大数据环境下的网络安全态势感知-2017央企网络安全大会-恒安嘉新

大数据环境下的网络安全态势感知恒安嘉新（北京）科技股份公司2017年7月网络安全大数据环境Internet城域网省网骨干网第三方网络城域网出口省网出口互联网接入口IDCIDC出口移劢互联网接入口骨干网间出口（国内及国际）省网网间出口态势感知：“在一定的时空条件下，对环境因素的获取、理解以及对未来状态的预测。”(Endsley，1988)网络态势感知：“在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。”(TimBass,1999)Endsley,Designandevaluationforsituationawarenessenhancement1988.网络安全态势感知的定义从系统工程角度，网络态势感知是一个从底层数据到抽象信息，再到获取高层知识的过程，包括三个阶段和层次的信息处理过程：态势觉察、态势理解和态势预测态势觉察，是通过在网络中部署的监测设备，实时收集态势感知相关要素的信息，形成特定网络时空环境下的事件序列态势理解，是通过定性或定量的网络态势评价体系，对采集的事件序列进行归幵、关联分析和融合处理，幵以可视化的形态呈现给管理者，形成对当前网络态势的基本判断态势预测，是基于网络态势预测模型和专业人员的经验积累，针对当前的和历叱的网络态势数据，对重要事件的走势和网络整体安全态势做出适当预测，以及时调整策略，采取预备性应对措施网络安全态势感知的对象从网络安全的角度，网络安全态势感知应该考虑：I已知/已知：基于威胁的实时恶意行为预处理能力（实时分析）II已知/未知：基于行为的准实时威胁发现能力（准实时分析）III未知/未知：基于风险的多元多维威胁解构能力（实时/准实时/中长期分析）基于威胁：已知/已知(知识)基于风险：未知/未知风险驱动基于行为：已知/未知威胁行为解构网络安全态势感知的层次划分高位：公共互联网环境的宏观网络安全态势感知体系。中位：针对特定域群集的网络安全态势感知体系。低位：围绕具体局域网络环境周界的内部网络安全的态势感知体系。5战略型1•国家安全战略、政策•行业安全监管要求、风险报告•年度网络安全信息与劢态报告•攻击组织的报告2战术型•攻击事件分析报告•漏洞分析报告•恶意软件分析报告•事件响应报告•攻击地图3运营型•对手的资产、战术、方法和行为模式•包含签名的深度技术分析报告•弱点分析及加固报告•周、月、季度威胁情报报告4技术型•恶意IP地址/主机•恶意域名•恶意URL•恶意短信•恶意邮件地址•恶意软件签名•恶意事件日志网络安全态势感知的目标大数据技术能力数据投放能力数据采集能力数据解析能力数据存储能力数据管理能力数据智库能力数据控制能力数据分析能力数据服务能力数据投放能力数据采集能力数据解析能力数据存储能力数据管理能力数据智库能力数据控制能力数据分析能力数据服务能力在网络安全态势感知领域的映射检测发现安全事件防御处置安全事件预测分析安全威胁追溯定位安全威胁9网络安全态势感知核心技术IDMaping1•IP与IM账号，微博账号，论坛账号，邮箱，拨号账户，手机号等映射关联分析2样本分析•静态+基于机器学习的劢态沙箱行为分析•恶意软件聚类分析3异常流量分析•恶意域名分析•钓鱼URL分析•恶意证书分析•加密流量聚类分析4流量指纹分析•黑客工具流量指纹•Webshell流量指纹•“脱库”流量指纹10网络安全态势分析方法11安全态势的评价指标可行动性及时性关联性覆盖率可集成事件响应及调查网络安全态势的评价指标12A优化资源投入及部署B更好的风险呈现C验证策略及控制的有效性D强化自身的防护能力E攻击可视化F提升响应速度网络安全态势的分析效果网络安全态势感知的可视化13多维度安全层次分析网络安全边界攻击分析资产分析蜜罐检测摄像追踪边界分析事件分析身份认证文件沙箱网络安全态势感知的可视化典型案例：勒索蠕虫事件5月12日爆发的勒索软件病毒事件波及范围广，影响后果严重。恒安嘉新做为国家级网络安全应急服务支撑单位，早在四月上旬就获取了NSA泄漏的漏洞信息，幵就SMB通信特征做了全网监测。事件发生后，恒安嘉新利用部署在城域网、骨干网、国际网、IDC等国家网络基础设施的安全监测和封堵设备，第一时间开展了事件的安全通报、应急支撑、威胁预警和网络监控工作。5.1207时5.1220时5.1216时应急启动分析研究预警更新监控处置安全防护1.漏洞在线验证2.企业系统安全综合解决方案3.通信卫士客户端提醒1.发布事件预警通告2.现网捕获病毒样本3.成功提取病毒规则组建安全运营中心，安全研究中心，安全开发中心，属地交付团队配合的应急1.发布病毒逆向分析报告2.全网引擎升级规则“永恒之蓝”监测由于恒安嘉新在4月份针对网络安全综合管理平台、僵木蠕安全监测平台、IDC网络安全综合管控平台等多个平台进行升级，第一时间监测到“永恒之蓝”的漏洞攻击1.全网监测感染态势2.全网广谱特征升级3.全网蠕虫传播封堵网络安全态势感知平台攻击拦截数据采集安全监测数据分析事件处置入侵监测网络安全自适应体系终端Agent第三方数据阻断隔离诱导攻击安全整改黑产溯源攻击链还原态势感知安全合规病毒监测•防范安全风险•满足合规要求•提供安全运营服务面向政企机关•绿色网络环境•完善网络治理体系•提升防护能力面向基础设施•安全态势•威胁情报•抵御入侵面向国家面向央企信息网络安全的态势感知平台主动探测DFI/DPI