网络安全探讨 态势感知 协同联动.doc

网络安全探讨 态势感知 协同联动 态势感知协同联动?真实攻防案例带来的思考?信息安全面临的现状?态势感知、协同联动在信息安全领域的应用内容安排水坑攻击 一、入侵与目标相关的Web应用系统，替换正常文件或引诱下载伪造的正常应用升级包，在目标用户系统上执行恶意代码的目的； 二、入侵与目标相关的Web应用系统后，篡改其中链接，使其指向OceanLotus设置的恶意网址，并在指向的恶意网址上设置木马下载链接。 鱼叉攻击?攻击组织会非常有针对性地挑选目标机构，并收集目标机构人员的邮箱信息，再通过向这些邮箱中投递恶意邮件实现定向攻击。 当受害者不小心点击执行邮件附件后，电脑就会感染特种木马，木马与C2服务器相连接后，用户系统由此就落入攻击组织的控制网络中。 安全在变化吗?长期定向攻击业务新架构新业务高管/员工合作伙伴0-DAYN-DAY79.2%15.4%88.1%11.9%安全思路的一点改变总是有未发现的漏洞总是有未修复的漏洞总有一天会被渗透总是有不可靠的员工Source:Gartner预防、预测Proactive riskanalysis主动风险分析Predict attacks预测攻击Baseline systems基线系统Prevent issues阻止事件Divert attackers转移攻击者Harden andisolate systems强化和隔离系统Contain issues抑制事件Confirm andprioritize risk确认风险并按优先级排列Detect issues检测事件Remediate/Make change修复与进行变更Design/Model change设计/模式变更响应、调查阻止、防护检测、监控Investigate/Forensics调查与取证现阶段安全的核心思路持续监控与分析安全数据不足安全信息缺乏共享与安全信息不对称导致检测与响应能力不足安全智能不足安全智能匮乏导致无法有效检测多步骤组合入侵行为与对APT攻击的深度挖掘安全协作不足产业界相互间信任不足导致缺乏检测与响应的协作，进而失去了应对攻击的最佳时机制约安全检测与响应的三大问题数据能带来什么？?一次安全事件所利用的漏洞或者样本，可能在互联网上已经出现过。 如何利用互联网上的海量攻防数据，协助发现甚至预防安全威胁？?恶意终端/系统必然有与正常的终端/系统相异的行为，单体安全设备没有足够数据无法比对分析，如何进行全网的数据分析？?攻击链条复杂，仅针对某个终端或者某个网络节点的防护手段难以还原整个攻击链条，难以定位入侵时间，难以确认是否有其他被攻击的终端/系统。 进入网络漏洞利用安装恶意软件远程通信横向渗透/泄密攻击源回溯受控目标拓现下一代安全防御及分析平台IPReputationAttackerIntelligenceThreat/Attack IntelligenceUser/Identity ReputationDeviceReputationVulnerabilityIntelligenceURL/Domain Reputation-xx-xxTop SecurityTrend漏洞情报威胁/攻击情报攻击者/组织情报IP信誉设备信誉网址/域名信誉用户/身份信誉可机读威胁情报与信誉机制网络流量记录文件传输行为恶意行为告警邮件记录终端行为Web访问记录私有大数据平台?用户侧形成轻量级大数据平台，记录网络与终端的相关信息TCP流量/Web访问/域名解析/文件传输/邮件/SQL行为/登录行为/?结合威胁情报发现并回溯网内安全威胁用户侧-威胁情报的落地攻击组织者攻击目的外链URL恶意IP文件MD5主机行为威胁情报全网数据收集、智能分析?不再谋求在单体安全设备上完成对所有威胁的发现和响应，转向通过安全设备采集完整全网数据；?大数据平台可以满足千亿级别数据的快速分析，可以保证对全网全量数据的采集需求。 通过算法、模型等智能信息安全技术分析和识别网络中安全威胁通用数据采集层网络还原+终端+告警日志+网络资产探针安全大数据平台数据平台分析工具各层原始数据还原网络/终端/系统/应用/行为/安全告警日志实时搜索工具线索关联其他工具APT感知DDoS攻击溯源漏洞与事件信息其他应用资产威胁视图安全日志与事件文件威胁鉴定邮件威胁感知资产脆弱性检测工具实时/离线数据规则分析工具统计分析工具宏观安全态势感知-总体态势审计、分析、发现、溯源智能协同体系终端与本地大数据平台协同（EDR）智能协同体系网关与本地大数据平台协同（NDR）检测、阻断、溯源威胁情报终端日志威胁情报中心文件威胁鉴定网络采集器NGFW流量日志360云端大数据平台威胁情报中心监测发现响应处置调查分析态势感知威胁情报管理运营决策组织、行业、区域威胁情报触发?Signature?关联规则异常行为分析?规则?统计?机器学习调查分析的对象?人员?设备?邮箱?文件?域名?满足安全运维工作的工具?搜索?可视化关联分析?统计分析?图计算分析?响应工具?EDR联动（天擎）联动（天擎）?NDR联动（天堤）联动（天堤）?AutomationOperation自自动化编排?一键