360天眼产品课件.ppt

360网神天眼产品,CONTENTS/目录,PART/01,集团介绍,PART/02,场景问题,PART/03,功能价值,PART/04,优势特点,PART/05,形态部署,成功案例,PART/06,PART/01,集团介绍,360公司的创立与发展,1,2005-公司成立,2006-,2009-,2012-二次创业,搜索引擎、智能硬件、智能手机、企业安全,2016-业务重组,品牌、专利、数据,个人业务互联网模式,政企业务产品+服务模式,共享,360科技集团,360企业安全集团,全球唯一一家脱胎于互联网公司的专业安全公司,360企业安全集团以“数据驱动安全”的创新方法论为依托，建立了大数据时代的协同联动防御体系，全方位提升中国政企客户的安全防护能力和水平，与全社会一起构建安全命运共同体。,全方位保护政企级网络安全,PART/02,场景问题,高级持续定向攻击,各类高级威胁的危害：窃密机密、隐私泄露、关键设施破坏、敲诈勒索,APT攻击事件：摩诃草事件、蔓灵花行动僵尸网络类、后门、间谍软件窃密木马、勒索病毒服务器高级漏洞攻击类,当前安全威胁处置的困局,检测传统的检测手段使用基于签名的技术无法检测高级威胁基于签名的检测会产生大量无用告警影响对于入侵攻击的判断响应发现威胁后，缺少有效的联动防御机制予以响应缺少专业的安全人员提供针对安全事件进行快速的调查分析与应急响应溯源缺少原始网络行为日志和原始主机行为日志，不利于安全溯源分析海量日志存储和快速检索技术难度大缺乏高价值的威胁情报，无法有效发现定向攻击并对网络攻击进行有效的背景分析,国家政策要求,等保2.0的网络安全等级保护基本要求第1部分：安全通用要求的第七章“第三级安全要求”中明确提出了要具有检测和分析未知的新型网络攻击的技术措施。,网络安全等级保护测评要求第1部分：安全通用要求中也明确提出了在等保三级评测时测评对象需具有抗APT攻击设备,PART/03,功能价值,天眼TSS新一代威胁感知系统,天眼TSS定位：为客户提供针对网络高级威胁的检测、响应、溯源的一体化解决方案。,APT,特种木马类,高级漏洞攻击类,可以通过特征检测的威胁,高级威胁,已知威胁,天眼检测能力,威胁金字塔,数据中心环境,办公网环境,天眼的检测能力,进入网络,漏洞利用,安装恶意软件,远程通信,横向渗透/泄密,传感器捕获行为,传感器捕获行为,分析平台根据威胁情报发现,天擎捕获行为,传感器根据特征发现,文件威胁鉴定可以发现问题,传感器根据特征发现,威胁生命周期,天眼数据采集,天眼威胁检测,传感器多种引擎可以检测的入侵,传感器可以检测PHP脚本,覆盖威胁的全生命周期的本地检测能力,天眼功能介绍,响应,天眼体系架构,传感器1,传感器2,天擎终端,数据引擎,威胁感知系统,日志检索,云端威胁情报,分析平台,天擎,文件威胁鉴定器,流量传感器,静态检测,沙箱,数据引擎,分析平台扩展,域名解析TCP/UDP流量Web访问文件传输LDAP行为登录动作邮件行为数据库操作SSL加密协商,U盘日志邮件日志IM文件传输进程网络行为进程DNS,传感器n,威胁情报,威胁情报（ThreatIntelligence）是一种基于证据的描述威胁的一组关联的信息，包括威胁相关的环境信息、采用的手法机制、指标、影响，以及行动建议等。与传统的单点的病毒或信誉等信息不同，这一系列对于攻击威胁的信息，可以让我们了解高级威胁的全貌，并可以被抽象成可机读威胁情报（MRTI），用来进行应对决策，并对威胁进行响应。,发现高级网络攻击：海莲花摩诃草事件蔓灵花行动WannaCry勒索,分析平台,2019/12/13,17,可编辑,流量传感器,协议分析,检测引擎,流量采集,检测结果,文件威胁鉴定器,恶意行为分析,恶意文件,高危,中危,低危,高危事件,可疑事件,疑似事件,多种不同引擎，多维度检测威胁已知检测与未知检测相互补充静态检测与动态监测相辅相成准确的评分机制降低误报与漏报,静态检测引擎,动态检测引擎,恶意代码检测文件格式检测启发式检测人工智能引擎检测云查检测,虚拟执行检测文件,价值,满足新等保的合规要求提升用户对高级威胁发现能力帮助安全团队提升重大安全事件的应急响应能力提高安全事件的溯源能力,PART/04,优势特点,优势1国内首屈一指的威胁情报平台,每天从900万个新增样本、300万新增域名、上亿恶意URL，以及结合多方社区、组织、第三方报告等资源，进行情报搜集和挖掘，每天形成超过百份的威胁及漏洞情报，通过在线或离线方式推送到客户侧的产品、服务、平台，以及与第三方安全组织进行情报交换共享。,优势2精准的高级威胁发现能力,文件威胁鉴定器,优势3海量数据的运算和检索能力,ES,ES,高性能为更广泛的监控能力提供支撑为快速的响应分析提供保障为更加复杂的分析提供可能为不断发展的业务提供未来高可用不因为技术复杂而增加使用复杂度不因为性能高而不考虑可扩展性不因为技术新而不考虑可靠性,mysql,360天眼,优势4完整的事件溯源能力,威胁生命周期,天眼数据采集,发现问题,回溯路径,回溯路径,天眼强大的数据采集能力可以保证在攻击链条任何一个地方发现威胁后，都可以完整回溯整个攻击发生全过程,PART/05,形态部署,天眼典型部署,360云端大数据平台威胁情报中心,威胁情报,终端日志,天眼分析平台,天眼文件威胁鉴定,天眼采集器,流量日志,样本日志,全面的采集网络及主机日志,完整还原文件并进行深度分析,引入360强大的威胁情报,通过轻量化的大数据平台分析威胁,准确的威胁检测告警,天眼组合方案,高级威胁检测方案,1.检测发现传统防护手段漏过的未知威胁2.有效发现未知恶意文件3.对企业内的海量数据进行安全分析4.对企业内已发现的问题进行攻击回溯,天眼传感器天眼分析平台天眼文件威胁鉴定器（可选）,文件威胁检测方案,天眼传感器天眼文件威胁鉴定器（可选）,1.检测发现传统防护手段漏过的未知威胁2.有效发现未知恶意文件,组件,方案说明,PART/06,成功案例,天眼行业成功案例之能源/央企篇,国内某能源行业的巨头企业，通过部署360天眼新一代威胁感知系统采集全流量数据以及威胁情报，并结合360安全服务人员基于攻防思路构建的分析模型，为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务，提升了发现和防御未知威胁的能力