情报实时同步，快速应对新型威胁3.快速定位终端用户，告警页面自动提醒协同响应能力-云网端联动辅助闭环协同响应能力-配套专家服务深度解析分析处理威胁掌握安全态势安全专家服务安全可视化交付物《威胁分析报告》《事件处置报告》《溯源分析报告》《安全加固方案》威胁分析事件处置溯源分析加固建议建议部署拓扑图一个信息汇集分析中心-----织网蛛的大脑多个散布的信息采集点-----踩在不同经线的蛛腿一．新的安全形势与挑战二．面向未来，有效保护三．深信服安全感知平台四．产品特色及成功案例持续创新，引领技术•13年技术积累，基于全流量的深度挖掘能力国内第一；•基于机器学习、行为建模的未知威胁检测能力业界领先；•僵尸网络检测99.7%，Speeh等僵尸病毒家族全球独报；•千万勒索病毒对比测试，检出率98.65%；•随机森林算法Webshell检出率96.5%；后续面向客户的持续创新2019.上2018.下2018.上2017.下2017.上20162015新增级联功能新增威胁追捕增强UEBA功能推出软件版沙箱优化云眼检对接界面新增共享勒索检测优化僵尸网络检测技术增强EDR联动能力市场客户数量排名第一安全运营中心安全引擎框架重构新增SIEM分析系统新增安全事件处置知识库分布式集群技术集团分支分权管理联动EDR检测联动防火墙检测基于