深信服安全感知平台(内部资料)

安全感知平台深信服安全BU2019/10/182目录124为什么需要强化安全检测能力传统信息安全防护体系的问题安全感知平台能解决什么问题3如何构建企业级安全感知能力3攻击被发现的平均时间229天企业自行发现的比例33%小时月天/周发现补救实施攻击入侵得手问题不再是是否被黑，而是什么时候被黑和你什么时候发现被黑攻防不对等导致黑客屡屡得手攻击者有大量手段进入内网而且，往往进入内网后就是一马平川没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了。结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。----习近平主席的419网络安全讲话加大持续检测和快速响应的投入用户应该大幅提升安全检测手段的投资，应该占到整体安全投资的30%以上。预计到2020年，安全检测和响应的投资将从10%增长到60%source：Gartner2014安全投资的变化防御检测响应source：《网络安全法》第五章监测预警与应急处置第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。2019/10/188目录124为什么需要强化安全检测能力传统信息安全防护体系的问题安全感知平台能解决什么问题3如何构建企业级安全感知能力9看不清业务看不清的新增资产产生安全洼地快速灵活的业务模式Vs滞后的资产管理业务驱动的管理模式Vs安全总落后一步看不清的业务关系使业务安全防护失效不知道正常业务逻辑Vs如何发现异常攻击不清楚合法用户行为Vs谈何检测恶意用户缺乏有效手段主动识别新增业务定期巡检+人工梳理Vs虚拟化环境一键申请资产静态策略+层层审批Vs敏捷开发与快速应用迭代2019/10/1810看不清新增资产产生安全洼地理应下线的测试系统无人管理，被黑客利用作为跳板进入内网。某业务部门赶进度未经审批和测试，仓促发布新业务，不但自己被黑还导致同一安全域其他系统遭殃2019/10/18看不见内网潜藏威胁看不见的内部横向攻击多系统交互和数据共享更加频繁的东西向交互Vs分级分域的安全管控安全防护多数只关注南北向看不见的违规操作黑客更多地表现为伪装合法用户非暴力，越权访问，违规但不含攻击特征Vs基于病毒、漏洞利用等恶意特征匹配无法发现伪装合法用户的攻击看不见的异常行为渗透目标从破坏性转为信息窃取更善于隐蔽，隐写、加密、伪装成为常态Vs特征匹配式检测+只关注当前数据包无法从海量信息中发现细微的蛛丝马迹2019/10/1812看不见的内网违规操作通过欺骗、伪装的方式获得了用户名口令，伪装成内部员工，直接下载敏感数据通过钓鱼邮件获取管理员账号、数据库口令，进而为所欲为。2019/10/18看不见内网攻击和异常行为组织内部员工不满或者内外勾结进行攻击渗透，既熟悉业务又有合法身份，防不胜防核心业务已经被植入木马，通过隐蔽信道外发敏感数据，信道加密且符合正常逻辑14那么，问题到底出在哪里？“盲人摸象”，缺乏全局视角，不知道也不懂自己保护的对象“静态防御”，无法检测攻击者多点渗透、灵活多变的打法“敌暗我明”，无法应对攻击者从大张旗鼓到暗度陈仓的变化2019/10/1815目录124为什么需要强化安全检测能力传统信息安全防护体系的问题安全感知平台能解决什么问题3如何构建企业级安全感知能力全网安全感知和响应平台基于大数据、机器学习移动、桌面网络虚拟化云平台无线WIPS：钓鱼WiFi密码爆破无线攻击探针检测：采集流量、感知资产、网络、漏洞变化EDR：软件重构边界采集异常行为快速联动响应EMM：安全状态检测应用数据隔离行为检测NGAF、VPN、上网行为管理云端检测平台：网站安全监测平台（漏洞、黑链、篡改、敏感词等）什么是安全感知2019/10/18总体技术架构数据中心区办公A区办公B区DMZ区管理区潜伏威胁新技术：大数据、机器学习威胁建模、行为分析1、潜伏威胁探针2、安全感知平台黑客成功入侵了，你还不知道？威胁情报全面发现各种潜伏威胁安全感知的快速部署19潜伏威胁探针部署位置建议一个信息汇集分析中心-----织网蛛的大脑多个散布的信息采集点-----踩在不同经线的蛛腿2019/10/1820深信服全网安全可视看懂风险看到风险看清关系看见资产评价一个系统：功能、要素、关系深度整合智能认知快速发现2019/10/1821目录124为什么需要强化安全检测能力传统信息安全防护体系的问题安全感知平台能解决什么问题3如何构建企业级安全感知能力信息安全治理架构2019/10/18企业治理IT治理业务连续信息安全IT安全基础体系ISO13335Etc.ISO15408etc.ISO20000ISO27001CMMIetc.ITIL安全治理可视化运维管理可视化安全治理可视化2019/10/18视角：领导和决策信息：全网安全威胁和安全状态需求：数据支撑决策细分角度：关注外部攻击需求信息：谁、什么方式、攻击了哪里细分角度：安全综合管理需求信息：分支-总部访问安全，分支安全评价细分角度：关注数据安全，防泄密需求信息：什么数据出去了，有没有安全隐患攻击态势可视化2019/10/181、有多少安全事件，哪里遭受攻击2、谁在攻击我，具体来自哪里3、有哪些高危攻击需要督促运维人员处理安全态势可视化2019/10/181、基于GIS展示的全网态势感知2、业务和信息系统安全综合评价3、分支机构安全态势评价和需关注的事件外联攻击可视化2019/10/181、基于GIS的信息外连展示（国内/国际）2、外连态势关键数据展示，风险评价3、具体的信息泄露风险和初步判断依据安全运维可视化2019/10/18视角：管理和维护信息：业务状态信息、安全事件告警、辅助分析数据需求：问题发现和事件分析细分角度：安不安全一目了然需求信息：直观、全面的掌握网络和安全状态细分角度：事件处理和问题分析需求信息：告警区分哪些是最关键的，辅助分析形成证据链展示首页2019/10/181、业务资产可视，自动发现，颜色区分安全评级2、业务逻辑可视，颜色区分是否有威胁3、四组数据告诉管理人员需要关注的问题01失陷业务2019/10/181、处理失陷业务，关注高可疑，跟踪低可疑2、主要攻击类型3、按照资产价值、风险评价的待处理问题列表01失陷业务分析2019/10/181、失陷或风险评价及依据2、谁在攻击、是否失陷、还对谁产生了影响3、攻击链分析，是否被当做跳板01失陷业务举证2019/10/1802风险用户2019/10/181、发现多少风险用户（已失陷、高可疑），可能影响多数业务和用户2、详细的风险用户清单和待处理列表02风险用户分析2019/10/181、用户风险判断和处置建议2、该风险/失陷用户访问了哪些系统，可能产生什么影响02风险用户分析2019/10/181、用户风险判断和处置建议2、该风险/失陷用户访问了哪些用户，追溯问题定位影响02风险用户举证2019/10/181、失陷/风险判断依据，就行有哪些攻击/风险行为03有效攻击2019/10/181、多维度评价，关联攻击链，让管理员重点关注有效攻击，知道影响范围2、详细的有效攻击清单和待处理列表03有效攻击举证2019/10/181、谁被攻击，攻击造成的后果3、如何攻击，攻击的手段和详细日志记录2、谁在攻击04外连分析2019/10/181、分析主体，问题评价，是否已被控制3、是否有风险外连，具体时间明细2、与谁在通讯4、基于时间规律的外连行为建模，发现异常行为和数据泄露隐患总结2019/10/18看清业务看清IT资产业务逻辑可视看到威胁威胁情报关联未知攻击检测看懂风险安全运维可视有效攻击分析辅助决策攻击行为展示安全态势可视THANKS!