深信服安全感知平台解决方案——构建安全大脑,让安全可感知、易运营01客户为什么需要安全感知能力CONTENT02如何为客户构建安全大脑03最佳实践客户为什么需要安全感知能力01“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了419讲话---习主席2016.4全天候全方位感知网络安全态势。加强网络安全态势感知、监测预警和应急处置能力建设《“十三五”国家信息化规划》2016.12使得网络安全有法可依,各行业更加重视网络安全建设网络安全法开始实施2017.6对网络行为、潜伏未知威胁进行持续检测和分析等保2.0标准即将发布背景介绍2017年5月,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题WannaCry传统安全体系的挑战之一:看不见国内多个互联网公司数据泄露就在2017年上半年,国内多个互联网企业的用户隐私信息遭到泄露,甚至是售卖,影响恶劣。根因:以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等)缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力传统安全体系的挑战之二:看不懂根因:各类安全日志数量大、分散,且异构,看不过来、看不懂客户平均每天生成安全告警日志多达上万条各类安全日志分散在各种安全设备上安全日志以安全事件角度展示传统安全体系的挑战之三:响应慢防火墙IPSIDS下一代防火墙数据库审计WAFVPN根因:安全人才数量少,难培养,不能多精;UTM上网行为管理防毒墙邮件网关身份认证安全审计漏扫抗DDOS安全产品众多人力运维难度大如何应对?数据中心广域网局域网行为分析、机器学习UEBA、专家辅助潜伏威胁探针下一代防火墙主机EDR潜伏威胁探针下一代防火墙运维处置可视化领导决策可视化我现在安全吗?哪里不安全?造成了什么危害?我该如何处置?安全大脑构建一个可感知、易运营的安全大脑外部威胁情报可感知:有对高级攻击、潜伏威胁的发现能力易运营:能看得懂安全,能快速处置威胁安全大脑的核心能力海量数据采集能力以全流量数据采集为主以各类设备日志收集为辅精准检测能力机器学习算法检测UEBA检测横向威胁检测全局可视能力宏观可视辅助决策微观可视辅助运维协同响应能力多设备协同联动一键封堵、一键查杀如何为客户构建一个“安全大脑”025、部署架构internet云沙盒威胁情报云眼云盾在线专家快速响应云脑分支分支互联网接入区核心层办公区传统数据中心区虚拟化中心区VSSEDR本地安全大脑技术架构检测算法业务识别全流量检测UEBA关联分析行为分析机器学习大数据资产识别用户识别业务分类脆弱性检测访问关系检测&分析处置&响应整体安全态势业务安全风险Killchain趋势异常行为画像横向威胁分析安全失陷举证业务访问关系交付&可视构建准确的检测模型为业务决策服务的可视化防御设备检测设备流量探针威胁情报云端沙箱终端安全软件来源&提取提取有效数据来源协同联动+人工服务NGAF联动封堵EDR联动查杀上网行为管理联动提醒安全专家人工服务最新国内外威胁情报联盟成员:virustotal、CNVD、CNNVD等基于客户网络态势推送精准可落地的威胁情报③威胁情报、辅助检测在内部关键节点部署探针,主动提取信息联动边界、终端自有产品,无缝对接,主动提取①自主全流量数据分析为主基于标准格式收集第三方日志收集基于业务、资产、用户、应用等维度的主动信息提取全量检测主动提取②第三方设备广泛收集海量数据采集能力创新引入机器学习、大数据技术提高检测率精准检测能力攻防专家数据科学家攻防对抗人工智能大数据分析HTTPFlow分析引擎NETFlow分析引擎DNSFlow分析引擎SMBFlow分析引擎SMTPFlow分析引擎xxx分析引擎LSTM较N-gram有显著提升在“能否检测出僵尸网络”问题上达到99.7%的F值(精确率和检出率的综合指标)在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。安全分析师全局可视能力:宏观辅助决策全网安全态势可视外部攻击态势可视内部横向威胁可视脆弱性可视全局可视能力:微观精准运营业务维度可视攻击链可视详细威胁举证影响面分析协同响应...
