深信服安全感知平臺(內部資料)

安全感知平臺深信服安全BU2024/8/262目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構建企業(yè)級安全感知能力3攻擊被發(fā)現(xiàn)的平均時間229天企業(yè)自行發(fā)現(xiàn)的比例33%小時月天/周發(fā)現(xiàn)補救實施攻擊入侵得手問題不再是是否被黑，而是什么時候被黑和你什么時候發(fā)現(xiàn)被黑攻防不對等導致黑客屢屢得手攻擊者有大量手段進入內網而且，往往進入內網后就是一馬平川沒有意識到風險是最大的風險。網絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發(fā)現(xiàn)不了。結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。----習近平主席的419網絡安全講話加大持續(xù)檢測和快速響應的投入用戶應該大幅提升安全檢測手段的投資，應該占到整體安全投資的30%以上。預計到2020年，安全檢測和響應的投資將從10%增長到60%source：Gartner2014source：《網絡安全法》第五章監(jiān)測預警與應急處置第五十一條國家建立網絡安全監(jiān)測預警和信息通報制度。國家網信部門應當統(tǒng)籌協(xié)調有關部門加強網絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網絡安全監(jiān)測預警信息。2024/8/268目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構建企業(yè)級安全感知能力9看不清業(yè)務看不清的新增資產產生安全洼地

快速靈活的業(yè)務模式Vs滯后的資產管理

業(yè)務驅動的管理模式Vs安全總落后一步看不清的業(yè)務關系使業(yè)務安全防護失效

不知道正常業(yè)務邏輯Vs如何發(fā)現(xiàn)異常攻擊

不清楚合法用戶行為Vs談何檢測惡意用戶缺乏有效手段主動識別新增業(yè)務

定期巡檢+人工梳理Vs虛擬化環(huán)境一鍵申請資產

靜態(tài)策略+層層審批Vs敏捷開發(fā)與快速應用迭代

2024/8/2610看不清新增資產產生安全洼地理應下線的測試系統(tǒng)無人管理，被黑客利用作為跳板進入內網。某業(yè)務部門趕進度未經審批和測試，倉促發(fā)布新業(yè)務，不但自己被黑還導致同一安全域其他系統(tǒng)遭殃2024/8/26看不見內網潛藏威脅看不見的內部橫向攻擊多系統(tǒng)交互和數(shù)據(jù)共享

更加頻繁的東西向交互Vs分級分域的安全管控

安全防護多數(shù)只關注南北向看不見的違規(guī)操作黑客更多地表現(xiàn)為偽裝合法用戶

非暴力，越權訪問，違規(guī)但不含攻擊特征Vs基于病毒、漏洞利用等惡意特征匹配

無法發(fā)現(xiàn)偽裝合法用戶的攻擊看不見的異常行為

滲透目標從破壞性轉為信息竊取

更善于隱蔽，隱寫、加密、偽裝成為常態(tài)Vs特征匹配式檢測+只關注當前數(shù)據(jù)包

無法從海量信息中發(fā)現(xiàn)細微的蛛絲馬跡2024/8/2612看不見的內網違規(guī)操作通過欺騙、偽裝的方式獲得了用戶名口令，偽裝成內部員工，直接下載敏感數(shù)據(jù)通過釣魚郵件獲取管理員賬號、數(shù)據(jù)庫口令，進而為所欲為。2024/8/26看不見內網攻擊和異常行為組織內部員工不滿或者內外勾結進行攻擊滲透，既熟悉業(yè)務又有合法身份，防不勝防核心業(yè)務已經被植入木馬，通過隱蔽信道外發(fā)敏感數(shù)據(jù)，信道加密且符合正常邏輯14那么，問題到底出在哪里？“盲人摸象”，缺乏全局視角，不知道也不懂自己保護的對象“靜態(tài)防御”，無法檢測攻擊者多點滲透、靈活多變的打法

“敵暗我明”，無法應對攻擊者從大張旗鼓到暗度陳倉的變化2024/8/2615目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構建企業(yè)級安全感知能力全網安全感知和響應平臺基于大數(shù)據(jù)、機器學習移動、桌面網絡虛擬化云平臺無線WIPS：釣魚WiFi密碼爆破無線攻擊探針檢測：采集流量、感知資產、網絡、漏洞變化EDR：軟件重構邊界采集異常行為快速聯(lián)動響應EMM：安全狀態(tài)檢測應用數(shù)據(jù)隔離行為檢測NGAF、VPN、上網行為管理云端檢測平臺：網站安全監(jiān)測平臺（漏洞、黑鏈、篡改、敏感詞等）什么是安全感知2024/8/26總體技術架構數(shù)據(jù)中心區(qū)辦公A區(qū)辦公B區(qū)DMZ區(qū)管理區(qū)潛伏威脅新技術：大數(shù)據(jù)、機器學習威脅建模、行為分析1、潛伏威脅探針2、安全感知平臺黑客成功入侵了，你還不知道？威脅情報全面發(fā)現(xiàn)各種潛伏威脅安全感知的快速部署19潛伏威脅探針部署位置建議一個信息匯集分析中心-----織網蛛的大腦多個散布的信息采集點-----踩在不同經線的蛛腿2024/8/2620深信服全網安全可視看懂風險看到風險看清關系看見資產評價一個系統(tǒng)：功能、要素、關系深度整合智能認知快速發(fā)現(xiàn)2024/8/2621目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構建企業(yè)級安全感知能力信息安全治理架構2024/8/26企業(yè)治理IT治理業(yè)務連續(xù)信息安全IT安全基礎體系ISO13335Etc.ISO15408etc.ISO20000ISO27001CMMIetc.ITIL安全治理可視化運維管理可視化安全治理可視化2024/8/26視角：領導和決策信息：全網安全威脅和安全狀態(tài)需求：數(shù)據(jù)支撐決策細分角度：關注外部攻擊需求信息：誰、什么方式、攻擊了哪里細分角度：安全綜合管理需求信息：分支-總部訪問安全，分支安全評價細分角度：關注數(shù)據(jù)安全，防泄密需求信息：什么數(shù)據(jù)出去了，有沒有安全隱患攻擊態(tài)勢可視化2024/8/261、有多少安全事件，哪里遭受攻擊2、誰在攻擊我，具體來自哪里3、有哪些高危攻擊需要督促運維人員處理安全態(tài)勢可視化2024/8/261、基于GIS展示的全網態(tài)勢感知2、業(yè)務和信息系統(tǒng)安全綜合評價3、分支機構安全態(tài)勢評價和需關注的事件外聯(lián)攻擊可視化2024/8/261、基于GIS的信息外連展示（國內/國際）2、外連態(tài)勢關鍵數(shù)據(jù)展示，風險評價3、具體的信息泄露風險和初步判斷依據(jù)安全運維可視化2024/8/26視角：管理和維護信息：業(yè)務狀態(tài)信息、安全事件告警、輔助分析數(shù)據(jù)需求：問題發(fā)現(xiàn)和事件分析細分角度：安不安全一目了然需求信息：直觀、全面的掌握網絡和安全狀態(tài)細分角度：事件處理和問題分析需求信息：告警區(qū)分哪些是最關鍵的，輔助分析形成證據(jù)鏈展示首頁2024/8/261、業(yè)務資產可視，自動發(fā)現(xiàn)，顏色區(qū)分安全評級2、業(yè)務邏輯可視，顏色區(qū)分是否有威脅3、四組數(shù)據(jù)告訴管理人員需要關注的問題01失陷業(yè)務2024/8/261、處理失陷業(yè)務，關注高可疑，跟蹤低可疑2、主要攻擊類型3、按照資產價值、風險評價的待處理問題列表01失陷業(yè)務分析2024/8/261、失陷或風險評價及依據(jù)2、誰在攻擊、是否失陷、還對誰產生了影響3、攻擊鏈分析，是否被當做跳板01失陷業(yè)務舉證2024/8/2602風險用戶2024/8/261、發(fā)現(xiàn)多少風險用戶（已失陷、高可疑），可能影響多數(shù)業(yè)務和用戶2、詳細的風險用戶清單和待處理列表02風險用戶分析2024/8/261、用戶風險判斷和處置建議2、該風險/失陷用戶訪問了哪些系統(tǒng)，可能產生什么影響02風險用戶分析2024/8/261、用戶風險判斷和處置建議2、該風險/失陷用戶訪問了哪些用戶，追溯問題定位影響02風險用戶舉證2024/8/261、失陷/風險判斷依據(jù)，就行有哪些攻擊/風險行為03有效攻擊2024/8/261、多維度評價，關聯(lián)攻擊鏈，讓管理員重點關注有效攻擊，知道影響范圍2、詳細的有效攻擊清單和待處理列表03有效攻擊舉證2024/8/261、誰被攻擊，攻擊造成的后果3、如何攻擊，攻擊的手段和詳細日志記錄2、誰在攻擊04外