1、360天眼产品天眼产品CONTENTS / 目录PART / 01集团介绍PART / 02场景问题PART / 03功能价值PART / 04优势特点PART / 05形态部署成功案例PART / 06PART / 01集团介绍360公司的创立与发展12005-公司成立2006-2009-2012-二次创业搜索引擎、智能硬件、智能手机、企业安全2016-业务重组品牌、专利、数据个人业务互联网模式政企业务产品+服务模式共享360科技集团360企业安全集团全球唯一一家脱胎于互联网公司的专业安全公司360 企业安全集团以“数据驱动安全”的创新方法论为依托,建立了大数据时代的协同联动防御体系,全方位
2、提升中国政企客户的安全防护能力和水平,与全社会一起构建安全命运共同体。全方位保护政企级网络安全PART / 02场景问题高级持续定向攻击各类高级威胁的危害:窃密机密、隐私泄露、关键设施破坏、敲诈勒索 APT攻击事件:摩诃草事件、蔓灵花行动 僵尸网络类、后门、间谍软件 窃密木马、勒索病毒 服务器高级漏洞攻击类当前安全威胁处置的困局检测传统的检测手段使用基于签名的技术无法检测高级威胁基于签名的检测会产生大量无用告警影响对于入侵攻击的判断响应发现威胁后,缺少有效的联动防御机制予以响应缺少专业的安全人员提供针对安全事件进行快速的调查分析与应急响应溯源缺少原始网络行为日志和原始主机行为日志,不利于安全溯
3、源分析海量日志存储和快速检索技术难度大缺乏高价值的威胁情报,无法有效发现定向攻击并对网络攻击进行有效的背景分析国家政策要求等保2.0的网络安全等级保护基本要求 第1部分:安全通用要求的第七章“第三级安全要求”中明确提出了要具有检测和分析未知的新型网络攻击的技术措施。网络安全等级保护测评要求 第1部分:安全通用要求中也明确提出了在等保三级评测时测评对象需具有抗APT攻击设备PART / 03功能价值天眼天眼TSSTSS新一代威胁感知系统新一代威胁感知系统天眼TSS定位:为客户提供针对网络高级威胁的检测、响应、溯源的一体化解决方案。APT特种木马类高级漏洞攻击类可以通过特征检测的威胁高级威胁已知威
4、胁天眼检测能力威胁金字塔数据中心环境办公网环境天眼的检测能力进入网络漏洞利用安装恶意软件远程通信横向渗透/泄密传感器捕获行为传感器捕获行为分析平台根据威胁情报发现天擎捕获行为传感器根据特征发现文件威胁鉴定可以发现问题传感器根据特征发现威胁生命周期天眼数据采集天眼威胁检测传感器多种引擎可以检测的入侵传感器可以检测PHP脚本覆盖威胁的全生命周期的本地检测能力天眼功能介绍天眼功能介绍威胁情报文件威胁鉴定IDS检测WebIDS检测WebShell检测 告警处置 终端联动 网关联动 专家服务 流量采集 终端日志关联 日志存储及检索 基于情报的背景研判天眼体系架构传感器1传感器2天擎终端数据引擎威胁感知系
5、统日志检索云端威胁情报分析平台天擎文件威胁鉴定器流量传感器静态检测沙箱数据引擎分析平台扩展 域名解析 TCP/UDP流量 Web访问 文件传输 LDAP行为 登录动作 邮件行为 数据库操作 SSL加密协商 U盘日志 邮件日志 IM文件传输 进程网络行为 进程DNS传感器n威胁情报 威胁情报(Threat Intelligence)是一种基于证据的描述威胁的一组关联的信息,包括威胁相关的环境信息、采用的手法机制、指标、影响,以及行动建议等。与传统的单点的病毒或信誉等信息不同,这一系列对于攻击威胁的信息,可以让我们了解高级威胁的全貌,并可以被抽象成可机读威胁情报(MRTI),用来进行应对决策,并对
6、威胁进行响应。威胁情报云端大数据攻击特点攻击背景攻击组织者攻击目的行业覆盖度活跃程度外链URL恶意IP恶意域名样本MD5天眼分析平台发现高级网络攻击:海莲花摩诃草事件蔓灵花行动WannaCry勒索 分析平台ES 索引文件预处理智能检索引擎SecSearch大数据分析威胁感知数据服务总线流式计算引擎SecStreamApp数据采集流量数据关联分析引擎SecCEP统计分析引擎威胁情报归一化、数据抽取、转换、富化存储威胁情报中心威胁情报数据报表服务可视化分析引擎SQL分析语义统一威胁事件视图告警日志日志检索报表管理管理功能受害主机视图受害服务器视图受害用户器视图网络日志日志报表告警报表终端日志终端数
7、据流量传感器流量采集DNSFTPHTTPSSLSMB基于双向会话分析的Web入侵检测基于沙箱的webshell上传检测基于规则的网络入侵检测基于人工智能机器自学习的入侵检测nbt引擎产生准确的入侵告警告警信息存入分析平台,与威胁情报告警信息相辅助,作为攻击取证及快速溯源的数据支撑协议分析检测引擎流量采集检测结果文件威胁鉴定器恶意行为分析恶意文件高危中危低危高危事件可疑事件疑似事件 多种不同引擎,多维度检测威胁 已知检测与未知检测相互补充 静态检测与动态监测相辅相成 准确的评分机制降低误报与漏报静态检测引擎动态检测引擎恶意代码检测文件格式检测启发式检测人工智能引擎检测云查检测虚拟执行检测文件价值
8、满足新等保的合规要求提升用户对高级威胁发现能力帮助安全团队提升重大安全事件的应急响应能力提高安全事件的溯源能力PART / 04优势特点优势优势11国内首屈一指的威胁情报平台国内首屈一指的威胁情报平台每天从900万个新增样本、300万新增域名、上亿恶意URL,以及结合多方社区、组织、第三方报告等资源,进行情报搜集和挖掘,每天形成超过百份的威胁及漏洞情报,通过在线或离线方式推送到客户侧的产品、服务、平台,以及与第三方安全组织进行情报交换共享。优势优势22精准的高级威胁发现能力精准的高级威胁发现能力 利用可机读IOC与本地流量日志及终端日志进行关联匹配,准确发现失陷主机;分析平台&威胁情报 基于双
9、向会话WebIDS检测引擎,只对攻击成功进行告警; 基于人工智能机器自学习的入侵检测nbt引擎流量传感器 采用虚拟环境模拟方法,全面分析恶意代码恶意行为,细粒度检测漏洞利用和恶意行为;文件威胁鉴定器优势优势33海量数据的运算和检索能力海量数据的运算和检索能力ESES传统ES架构数据量10亿千亿查询速度分钟秒入库性能一般一般存储备份缺失有数据恢复缺失有关联分析3000eps20000eps数据采集单点10000eps单点50000eps 高性能 为更广泛的监控能力提供支撑 为快速的响应分析提供保障 为更加复杂的分析提供可能 为不断发展的业务提供未来 高可用 不因为技术复杂而增加使用复杂度 不因为
10、性能高而不考虑可扩展性 不因为技术新而不考虑可靠性mysql360天眼优势优势44完整的事件溯源能力完整的事件溯源能力进入网络漏洞利用安装恶意软件远程通信横向渗透/泄密传感器捕获行为传感器捕获行为天擎捕获行为威胁生命周期天眼数据采集发现问题回溯路径回溯路径天眼强大的数据采集能力可以保证在攻击链条任何一个地方发现威胁后,都可以完整回溯整个攻击发生全过程PART / 05形态部署天眼典型部署360云端大数据平台威胁情报中心威胁情报终端日志天眼分析平台天眼文件威胁鉴定天眼采集器流量日志样本日志全面的采集网络及主机日志完整还原文件并进行深度分析引入360强大的威胁情报通过轻量化的大数据平台分析威胁准确
11、的威胁检测告警天眼组合方案高级威胁检测方案1.检测发现传统防护手段漏过的未知威胁2.有效发现未知恶意文件3.对企业内的海量数据进行安全分析4.对企业内已发现的问题进行攻击回溯天眼传感器天眼分析平台天眼文件威胁鉴定器(可选)文件威胁检测方案天眼传感器天眼文件威胁鉴定器(可选)1.检测发现传统防护手段漏过的未知威胁2.有效发现未知恶意文件组件方案说明PART / 06成功案例天眼行业成功案例之能源天眼行业成功案例之能源/ /央企篇央企篇国内某能源行业的巨头企业,通过部署360天眼新一代威胁感知系统采集全流量数据以及威胁情报,并结合360安全服务人员基于攻防思路构建的分析模型,为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务,提升了发现和防御未知威胁的能力。需求高级威胁自动化检测需求安全问题追踪溯源需求重大安全事件的响应和处置需求解决方案价值解决APT检测难的问题提升对于攻击者分析的视野和维度解决安全事件难溯源的问题提升应对高级威胁事件处置的综合能力背景典型用户典型用户THANKS
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。