深信服安全感知平臺(內(nèi)部資料)

安全感知平臺深信服安全BU2024/10/122目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構(gòu)建企業(yè)級安全感知能力3攻擊被發(fā)現(xiàn)的平均時間229天企業(yè)自行發(fā)現(xiàn)的比例33%小時月天/周發(fā)現(xiàn)補救實施攻擊入侵得手問題不再是是否被黑，而是什么時候被黑和你什么時候發(fā)現(xiàn)被黑攻防不對等導(dǎo)致黑客屢屢得手攻擊者有大量手段進入內(nèi)網(wǎng)而且，往往進入內(nèi)網(wǎng)后就是一馬平川沒有意識到風(fēng)險是最大的風(fēng)險。網(wǎng)絡(luò)安全具有很強的隱蔽性，一個技術(shù)漏洞、安全風(fēng)險可能隱藏幾年都發(fā)現(xiàn)不了。結(jié)果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。----習(xí)近平主席的419網(wǎng)絡(luò)安全講話加大持續(xù)檢測和快速響應(yīng)的投入用戶應(yīng)該大幅提升安全檢測手段的投資，應(yīng)該占到整體安全投資的30%以上。預(yù)計到2020年，安全檢測和響應(yīng)的投資將從10%增長到60%source：Gartner2014source：《網(wǎng)絡(luò)安全法》第五章監(jiān)測預(yù)警與應(yīng)急處置第五十一條國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。2024/10/128目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構(gòu)建企業(yè)級安全感知能力9看不清業(yè)務(wù)看不清的新增資產(chǎn)產(chǎn)生安全洼地

快速靈活的業(yè)務(wù)模式Vs滯后的資產(chǎn)管理

業(yè)務(wù)驅(qū)動的管理模式Vs安全總落后一步看不清的業(yè)務(wù)關(guān)系使業(yè)務(wù)安全防護失效

不知道正常業(yè)務(wù)邏輯Vs如何發(fā)現(xiàn)異常攻擊

不清楚合法用戶行為Vs談何檢測惡意用戶缺乏有效手段主動識別新增業(yè)務(wù)

定期巡檢+人工梳理Vs虛擬化環(huán)境一鍵申請資產(chǎn)

靜態(tài)策略+層層審批Vs敏捷開發(fā)與快速應(yīng)用迭代

2024/10/1210看不清新增資產(chǎn)產(chǎn)生安全洼地理應(yīng)下線的測試系統(tǒng)無人管理，被黑客利用作為跳板進入內(nèi)網(wǎng)。某業(yè)務(wù)部門趕進度未經(jīng)審批和測試，倉促發(fā)布新業(yè)務(wù)，不但自己被黑還導(dǎo)致同一安全域其他系統(tǒng)遭殃2024/10/12看不見內(nèi)網(wǎng)潛藏威脅看不見的內(nèi)部橫向攻擊多系統(tǒng)交互和數(shù)據(jù)共享

更加頻繁的東西向交互Vs分級分域的安全管控

安全防護多數(shù)只關(guān)注南北向看不見的違規(guī)操作黑客更多地表現(xiàn)為偽裝合法用戶

非暴力，越權(quán)訪問，違規(guī)但不含攻擊特征Vs基于病毒、漏洞利用等惡意特征匹配

無法發(fā)現(xiàn)偽裝合法用戶的攻擊看不見的異常行為

滲透目標從破壞性轉(zhuǎn)為信息竊取

更善于隱蔽，隱寫、加密、偽裝成為常態(tài)Vs特征匹配式檢測+只關(guān)注當(dāng)前數(shù)據(jù)包

無法從海量信息中發(fā)現(xiàn)細微的蛛絲馬跡2024/10/1212看不見的內(nèi)網(wǎng)違規(guī)操作通過欺騙、偽裝的方式獲得了用戶名口令，偽裝成內(nèi)部員工，直接下載敏感數(shù)據(jù)通過釣魚郵件獲取管理員賬號、數(shù)據(jù)庫口令，進而為所欲為。2024/10/12看不見內(nèi)網(wǎng)攻擊和異常行為組織內(nèi)部員工不滿或者內(nèi)外勾結(jié)進行攻擊滲透，既熟悉業(yè)務(wù)又有合法身份，防不勝防核心業(yè)務(wù)已經(jīng)被植入木馬，通過隱蔽信道外發(fā)敏感數(shù)據(jù)，信道加密且符合正常邏輯14那么，問題到底出在哪里？“盲人摸象”，缺乏全局視角，不知道也不懂自己保護的對象“靜態(tài)防御”，無法檢測攻擊者多點滲透、靈活多變的打法

“敵暗我明”，無法應(yīng)對攻擊者從大張旗鼓到暗度陳倉的變化2024/10/1215目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構(gòu)建企業(yè)級安全感知能力全網(wǎng)安全感知和響應(yīng)平臺基于大數(shù)據(jù)、機器學(xué)習(xí)移動、桌面網(wǎng)絡(luò)虛擬化云平臺無線WIPS：釣魚WiFi密碼爆破無線攻擊探針檢測：采集流量、感知資產(chǎn)、網(wǎng)絡(luò)、漏洞變化EDR：軟件重構(gòu)邊界采集異常行為快速聯(lián)動響應(yīng)EMM：安全狀態(tài)檢測應(yīng)用數(shù)據(jù)隔離行為檢測NGAF、VPN、上網(wǎng)行為管理云端檢測平臺：網(wǎng)站安全監(jiān)測平臺（漏洞、黑鏈、篡改、敏感詞等）什么是安全感知2024/10/12總體技術(shù)架構(gòu)數(shù)據(jù)中心區(qū)辦公A區(qū)辦公B區(qū)DMZ區(qū)管理區(qū)潛伏威脅新技術(shù)：大數(shù)據(jù)、機器學(xué)習(xí)威脅建模、行為分析1、潛伏威脅探針2、安全感知平臺黑客成功入侵了，你還不知道？威脅情報全面發(fā)現(xiàn)各種潛伏威脅安全感知的快速部署19潛伏威脅探針部署位置建議一個信息匯集分析中心-----織網(wǎng)蛛的大腦多個散布的信息采集點-----踩在不同經(jīng)線的蛛腿2024/10/1220深信服全網(wǎng)安全可視看懂風(fēng)險看到風(fēng)險看清關(guān)系看見資產(chǎn)評價一個系統(tǒng)：功能、要素、關(guān)系深度整合智能認知快速發(fā)現(xiàn)2024/10/1221目錄124為什么需要強化安全檢測能力傳統(tǒng)信息安全防護體系的問題安全感知平臺能解決什么問題3如何構(gòu)建企業(yè)級安全感知能力信息安全治理架構(gòu)2024/10/12企業(yè)治理IT治理業(yè)務(wù)連續(xù)信息安全IT安全基礎(chǔ)體系ISO13335Etc.ISO15408etc.ISO20000ISO27001CMMIetc.ITIL安全治理可視化運維管理可視化安全治理可視化2024/10/12視角：領(lǐng)導(dǎo)和決策信息：全網(wǎng)安全威脅和安全狀態(tài)需求：數(shù)據(jù)支撐決策細分角度：關(guān)注外部攻擊需求信息：誰、什么方式、攻擊了哪里細分角度：安全綜合管理需求信息：分支-總部訪問安全，分支安全評價細分角度：關(guān)注數(shù)據(jù)安全，防泄密需求信息：什么數(shù)據(jù)出去了，有沒有安全隱患攻擊態(tài)勢可視化2024/10/121、有多少安全事件，哪里遭受攻擊2、誰在攻擊我，具體來自哪里3、有哪些高危攻擊需要督促運維人員處理安全態(tài)勢可視化2024/10/121、基于GIS展示的全網(wǎng)態(tài)勢感知2、業(yè)務(wù)和信息系統(tǒng)安全綜合評價3、分支機構(gòu)安全態(tài)勢評價和需關(guān)注的事件外聯(lián)攻擊可視化2024/10/121、基于GIS的信息外連展示（國內(nèi)/國際）2、外連態(tài)勢關(guān)鍵數(shù)據(jù)展示，風(fēng)險評價3、具體的信息泄露風(fēng)險和初步判斷依據(jù)安全運維可視化2024/10/12視角：管理和維護信息：業(yè)務(wù)狀態(tài)信息、安全事件告警、輔助分析數(shù)據(jù)需求：問題發(fā)現(xiàn)和事件分析細分角度：安不安全一目了然需求信息：直觀、全面的掌握網(wǎng)絡(luò)和安全狀態(tài)細分角度：事件處理和問題分析需求信息：告警區(qū)分哪些是最關(guān)鍵的，輔助分析形成證據(jù)鏈展示首頁2024/10/121、業(yè)務(wù)資產(chǎn)可視，自動發(fā)現(xiàn)，顏色區(qū)分安全評級2、業(yè)務(wù)邏輯可視，顏色區(qū)分是否有威脅3、四組數(shù)據(jù)告訴管理人員需要關(guān)注的問題01失陷業(yè)務(wù)2024/10/121、處理失陷業(yè)務(wù)，關(guān)注高可疑，跟蹤低可疑2、主要攻擊類型3、按照資產(chǎn)價值、風(fēng)險評價的待處理問題列表01失陷業(yè)務(wù)分析2024/10/121、失陷或風(fēng)險評價及依據(jù)2、誰在攻擊、是否失陷、還對誰產(chǎn)生了影響3、攻擊鏈分析，是否被當(dāng)做跳板01失陷業(yè)務(wù)舉證2024/10/1202風(fēng)險用戶2024/10/121、發(fā)現(xiàn)多少風(fēng)險用戶（已失陷、高可疑），可能影響多數(shù)業(yè)務(wù)和用戶2、詳細的風(fēng)險用戶清單和待處理列表02風(fēng)險用戶分析2024/10/121、用戶風(fēng)險判斷和處置建議2、該風(fēng)險/失陷用戶訪問了哪些系統(tǒng)，可能產(chǎn)生什么影響02風(fēng)險用戶分析2024/10/121、用戶風(fēng)險判斷和處置建議2、該風(fēng)險/失陷用戶訪問了哪些用戶，追溯問題定位影響02風(fēng)險用戶舉證2024/10/121、失陷/風(fēng)險判斷依據(jù)，就行有哪些攻擊/風(fēng)險行為03有效攻擊2024/10/121、多維度評價，關(guān)聯(lián)攻擊鏈，讓管理員重點關(guān)注有效攻擊，知道影響范圍2、詳細的有效攻擊清單和待處理列表03有效攻擊舉證2024/10/121、誰被攻擊，攻擊造成的后果3、如何攻擊，攻擊的手段和詳細日志記錄2、誰在攻擊04外連