1、第6.3.1节全网安全感知解决方案构建安全大脑,让安全可感知、易运营01客户为什么需要安全感知能力CONTENT02如何为客户构建安全大脑03最佳实践客户为什么需要安全感知能力01“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了419讲话-习主席2016.4全天候全方位感知网络安全态势。加强网络安全态势感知、监测预警和应急处置能力建设“十三五”国家信息化规划2016.12使得网络安全有法可依,各行业更加重视网络安全建设网络安全法开始实施2017.6对网络行为、潜伏未知威胁进行持续检测和分析等保2.0标准即将发布背景介绍2017年5月,WannaCry勒索
2、病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题WannaCry传统安全体系的挑战之一:看不见国内多个互联网公司数据泄露 就在2017年上半年,国内多个互联网企业的用户隐私信息遭到泄露,甚至是售卖,影响恶劣。根因:以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等)缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力传统安全体系的挑战之二:看不懂根因:各类安全日志数量大、分散,且异构,看不过来、看不懂l 客户平均每天生成安全告警日志多达上万条l 各类安全日志分散在各种安全设备上l 安全日志以安
3、全事件角度展示传统安全体系的挑战之三:响应慢防火墙IPSIDS下一代防火墙数据库审计WAFVPN根因:安全人才数量少,难培养,不能多精;UTM上网行为管理防毒墙邮件网关身份认证安全审计漏扫抗DDOS安全产品众多人力运维难度大如何应对?数据中心广域网局域网行为分析、机器学习UEBA、专家辅助潜伏威胁探针下一代防火墙主机EDR潜伏威胁探针下一代防火墙运维处置可视化领导决策可视化我现在安全吗?哪里不安全?造成了什么危害?我该如何处置?安全大脑构建一个可感知、易运营的安全大脑外部威胁情报可感知:有对高级攻击、潜伏威胁的发现能力易运营:能看得懂安全,能快速处置威胁安全大脑的核心能力海量数据采集能力l 以
4、全流量数据采集为主l 以各类设备日志收集为辅精准检测能力l 机器学习算法检测l UEBA检测l 横向威胁检测全局可视能力l 宏观可视辅助决策l 微观可视辅助运维协同响应能力l 多设备协同联动l 一键封堵、一键查杀深信服安全大脑模型深信服安全大脑“全网安全感知”威胁潜伏探针STA安全感知平台深信服安全大脑模型安全感知平台(SIP)(默认标配):负责收集汇总探针采集的全流量信息,及接入的NGAF、EDR等各类安全组件日志,通过关联分析、行为分析、机器学习等智能分析技术,发现网络的脆弱性、潜伏威胁,并简单易懂的展示出来。潜伏威胁探针(STA)(默认标配):旁路部署在关键节点,对全流量进行检测,提取有
5、效数据上报给SIP。下一代防火墙(NGAF)(可选):网关部署在出口或边界,一方面负责安全防御,另一方面对全流量进行检测,提取有效安全数据上报给SIP。其他可对接的安全组件端点安全端点安全(EDR)(EDR):插件形式部署在终端或虚拟化服务器的操作系统上,负责采集服务器安全数据上报给SIP,同时对僵木蠕毒进行扫描和查杀。同时SIP可主动联动EDR进行主机隔离、网络隔离,在威胁发生后避免扩散。上网行为管理上网行为管理(AC)(AC):旁路/网桥部署在出口,一方面实现上网行为管理功能,一方面与SIP对接,实现用户身份的识别。虚拟安全(虚拟安全(VSSVSS):):Vmware场景下,VSS对东西向
6、流量进行分析,将有效数据同步给SIP平台。云眼:云眼:对外发布业务的在线监测和防护,与平台对接。后续可将网站安全信息同步给SIP平台。第三方安全设备第三方安全设备:支持第三方安全设备日志导入,作为溯源分析、统一管理的分析依据。威胁情报(默认标配):深信服云端威胁情报系统与SIP对接,实时下发情报数据给SIP,增加威胁识别效率和概率。深信服安全大脑模型安全感知平台(SIP)(默认标配):负责收集汇总探针采集的全流量信息,及接入的NGAF、EDR等各类安全组件日志,通过关联分析、行为分析、机器学习等智能分析技术,发现网络的脆弱性、潜伏威胁,并简单易懂的展示出来。潜伏威胁探针(STA)(默认标配):
7、旁路部署在关键节点,对全流量进行检测,提取有效数据上报给SIP。下一代防火墙(NGAF)(可选):网关部署在出口或边界,一方面负责安全防御,另一方面对全流量进行检测,提取有效安全数据上报给SIP。其他可对接的安全组件端点安全端点安全(EDR)(EDR):插件形式部署在终端或虚拟化服务器的操作系统上,负责采集服务器安全数据上报给SIP,同时对僵木蠕毒进行扫描和查杀。同时SIP可主动联动EDR进行主机隔离、网络隔离,在威胁发生后避免扩散。上网行为管理上网行为管理(AC)(AC):旁路/网桥部署在出口,一方面实现上网行为管理功能,一方面与SIP对接,实现用户身份的识别。虚拟安全(虚拟安全(VSSVS
8、S):):Vmware场景下,VSS对东西向流量进行分析,将有效数据同步给SIP平台。云眼:云眼:对外发布业务的在线监测和防护,与平台对接。后续可将网站安全信息同步给SIP平台。第三方安全设备第三方安全设备:支持第三方安全设备日志导入,作为溯源分析、统一管理的分析依据。威胁情报(默认标配):深信服云端威胁情报系统与SIP对接,实时下发情报数据给SIP,增加威胁识别效率和概率。如何为客户构建一个“安全大脑”02 部署架构internet云沙盒威胁情报云眼云盾在线专家快速响应云脑分 支分 支互联网接入区核心层办公区传统数据中心区虚拟化中心区VSSEDR本地安全大脑技术架构检测算法业务识别全流量检测
9、UEBA关联分析行为分析机器学习大数据资产识别用户识别业务分类脆弱性检测访问关系检测&分析处置&响应整体安全态势业务安全风险Kill chain趋势异常行为画像横向威胁分析安全失陷举证业务访问关系交付&可视构建准确的检测模型为业务决策服务的可视化防御设备检测设备流量探针威胁情报云端沙箱终端安全软件来源&提取提取有效数据来源协同联动+人工服务NGAF联动封堵EDR联动查杀上网行为管理联动提醒安全专家人工服务分离平面设计分离平面设计多核并行处多核并行处理理 单次解析架单次解析架构构 跳跃式扫描跳跃式扫描技术技术 流量记录流量记录报文检测引报文检测引擎擎SangforSangfor RegexReg
10、ex正则引擎正则引擎 威胁潜伏探针威胁潜伏探针STASTA安全大脑的核心能力精准检测能力l 机器学习算法检测l UEBA检测l 横向威胁检测全局可视能力l 宏观可视辅助决策l 微观可视辅助运维协同响应能力l 多设备协同联动l 一键封堵、一键查杀l最新国内外威胁情报联盟成员:virus total、CNVD、CNNVD等l基于客户网络态势推送精准可落地的威胁情报威胁情报、辅助检测威胁情报、辅助检测l在内部关键节点部署探针,主动提取信息l联动边界、终端自有产品,无缝对接,主动提取自主全流量数据分析为主自主全流量数据分析为主l基于标准格式收集第三方日志收集l基于业务、资产、用户、应用等维度的主动信息
11、提取全量检测主动提取第三方设备广泛收集第三方设备广泛收集海量数据采集能力检测的基础:检测的基础:首先,首先,部署方式决定了多点探针采集能够看到比边界部署方式决定了多点探针采集能够看到比边界AFAF更多的信息和数据(东更多的信息和数据(东西向流量、原始数据包),为后续分析提供弹药;西向流量、原始数据包),为后续分析提供弹药;其次,其次,分析平台可以从时间和空间两个维度关联分析,时间指可以关联分析过分析平台可以从时间和空间两个维度关联分析,时间指可以关联分析过去数分钟、小时甚至数天的数据发现攻击者,而去数分钟、小时甚至数天的数据发现攻击者,而AFAF不可以因为数据包不能压着不不可以因为数据包不能压
12、着不转发;空间维度是指转发;空间维度是指SIPSIP平台可以搜集多个平台可以搜集多个AFAF、探针、探针、EDREDR的数据,多维度多角度的数据,多维度多角度分析问题。分析问题。检测的思路检测的思路 现状:现状:传统检测设备更多的是通过特征库匹配发现问题的,即通过各种手段定传统检测设备更多的是通过特征库匹配发现问题的,即通过各种手段定义了什么的义了什么的“坏的坏的”、“不好的不好的”,那么除此之外的就是正常的业务;,那么除此之外的就是正常的业务;问题:问题:“坏的坏的”可以穷举吗?(保安能记住所有的通缉犯?)可以穷举吗?(保安能记住所有的通缉犯?),换一个思路,换一个思路,我们不仅可以记住我们
13、不仅可以记住“坏的坏的”,也可以记住,也可以记住“好的好的”、“合法的合法的”,不同于合法对,不同于合法对象就是可疑和需进一步关注的对象(例如门卫认识办公室所有的人,不认识的可象就是可疑和需进一步关注的对象(例如门卫认识办公室所有的人,不认识的可能是坏人),但白名单有时候也很难抽取;能是坏人),但白名单有时候也很难抽取;结论:结论:不单纯依赖于黑、白单线判断,按需选择不单纯依赖于黑、白单线判断,按需选择 or or 两个维度综合判断。两个维度综合判断。KeywordKeyword:黑名单:黑名单 -黑白名单黑白名单SIP精准检测能力基础检测能力异常会话检测Web应用安全检测敏感数据泄密检测检测
14、的手段:特征检测:特征检测:特征是基本的检测手段,但如果只机械记录特征(如文件的特征是基本的检测手段,但如果只机械记录特征(如文件的md5md5),),就很容易被对手简单的改变蒙混过关(病毒变种),那么就需要考虑抽取更加稳就很容易被对手简单的改变蒙混过关(病毒变种),那么就需要考虑抽取更加稳定和共性的特征,例如僵尸网络的动态域名虽然变化多样,但还是具备其规律性定和共性的特征,例如僵尸网络的动态域名虽然变化多样,但还是具备其规律性的(即特征的鲁棒性);的(即特征的鲁棒性);行为检测:行为检测:有时候攻击者的手段灵活到已经难以总结出攻击代码、传输文件和有时候攻击者的手段灵活到已经难以总结出攻击代码
15、、传输文件和网络数据包的特征,但任何觊觎不该获取信息的行为,只要目的不同于合法用户,网络数据包的特征,但任何觊觎不该获取信息的行为,只要目的不同于合法用户,那么其行为必然会和合法用户有某种程度的区别。那么其行为必然会和合法用户有某种程度的区别。KeywordKeyword:动态特征:动态特征&UEBA&UEBA机器学习、深度学习、数据挖掘机器学习、深度学习、数据挖掘如何抽取更加如何抽取更加共性的特征?共性的特征?如何建立正常如何建立正常用户或者攻击用户或者攻击者的画像模型者的画像模型?SIP精准检测能力基础检测能力动态特征问题:问题:攻击者越来越懂得隐蔽自己,例如每一个病毒的变种特征都不相同、
16、僵攻击者越来越懂得隐蔽自己,例如每一个病毒的变种特征都不相同、僵尸网络外联的域名动态生成,很难通过预置特征库和域名库匹配发现了尸网络外联的域名动态生成,很难通过预置特征库和域名库匹配发现了对策:对策:自动生成的东西是否有共性特征呢?是否可以通过计算机分析形成一个自动生成的东西是否有共性特征呢?是否可以通过计算机分析形成一个模糊的特征,再进行特征匹配呢?模糊的特征,再进行特征匹配呢?恶意软件的通讯恶意软件的通讯URLURL每每次都不相同,特征库无次都不相同,特征库无法穷举,法穷举,AFAF也写不下也写不下但是这些但是这些“随机随机”的通的通讯是否有共性的特征呢?讯是否有共性的特征呢?SIP精准检
17、测能力深度检测能力用户与实体行为分析(UEBA)首先,首先,收集网络多个节点产生的信息,进而创建一条基线收集网络多个节点产生的信息,进而创建一条基线以确定各种不同情况下的正常状态是什么;以确定各种不同情况下的正常状态是什么;其次,其次,基准线建立,基准线建立,UEBAUEBA解决方案会跟进聚合数据,寻找解决方案会跟进聚合数据,寻找被认为是非正常的模式;被认为是非正常的模式;优势:优势:UEBAUEBA解决的,更多的是异常行为而非一般的攻击事解决的,更多的是异常行为而非一般的攻击事件,特别是对于隐蔽的内部攻击和控制内部资产的跳板攻件,特别是对于隐蔽的内部攻击和控制内部资产的跳板攻击效果理想。击效
18、果理想。SIP精准检测能力深度检测能力创新引入机器学习、大数据技术提高检测率SIP精准检测能力深度检测能力攻防专家 数据科学家 攻防对抗人工智能大数据分析HTTPFlow分析引擎NETFlow分析引擎DNSFlow分析引擎SMBFlow分析引擎SMTPFlow分析引擎xxx分析引擎LSTM较N-gram有显著提升在“能否检测出僵尸网络”问题上达到99.7%的F值(精确率和检出率的综合指标)在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。安全分析师监督 Supervised机器学习方式:提前知道哪些数据是好的哪些是坏的,通过已有数据找规律,作为后续判断依据历史数据最初模型好坏结
19、果最终模型调整特征feature,标签label,权重parameter生产数据好坏结果结果预设,只作分类精准检测能力深度检测能力创新引入机器学习、大数据技术提高检测率非监督 Unsupervised机器学习方式:并不知道已有数据的好坏,但基于朴素的好人坏人目标、行为、结果不同,进行总结分类进而区分好坏历史数据最初模型聚类结果最终模型调整特征feature,权重parameter生产数据聚类结果需根据生产数据重新分析结果精准检测能力深度检测能力创新引入机器学习、大数据技术提高检测率算法举例:分类算法 classification主要算法:决策树,主要算法:决策树,ID3ID3主要思路:寻找负向
20、样本序列主要思路:寻找负向样本序列主要应用:图像识别,主要应用:图像识别,DGA,SPAM,DGA,SPAM,病毒变种病毒变种二类分类多类分类精准检测能力基础机器学习算法举例:深度学习 Deep Learning主要算法:卷积神经网络(主要算法:卷积神经网络(CNNCNN)循环神经网络循环神经网络(LSTMLSTM)主要思路:多个结点像大脑神经元一样结合分析主要思路:多个结点像大脑神经元一样结合分析主要应用:图像识别,主要应用:图像识别,DGA,SPAM,DGA,SPAM,病毒变种病毒变种目标数字是目标数字是1-91-9及及0 0的概率,机器学习的概率,机器学习的输出总是概率的输出总是概率精准
21、检测能力基础机器学习算法举例:异常检测算法 abnormal主要算法:主要算法:iForestiForest,one-class SVM,one-class SVM,SH-ESDSH-ESD主要思路:寻找离群点主要思路:寻找离群点主要应用:主要应用:webweb攻击变种,攻击变种,0 day 0 day webshellwebshell,隐秘通道,欺诈交易隐秘通道,欺诈交易精准检测能力基础机器学习算法举例:聚类算法 clustering主要算法:主要算法:K-meansK-means,DBSCANDBSCAN主要思路:群体行为的规律性主要思路:群体行为的规律性主要应用:内鬼,账号入侵,主要应用
22、:内鬼,账号入侵,内网系统的数据泄露内网系统的数据泄露精准检测能力基础机器学习01:Web访问异常行为检测异常潜伏威胁探针行为:时间频率访问参数跳转页面。iForest算法正常0-day webshell 定向开发的webshell,并以反 弹端口的方式实现远控。隐秘通道外传 凌晨0点10分到2点32分超过2 小时的隐秘数据回传。安全感知系统检测技术检测技术思路思路手段手段方法方法优劣势对比优劣势对比传统IDS黑名单(IDS特征库)特征匹配静态对比0Day,新技术无对应特征SIP系统白名单(好的是类似的)行为分析,找异常异常检测算法有效应对新型攻击精准检测能力基础机器学习势实例02:基于NET
23、FLOW的内网Dos检测(原理)检测技术检测技术思路思路手段手段方法方法优劣势对比优劣势对比传统手段行为黑名单,Dos必然是高频多次的统计单位时间来自特定主机的访问流量和次数设定单位时间阈值,一旦超限就告警1、攻击者设置慢速扫描策略2、源IP可以伪造3、阈值难定,容易误/漏报SIP系统依然是黑名单思路,但选择更灵活动态的匹配特征多时间窗口关联分析;如何发现伪造源IP?1、正常业务连接少流量大,扫描攻击连接多流量却未必,分析符合这一特征的流量分布规律特征2、攻击者并不清楚内网IP地址规划,自动生成的伪造源IP容易出现非合法内网地址1、能够检测慢速扫描2、能发现源IP伪造3、多维阈值降低单阈值带来
24、的过于印象检测效果多个时间窗口都出现这种异多个时间窗口都出现这种异常的流量常的流量太多的太多的IPIP连接同一目标连接同一目标 OrOr内网出现了大量不合理的外内网出现了大量不合理的外网地址网地址精准检测能力基础机器学习势实例02:基于NETFLOW的内网Dos检测(案例)客户名称:某市时代互联结点:问题现象:发现内网多个IP持续500min对台湾IP地址进行持续高 频访问,约1000次/10min,触发了低频Dos告警;数据包分析发现每个连接都是做同一个事情:发现UA是ApacheBench,搜索发现是网站压力测试工具。问题总结:攻击者控制目标主机,并操纵进行了Dos攻击精准检测能力基础机器
25、学习势实例检测技术检测技术思路思路手段手段方法方法优劣势对比优劣势对比传统手段行为黑名单:高频扫描、访问多个端口检测扫描频率和对目标Server端口访问行为设定单位时间频次阈值,设定端口数量阈值,超限触发告警1、扫描不一定量大,可以是低频扫描(同内网Dos)2、阈值难定,容易误/漏报SIP系统黑白名单结合,合法流量特征过滤+扫描行为特征匹配不单纯看频次和端口,而是针对扫描行为的特征:1、短时大量访问平常不访问的对象;2、访问同IP 地址多端口;3、扫描连接具有相似性;4、扫描无响应比例较高1、合法流量行为建模,通过异常检测发现可疑流量;2、扫描行为匹配,根据阈值分类与机器学习模型分类结合1、正
26、负向关联,筛出合法流量增加准确性2、机器学习建立阈值,拒绝拍脑袋定策略03:基于netflow的内网扫描检测(原理&案例)异常检测定位可异常检测定位可疑流量疑流量行为匹配行为匹配&阈值阈值判断确定问题判断确定问题机器学习科学设置阈值机器学习科学设置阈值(可随威胁情报升级)(可随威胁情报升级)精准检测能力基础机器学习势实例04:DNS隐蔽信道(原理)检测技术检测技术思路思路手段手段方法方法优劣势对比优劣势对比传统手段黑名单匹配恶意域名/关键字检索基于恶意域名,威胁情报的特征匹配;对DNS请求内容进行关键字检索1、恶意域名可以动态生成2、DNS信息可以加密和编码3、可以把数据分拆到多个DNS包外发
27、SIP系统白名单比对(行为异常)行为分析,找异常(流量、信息熵等)1、机器学习建立合法的DNS请求基线,频次和规律异常触发进一步检测;2、建立DNS请求包载荷的行为特征(信息熵、语义识别),判断异常DNS包是否可能携带敏感信息1、快速匹配定位可能携带敏感信息或C&C通信DNS包2、信息熵、语义识别判断是否还包含敏感信息3、对过去一段时间内的DNS包进行关联分析精准检测能力基础机器学习势实例04:DNS隐蔽信道(原理)频次统计发现频次统计发现DNSDNS流量异常流量异常 语义识别:正常域名是有含义的语义识别:正常域名是有含义的 例如,、 而编码后的URL是多是随机生成的 信息熵匹配:载荷的信息量
28、、离散程度不同信息熵匹配:载荷的信息量、离散程度不同 例如,有含义的URL信息熵是低的(即数据是规律的,看到faceb我不说你也知道下面是ook);而隐蔽信道传输的信息是加密的(不然关键字检索就搞定了),其0、1字符串规律性弱,信息熵较高成功区成功区分出异分出异常信息常信息精准检测能力基础机器学习势实例04:DNS隐蔽信道(案例)客户名称 某省超算中心问题现象:发现核心服务器CPU高居不下,使用杀毒软件也无法发现难问题。使用深信服安全感知平台以后,发现有恶意DNS告警,经过分析发现该服务器被黑客安装了挖矿程序,并对挖矿进程进行了伪装(一般在挖矿结束之后,挖矿程序会利用DNS协议与外部C&C服务
29、器进行通信)。问题总结:问题总结:深信服安全感知平台,通过持续检测能力、深度学习技术帮助客户及时发现了威胁(1天时间就帮助超算中心客户发现了8个被植入挖矿程序的服务器),同时也避免了黑客进行内部破坏或信息窃取的可能。得到客户的高度认可。精准检测能力基础机器学习势实例检测技术检测技术思路思路手段手段方法方法优劣势对比优劣势对比传统手段黑名单恶意域名特征库匹配本地恶意域名库比对云端威胁情报关联1、恶意域名层出不穷2、新的恶意域名动态生成算法(如DGA算法等)SIP系统黑名单恶意域名特征(规律)匹配对主流的DGA算法生成的动态域名特征进行分析云端情报关联实时更新特征1、大幅提升检测率、降低误报率2、
30、解决传统算法不能处理短域名和单词随机组合域名的问题3、能够预测DGA类别,识别中招类型05:基于深度学习的动态域名检测(原理&案例)LSTMLSTM算法:算法:基于神经网络算法学习样本,保存样本共性特征并摒弃错误的特征,形成一个持续深度学习闭环,保持最新最准的规律特征,发现难以发现的异常威胁;这里用于挖掘同一个这里用于挖掘同一个DGADGA算法生成的动态域名之间的内在规算法生成的动态域名之间的内在规律,并以此作为检测依据。律,并以此作为检测依据。DGADGA算法:算法:恶意代码通过内置的DGA算法,可以自动生成完全不重复的动态域名,实现C&C通讯并规避传统的恶意域名特征匹配精准检测能力基础机器
31、学习势实例06:恶意软件HTTP流量签名自动化生成与检测(原理)检测技术检测技术思路思路手段手段方法方法优劣势对比优劣势对比传统手段黑名单匹配IPS特征库、恶意URL库、威胁情报关联URL、域名的精确匹配库总是滞后的,攻击者可以轻松把防御者甩在身后SIP系统黑名单(通讯行为样本)恶意代码通讯行为特征匹配(UEBA)在流量中通过检测特定的模式的流量变精确匹配为模糊匹配甚至能够前摄性的检测到未知的或者快速变换的C2服务器问题:问题:大量恶意软件基于HTTP进行C2、下载等恶意行为 例如,Sality僵尸网络:http:/ 暗云3http:/ 这些行为灵活多变,应该如何检测?精准检测能力基础机器学习
32、势实例06:恶意软件HTTP流量签名自动化生成与检测(原理)提取的不是病毒签名,提取的不是病毒签名,而是其通讯行为而是其通讯行为聚类算法,生成的是恶聚类算法,生成的是恶意通讯行为的签名意通讯行为的签名精准检测能力基础机器学习势实例安全大脑的核心能力精准检测能力l 机器学习算法检测l UEBA检测l 横向威胁检测全局可视能力l 宏观可视辅助决策l 微观可视辅助运维协同响应能力l 多设备协同联动l 一键封堵、一键查杀全局可视能力:宏观辅助决策全网安全态势可视外部攻击态势可视内部横向威胁可视脆弱性可视全局可视能力:微观精准运营业务维度可视攻击链可视详细威胁举证影响面分析全局可视能力实例业务资产可视主
33、动识别资产:主动识别资产:通过潜伏威胁探针可主动识别业务系统下属的所有业务资产,可主动发现新增资产,实现全网业务资产的有效识别;资产暴露面可视:资产暴露面可视:将已识别的资产进行安全评估,将资产的配置信息与暴露面进行呈现,包括开放的端口、可登录的Web后台等;违规资产发现:违规资产发现:通过网络数据包分析,对未备案的新增资产进行实时告警,发现脱离IT部门管控的违规资产。安全大脑的核心能力精准检测能力l 机器学习算法检测l UEBA检测l 横向威胁检测全局可视能力l 宏观可视辅助决策l 微观可视辅助运维协同响应能力l 多设备协同联动l 一键封堵、一键查杀协同响应能力:三级响应机制l一键阻断:自动
34、阻断木马与黑客通信l端点查杀:端点执行扫描、查杀等动作l高级人工服务:安全应急响应,解析网络 威胁现状和威胁,并给出安全建设建议 数据中心探针STA办公区探针STA安全感知系统SIPEDR插件EDR插件EDR插件端点查杀一键阻断用户提醒专家服务一键阻断用户提醒端点查杀协同响应能力最佳实践03西南某电子政务外网根因分析1.对于绕过边界防御,已经潜伏在内网的威胁,客户缺乏有效的检测手段;2.在服务器区内部,监控不到服务器之间的东西向流量;需求现状1.部署了大量的安全防护设备,仍然发生网页被篡改的安全事件;2.发生安全事件后,无法感知内网服务器区受影响的范围有多大;部署架构电子政务外网互联网出口区域
35、服务器区办公区NGAF上网行为管理探针1探针2全网安全感知平台方案效果与价值16个失陷主机1台服务器与法国某IP有频繁通信1个IP在内部进行渗透16161 11 1l 帮助客户看清内部业务及业务间的异常访问关系l 帮助客户看到潜伏在内网的失陷是主机带来的威胁l 帮助客户看懂潜伏威胁造成的风险及风险处置建议西南地区某高校需求分析安全设备堆叠、各自为政,无法有效发现风险资产众多,难管理,容易形成安全薄弱点亟需建设全局把握整体安全态势的监测平台部署方案探针1探针2探针3安全感知平台SIP1.3台探针:旁路部署在网络内部关键节点,全流量检测网络内部威胁行为;2.16个vNGAF软件:部署在虚拟化服务器
36、上,对虚机进行防御的同时,与安全感知平台对接收集有效检测数据。3.安全感知平台(SIP):收集所有探针的数据,并通过可视化的形式呈现给用户。vNGAF客户价值深信服安全感知上线14天,自动识别资产500+,发现内部6个潜伏威胁深信服HTTPFlow分析引擎(深度学习SVM算法)绕过防御的webshell威胁严重l 失陷网站:图书馆主页、教务管理平台l 受影响网站:站群系统教育网、管理学院网站、档案管理系统华东某三甲医院项目背景&部署方式实际效果&方案价值 该医院安全建设非常完善,且内外网隔离环境让客户认为安全没有问题。只到2017年7月该医院被卫计委对对于其官方网站发生的篡改事件进行了通报。客
37、户寻找到多家厂商进行测试,均未发现问题。于是客户找到我们为其进行安全检测:潜伏威胁探针部署在医院内外网核心交换机上,安全感知平台部署在内网核心交换机上。发现了4个失陷业务,其中一个失陷业务开放445端口,存在勒索病毒风险,多个业务感染飞客蠕虫病毒。发现某个IP访问HIS数据库异常路径,存在信息泄露风险,刚好验证之前出现的现象。通过我们产品帮助客户发现和解决安全问题,客户当即表示对我们产品的高度认可,表示:“随着我的应用越来越多,外网DMZ区未来异常重要,你这个东西内网都能做好,DMZ肯定没问题”;国土资源部 国家审计署 国家海洋局 广东省政府河北省政府浙江省经信委新疆网信办珠海公安局重庆气象局三明市法院新洲区政府浙江大学中央民族大学南山区教育局徐汇区教育局海康威视中国中车山东齐鲁医院中国联通 商务部配额许可事务局其他成功案例THANKS!