奇智威胁情报峰会：内生安全与威胁情报体系构建

北京2022

年

冬

奥

会官

方

赞

助

商OfficialSponsoroftheOlympicWinterGames

Beijing2022奇智威胁情报峰会情

报

内

生

聚

合

应

变。吴云坤

奇安信集团合伙人、总裁奇安信

BEIJING

2022奇安信

北

京2

0

2

2年

冬

奥

会官

方

赞

助

商Official

Sponsor

ofthe

Olympic

Winter

Games

Beijing

2022内生安全与威胁情报体系构建吴云坤奇安信集团合伙人/总裁奇安信北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商

omctalsponsorotheOlympleWnterGames

Bejing2022信息化系统需要内生安全体系保障内生安全与威胁情报体系的构建北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商

omctalsponsorotheOlympleWnterGames

Bejing2022信息化系统需要内生安全体系保障奇安信

网络面临的安全问题与过去不同：“四化”安全防护体系建设从合规导向转向能力导向

实网攻防演习已经成为常态化监督检查手段云大物移人等新一代信息技术全面应用

终端智能、应用系统、IT设施全面云化北京2

0

2

2

年

冬

奥

会官

方

赞

助

商目标：数据化信息化建设和改造以数据共享为基础

数据与业务应用成为攻击者的新目标外部攻击与内部威胁相互交织

组织化的网络攻击成为常态化攻击：组织化

环

境：云化奇安信

战法：实战化缺规划没有规划，安全后置，“创可贴”式的建设导致产品堆砌、防护失衡，手段“碎片化”。几乎没有运营，IT

与安全“两张皮”,资产不清，管理难落地，安全体系无法有效运行。网络安全预算占比IT整体预算不足。应对“实战化、常态化”挑战，无法达到预期目标

。人是网络安全实战化运转的基础。内部安全人员编制不足、外部采购没有明目、人员能力不足。过去安全防护与运行体系留下了很多“坑”奇安信

北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商

omctalsponsorotheOlympieWnterGames

Bejing2022100一个自适应的安全系统一般网络攻击：自我发现

自我修复

自我平衡

大型网络攻击：自动预测自动告警应急响应

>极端网络灾难关键业务不中断一个自成长的安全系统>核心是人的进步和成长>不锤炼不可能成为强军>不断发现问题解决问题一个自主的安全系统只有外部的安全能力，解决不了内部的安全问题只有外生的安全数据，解决不了内部的安全问题>只有泛化的安全大脑，解决不了内部的安全问题内生安全防护体系奇安信

北京2022年冬奥5北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商oficialSponsorotheOlympieWinterGames

Bejing2022内生安全与威胁情报体系的构建奇安信

思考：数据驱动安全1.0北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商利用情报提升客户检测与响应能力；帮助客户构建积极防护能力。奇安信

基于互联网数据加工成威胁情报；思考：数据驱动安全2.0北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商

omctalsponsorotheOlympieWnterGames

Bejing2022风险管理

安全审诊数据驱动安全运营运从被动到主动，从静态到动态)响应态势呈现数

据

业

务

域应用内容保护

应用安全用脆

弱

性

管

理

应用特权管理SDL&DevOps数据安全数据接入

数据流转不失控

数据组织

数据服务全面利用内部信息化和

安全数据；与信息化系统全面覆盖

和深度结合。安

全

基

安全基础设施(零信任/身份/认证/授权/密码/通用防护)础

设

施

统一认证管理统一授安全能力化、资源化理

统一密钥管理用户访问接入终端安全

云桌面终端泛化外部网络电子政务网社企专网互联网移动专网攻击诱捕通用防护安全泛终端安全运营支撑平台数据接入数大理罪务数

据

分

析数据目录云平台安全防

扫描

恶意安全监控

弹性、服务化

系统安全

逃逸检测,攻击制范控防源码资代漏洞诱捕代码防范意侵恶入零信任动态

授权边界瓦解跨网安全区数据流动奇安信

云安全资源

编

排源管理应用访问控制数据采集跨网数

据交换安全资源池访问控制入侵防范

资源隔离网

络主机花整网络威胁检测高级威胁分析网络流量分析网络

安全北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商互联网体系架构的奇安信互联网体系衍生出的产品和服务传统IT架构

的企业客户其他传统安全公司思考：数据驱动安全的进化奇安信

所并购的传

统安全体系

的产品服务传统IT架构

的企业客户互联网数据和技术红利奇安信集团传统新

兴20082014等

保1.0传

统IT

时

代**信息中心安全规划**部委大数据安全规划**集团网络安全规划**机构安全体系规划**电力机构物联网安全规划**行业云可研与规划设计**信创试点规划**部委安全体系规划**市大数据局**省公安厅慧安工程规划**市公安局规划**省公安厅安全规划建设**省公安厅三年安全规划**省公安厅大数据安全规划**省公安厅安全规划方案**市政务云安全服务**市网信办大数据保障服务**省电子政务云安全**省大数据中心安全规划

云上扬州安全规划**市数字办信息安全规划**市电子政务大数据安全**智慧城市安全运营规划

2015

2016

2017

2018政府报告提出大力推进“数字经济”写入政府工作报告“互联网+政府”思考：内生安全，信息化与安全的同步规划十三五国家信息化规划建立统一开放的大数据体系构建现代信息技术体系建设泛在信息基础设施体系政府报告中首次提出“智能+”概念等保2

.0密码法**部大数据系统规划**银行五年安全规划**电力网络安全规划**院信息安全规划**集团信息安全规划**网网络安全规划奇安信

**总局十三五安全规划提出数据驱动安全数字化转型时代的信息化环境国务院发布了

“147号令”《网络安全法》HW

实战化演习《国家网络空间安全战略》**银行云安全规划北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商202020191994内生安全的落地实现需要新机制保障北京2

0

2

2

年

冬

奥

会官

方

赞

助

商新机制：同步规划、同步建设、同步运行●安全数据的驱动，是实

现威胁感知、有效运营、协同指挥、快速响应的关键保障；信息化数据对于全面感知安全态势，进而对IT风险进行重点

调整，有着至关重要的作用，二者在安全实践中

互为驱动，才能让运营变得有活力。●为信息化发展的各领域、

各层面注入安全基因，

融入多样化的安全防护

机制，实现网络安全与信息化的深度结合，并

覆盖信息化环境的方方

面面，实现全面覆盖、深度结合

、

实战运行、

协同响应。●技术聚合、数据聚合归

根结蒂还要靠人的聚合：首先要保证建设运维与防护响应的职责融合；其次技能与安全技能

要实现融合。懂安全的IT人才、懂IT的安全人才都是当下安全人才市场最为迫切的需求。●机制保障：将信息化建设与运维工作同网

络安全的防护与响应过程结合，达到工作

任务事项级别的深度绑定，实现二者的同步规划

、

同步建设、

同步运营

。奇安信

数据聚合人的聚合新机制技术聚合北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商网络安全法律法规政策(安全战略

)继承安全规划安全架构)指导一、关口前移，规划先行：与信息化系统同步规

划、建设安全体系从信息化视角来规划安全业务战略业务规划功能

角色/应用

机制信息

需求企业战略驱动支撑驱

动支

撑业务和IT解决方案项目1.…项目n

任务1.….任务nIT战略IT规划融入

安全建设信息化架构规划企业战略规划奇

安

信数据

架构应用

架构技术

架构vWAF资产测绘AV

主机行为监控APT深度分析CASBvDB

防火墙AV

主机行为监控通过规划，实现安全组件与信息化层次的深度结合和全面覆盖虚拟网段内安全防护微分段

vIDSvIPSvFW虚拟网络AVHFW

HAV

主机行为监控虚拟网段内流量监测网络流量审计

虚拟设备网络流量分析

虚拟设备云管理及虚拟化管理软件操作系统安全云平台防护云应用防护数据安全安全应用安全操作系统安全操作系统配置加固照鬣数据容灾数据鳌份

教

嫚开发安全华核

阔操作系统配置加固虚拟网段间流量监测深度威胁检测

流量分析安全功能串接IPS/IDS数据隔离

数据销毁VPN

虚拟设备

日志记录虚拟网络资源加固安全管控虚拟网段间安全防护

FW

LB

IPS虚拟网络功能投递解析

适配

管

控物理网络访问控制云平台底层域间FW云边界FWHFW运维

漏洞

扫描Cloud

DLPvWAFHFW基础架构安全

纵深防御

态势感知与积极防御

威胁情报奇安信北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商威胁情报台

网合

网缝安按

客统Overlay网络安全物理主机安全物理存储安全物理网络安全Overlay网

络架构安全PXE安全数据销毁日志记录IPMI安全数

据

容

灾

流量加密BIOS安

全

数据隔离配置加固虚拟机安全虚拟存储资源虚拟网络资源计算专网固件升级数据加密流量控制云管

理层支撑

性服

务云交网络流量加密

管理专网

存储专网服务组件配置加固操作系统配置加固配置

升级与补丁管理逻辑

网络物理

设备升级理升级与补丁管理

日志记录升级与补丁管理

日志记录服务组件操作系统身份

控制虚拟机网络模版安全配置态劳

感知平台安全事

件存储与处理升级与补丁管理升级与补

丁管理升级与补丁管理虚拟化

系统日志记

录臻分析访问

控制镜像

安全快照

安全配置

加固虚拟

化层前移

安全日志

记录API

安全日志

记录通信CSMP鳌鬻蜜

网CA非网络安全岗位的人员对于安全的理解程度有限，通常只能按照自己的背景知识和经验去理解网络安全，由于安全和信息化融合过程中缺乏专业性、系统性、

一致性的语言，这就使得“管业务必须管安全”这句话难以真正落实；也会导致安全防护措施难以形成标准化，有效性不足。通过规划将安全架构思想融入组织战略，解决各层级、各业务口对网络安全理解不一致的问题A部门理解的安全B部门理解的安全C部门理解的安全1奇安信

规范标准要求的安全北京2

0

2

2

年

冬

奥

会官

方

赞

助

商实践：某部委大数据系统安全规划北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商omctalsponsoroftheOlympleWnterGames

Bejing2022①大数据、业务成为安全保障的新核心

；②网络安全与云计算、大数据这样的信息化革新点要进行深度的融合；③零信任体系的有效实践。奇安信

北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商①

集中管控模式对于安全的价值；②终端从传统PC

范畴，大量泛化，且

需要考虑多种不同的接入方式的安全措施；

网络侧的安全需要拉出纵深，并在关键层面上融入安全的”埋点”。实践：某部委大数据系统安全规划

奇安信

北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商Ofhcial

Sponsor

of

the

Olympie

Winter

Games

Bejing2022以《公司“十三五”信息化规划》的网络安全为基础，融合电力监控系统和竞争类业务的网络安全需求，实现全口径和全覆盖。①

在大型央企这样的机构中，网络安全从战略、目标、措施等各个层面，都需要与业务及信息化进行内生与聚合

；②

网络安全的体系会是一个复杂系统工

程

；复杂的网络安全体系，最终要以实战化运行，作为最终的检验标准。达到实战化、体系化、常态化。实践：某能源央企的新一代网络安全保障体系规划建设

奇安信

新一代身份安

全管理重构企业网络

纵深防御数字化终端及办公环境安全治理面向云的数据

中心安全防护面向大数据应用的数据安全防护面向实战化的全局态势感知体系面向资产-漏

洞-配置的系

统安全防护工业生产网

安全防护内部威胁防控体系密码专项实战化安全运

行能力建设应用安全能力支撑安全人员能力支撑物联网安全

能力支撑业务安全能力支撑十四五期间网络安全规划的“十大工程、五大任务”

奇安信

北京2

0

2

2

年

冬

奥

会官

方

赞

助

商①

规划要解决三同步的问题，是一件扎扎实实的复杂系统工作。一定要做到顶层的概念构想

，到设计形成网络安全的工

程化的整体系统，再到能建设落地实现；网络安全要最终实战化运行起来，需要有明确的流程，以及

细致落地的操作指南。通过规划，可以形成可行性研究报告、设计、以及项目储备库，从而让信息化主管领导掌

握全景，包括资金预算与人力预

算

。把“规划”落地到“实现”的关键

奇安信

管理职责体系设计部门级组织结构设计

制度管理体系设计详细组织结构设计角色与岗位定义绩效管理设计制度控制文档体系定岗定编

人员招聘能力培养合规要求技术叠加演进能力结合矩阵建设项目识别与定义防御体系总体架构系统级总体架构(子系统)高阶逻辑架构(模块)系统设计方案(产品)开发/部署/实施应用系统产品技术运行实战化运行构想(全景图)运行领域识别与定义运行衔接接口设计高阶流程图详细流程图条令化的SOP详细操作指南技术

控制技术政策技术规范技术指标配置策略管理

控制管理政策管理办法操作规程概念

构想逻辑实现在系统规划、建立和维护的过程中充分考虑安全防护在无人员持续介入的情况下，附加在系统架构

上可提供持续的威胁防护或威胁洞察力的系统分析人员监控和响应网络内部威胁并学习完善防御体系的过程收集数据、将数据利用转换为信息，并将信息生产加工为评估结果，以填补已知知识缺口的过程以法律反制措施等形式针对进攻者采取的自我防卫行动反制进攻Offense基础结构安全Architecture纵深防御Passive

Defense积极防御Active

Defense情报Intelligence安全价值成本进攻情报积极防御被动防御架构安全网络安全滑动标尺模型建立了一个分类框架，将网络安全防御

相关的各类工作都纳入框架中整体考虑，

解决“淘汰演进”迷思给业界带来的长

期困扰，从更系统化的“叠加演进”视

角考虑整合的防御体系，并更加强调防

御能力的“操作化”。先左后右成熟度模型

夯实基础逐步提高成熟度互为依托相互联动协同形成整体能力非割裂连续体二

、体系建设，叠加演进：从应对特定威胁和合规点的建设模式，奇安信

走向面向能力导向建设模式北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商oficialSponsorotheOlympieWinterGames

Bejing2022威胁情报是构建能力导向的安全体系的关键

奇安信

深度结合、全面覆盖

掌握敌情、协同响应偏静态的综合防御能力体系偏动态的积极防御能力体系纵深防御PASSIVEDEFENSE基础结构安全ARCHITECTURE北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商情报内生：威胁情报从生产到运行全流程都与信息化结合

奇安信

在系统规划、建设、运维过程中充分考虑安全防卸能力的建设ARCHITECTURE架构安全不依赖人的威胁

发现和对抗措施，

消耗攻击者资源，迟滞攻击PASSIVE

DEFENSE纵深防御强调人员的参与，

通过持续检测、分析、响应、对

抗高级威胁ACTIVEDEFENSE积极防御收集数据，挖掘

信息，生产和共

享情报，猎取术获新的威胁ACTIVE

DEFENSE′威胁情报在合法框架下，

对抗攻击者的措

施及自我防御措

施OFFENSE进攻反制数据

十+

人

员北

京2022

年

冬

奥

会官

方

赞

助

商

oficial

Sponsor

o

the

Olympie

Winter

Games

Bejing

2022奇安信北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商业务业务登录交易记录业务查询⑤业务系统的数据采集硬件资产业务服务器路由器交换机代理服务器无线网关主机设备邮件服务器网络准入邮件网关充分利用已有

的安全事件日志场景1:威胁情报的生产要利用信息化数据基础服务中间件数据库缓存服务WEB

服务网络流量会话应用行为文件传输账号登陆终端文件行为进程行为邮件行为注册表安全设备防火墙IDS/IPSVPN终端安全其他服务关键基础服务

的运行情况④网络和终端数据是真相之源尽可能的覆盖硬件资产2017外网威胁情报分系统·多源情报采集，并与内网TIP同步情报内容·联动云端威胁分析平台，实现威胁关联分析·

提供机读情报、人读情报查询接口内网威胁情报分系统·

内网威胁情报运营与分发使用·

与文件深度分析系统协调，生产威胁情报·

提供APT档案库供威胁狩猎发现APT攻击文件深度分析分系统·与流量传感器联动，进行文件深度分析·

发现已知或未知APT

攻击，进行威胁鉴定·

形成文件基因，生产新的威胁情报流量传感器分系统·

还原网络流量，提供给文件深度分析系统·

提取流量中恶意特征，识别异常网络行为实践：奇安信的威胁情报生产架构威胁情报中心系统架构威胁运营及威胁发现系统管理员

情报分析服务系统管理员

情报运营人员流量传感器分系统WEB

UI

CLI

集中管理PCAP

采集配置管理SSL解密

日志外发IPS引擎AV引擎

协议解码器

Other

ProxyTCPProxy

UDP

Proxy

HTTPProxy

SMTP

Proxy流量接收基础采集器

DPI引擎内网威胁情报分系统情报查询数据同步

管理配置匹配关联聚合失陷情报

文件情报

预警通告KV

数据库TAXII/自定义匹配

关联

聚合失陷情报

文件情报

预警通告KV

数据库2情报导入系统升级3上

传接口层逻辑层数据层存储层任务管理文件深度分析接口层逻辑层数据层存储层控制平面数据平面奇安信北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商多AV引擎

动态行为分析虚拟执行引擎静态解析

威胁情报关联

文件基因行为分析引擎

同源分析数据流量

数据流量

数据流量分

析报

告情报管理威胁分析关系数据库情报生产文件深度分析分系统23Web人工智能IP情报运营分析

文件基因监控调度API威胁分析其他数据情报关联分析自动化评分配置管理数据存储情报

查询情报

获取系统

管理监控

统计外网威胁情报分系统多种

样本关系数据库系统

升级元数据引

擎发现资产暴露面

管理资产脆弱性服务发现数据采集与管理实践：落地到态势感知系统中的威胁情报加工生产大数据计算与存储数据采集数据解析数据过滤数据映射数据富化系统管理权限监控报表维护安全责任人资产奇安信

北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商中位平台

低位设备主机/web威胁感知系蜜罐诱

捕探针全流量

威胁分邮件威

胁感知补天漏

洞情报DNS威

胁感知全量威

胁情报终端

安全查告警产生原因、攻击路径和影响范围。网析后门深入分析网络流量，发现网络中存在的网站后

门，溯源分析、行为分析、影响分析并给出处

置建议。1、互联网入口攻击·

应用网站安全漏洞·

弱口

令

、默认口

令·

应用和中间件管理后台暴露·

服务器互联网暴露·

服务器外联风险2、内部网络横向攻击·

设备使用同一口令·

操作系统、中间件安全漏洞3、集权类系统风险和要求·

邮件服务器·

域控/DNS服务器/备份服务器·

运维管理系统/Zabbix/Nagios/

堡垒机·

研发服务器/SVN/Git·

研发个人终端/运维个人终端4、供应链安全场景2:基于情报的威胁分析要结合来自信息化的数据通过插件化设计，后续将失陷

检测、应急响应等功能插件化

提供。深入分析邮件系统的登录行

为，恶意邮件投递行为。■

收拢互联网出口■

使

用VLAN

分区分域■

防火墙白名单策略(300+)■

WAF/IPS策略优化部署全流量监控奇安信

北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商所属网络互联网区O

A

网某专网内

网合计分析传感器的webshell上传告警、网页漏洞告警和

网络攻击告警，确认入侵成功事件、排查影响访问

并给出处置建议；聚合传感器的攻击数据，梳理出

高威胁IP。分析fp、smb、oracle、mysql、mssal、ssh.postgresql、pop3、smtp等协议的登录失败行为进行

分析，提取发起爆破行为的IP,

判定是否爆破成功。无法系

统加固1142610204漏洞总

数3868322214949已整改3754116114745APT人工确认apt告警，对流量行为、资产特性、时

间节点、客户性质和apt组织进行关联分析，排深入分析数据系统登录行为、高风险数据操作语句，发现数据库系统异常登录、

sal注入漏洞和系统命令执行序

号12345人工确认告警，对受害P

与远控端

的流量进行分析，并给出处置建弱口令、默认口令数

据

库爆破传感器数据分析(统计所有的受害网站分析每个网站的受害程度以及攻击者统计所有的恶意邮件分析每封恶意邮件的发送者和受害者

统计所有的数据库操作根据数据库类型分析每个操作的风险统计所有的受害中间件根据威胁类型分析中间件的影响范围统计流量中的爆破行为根据协议和账号来分析整个爆破过程

统计流量中的弱口令行为以弱口令的维度进行分析其登录行为

统计流量中的未授权访问以资产的维度进行分析其登录行为统计流量中的挖矿行为以资产和矿池的维度进行分析分析每个资产的行为轨迹WEB安全邮件安全数据库安全中间件安全主机爆破弱口令未授权行为挖矿行为实践：HW

中的全流量威胁分析

奇安信

应用安全系统

安全设备

安全统计流量中的受害设备以威胁和设备类型进行分析其影响范围以IOC维度进行分析统计感染的所有资产北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商omcialSponsoroftheOlympieWinterGames

Bejing2022威胁攻击者分布

国家

城市

攻击者TOP1018总数东京5.56%东京~5.56%升平~5.56%华盛顿哥…~16.67%

圣安东尼奥~5.56%

大庆~5.56%巴拿马城~5.56%巴黎~5.56%■新加坡～5.56%250┐200150100杰克逊维尔~5.56%

45

77

8

3

33

04192.168行为活动趋势DNS解析-O-

TCP流2019-06-3015:42:31命令控

制-威胁情报【】对【100.38.234.38】进行【命令控制服务器连接】

详情：最近发生时间：2019-06-3015:42:31IOC:*查询原始日志●

攻击者1●受害者1●攻击者&受害者1吏用【网络攻击】进行【主机受控】详情：最近发生时间：2019-06-3015:42:31威胁名称：XSHELL多版本后门漏洞命令控制

查询原始日志横向渗透8基于全流量分析发现网络攻击行为基于全流量开展网络攻击行为分析奇安信北京2022年冬奥会官方赞助商oficialSponsorothe

OlympieWinter

GamesBejing

2022BEJING

2022

C00旧金山~5.56%场景3:威胁情报驱动的响应动作

奇安信

基于威胁情报能够有

效发现防御环境中的

系统弱点，提出合理

的安全加固建议，建

立正确的架构安全体

系，增强系统自身安全防御能力从而减少

被攻击面。威胁情报作用于积极

防御，建立自身的情

报生产和消费能力，

挖掘出未知威胁、潜

在的威胁，并及时有

效弥补防御短板。消费机读情报，更新设备安全检测规则，

收集情报线索数据，

防止已知威胁的再次发生。积极防御ACTIVEDEFENSE威胁情报INTELLIGENCE北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商A终端安全响应系统EDR以威胁情报驱动，通过持续终端行为采集、安全风险告警、威胁深度调查、提供多维度响应手段的方式，补充了传统终端安全产品在检测高级威胁能力的不足，在对抗内网渗透、未知威胁等场景中尽可能压缩攻击者的攻击时间，降低高级威胁最终达到目的可能性。并提供威胁告警的追踪溯源能力，终端进程树将威胁的根源进行直观展示，并能够对威胁在内网的影响范围快速评估。北

京

2

0

2

2

年

冬

奥

会

官

方

赞

助

商IOC

情报检测实践：威胁情报驱动的终端检测与响应EDR

奇安信

数据通道/edr相关

loogSDS/BASP

大数据存储