孫震-云端威脅的智能化監(jiān)測與防護

IxiaChina應(yīng)用和安全業(yè)務(wù)發(fā)展總監(jiān)全網(wǎng)絡(luò)流量可視化和分析基于云端的惡意IP攔截技術(shù)LAB環(huán)境里再現(xiàn)真實世界流量分析tyOperations企業(yè)網(wǎng)全環(huán)境可視化系統(tǒng)tyOperationsApplicationerationsn精細化追蹤特定信息的詳細深入分析各層次數(shù)據(jù)統(tǒng)計找ATIPATIPAnalysis找ATIPATIPAnalysisATIPDataSSNATIPDataSSN:XXX-XX-XXXXCreditCard:XXXXXXXXXXXXXXXName:XXXXXXXXXBirthday:XX/XX/XXXXSourceSourceDataSSN:123-45-6789CreditCard:1234567890Name:JohnSmithBirthday:03/19/1963IP術(shù)“企業(yè)每年21,000小時被用于處理誤報的安全報警”值得分析的流量每值得分析的流量值得分析：可能有價值的流量您的網(wǎng)絡(luò)不您的網(wǎng)絡(luò)已知惡意軟件網(wǎng)站被劫持被劫持IP未登記的IPs無關(guān)的地區(qū)約6,300小時;0萬美金運營費用企業(yè)內(nèi)網(wǎng)構(gòu)上部署ThreatArmor減少受攻擊面約6,300小時;0萬美金運營費用企業(yè)內(nèi)網(wǎng)分鐘一次惡意IP庫更新安安全防御架構(gòu)未注冊的IP被劫持的IPciousIP無關(guān)地區(qū)的IPIP系統(tǒng)AnalysisWhitelistAnalysisWhitelist2.InternetScanningneypots4.SPAM5.Binaries6.SandboxesyAVDetAVDetectionPhishingEngineSignaturesSSandboxExecutionSourceFeeds開源，付費，合作InternetScanning7×24小時識別病毒和漏洞SourceFeeds開源，付費，合作InternetScanning7×24小時識別病毒和漏洞sSSHFTPRDPVoIP,HTTP等服務(wù)SPAMBinariesAnalysisSandboxes??????進入系統(tǒng)前會逐個進行再驗證和確認7×24小時掃描，病毒網(wǎng)站直接入庫，有漏洞網(wǎng)站進入特殊序列以做再掃描全球部署，ixia定制蜜罐，記錄試圖連接者，以做近一步檢查釣魚網(wǎng)站探測，自學(xué)習引擎，人工確認確認一個Site是否有惡意行為的最后關(guān)鍵一步；AV引擎，靜態(tài)對比,機器學(xué)習,沙箱…帶有ixia特征庫的沙箱1.100%確認2.完整清晰的證據(jù)3.以行為為依據(jù)，丌做道德等其它判斷4.周期性復(fù)查5.被修復(fù)IP從庫移除，但被永久保存監(jiān)控…...?Alexa/Quantcast排名前10,000的網(wǎng)站如:Facebook,Google,YouTube,etc.?云服務(wù)提供商:如：AmazonAWS,MicrosoftAzure,Salesforce,etc.?關(guān)鍵的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施：如：RootDNSservers,NTPservers,etc.?企業(yè)的IT應(yīng)用(來自于客戶)：如：Office365,AV/OSupdate,CDN,Office件2.宏文件下載了一個Locky病毒的變種5.根據(jù)惡意IP阻斷這個鏈接，而丌是根據(jù)病毒特征Detail：/company/blog/ixia’s-ati-research-center-protects-customers-another-zero-day-ransomware?網(wǎng)絡(luò)數(shù)據(jù)抓包存儲＋高速網(wǎng)卡發(fā)送?昂貴，無狀態(tài)，丌可測量，丌可控?Markov勱態(tài)可讀文本?三個要素：流量內(nèi)容＋流量形態(tài)＋高性能ATIAug016trikesCVE-2014-0422OSVDB-101997keexploitsasandboxbypassvulnerabilitythatexistsinCVSS-10.0(AV:N/AC:L/Au:N/C:C/I:C/A:C)ThisstrikeexploitsaHPDataprotectorservicevulnerability.CVE-2014-0286OSVDB-103184itsauseafterfreeerrortriggeredwhenMicrosoftInternetExplorerhandlesDOMrewriteswhenproccessingcertainwebpages.CVE-2013-6040ThisstrikeexploitsbufferoverflowvulnerabilitywithintheMW6TechnologiesActiveXControl.urlhttpwwwhoneynetorgnode38sstrikesimulatetheDNSfastfluxattackE7-g5601CachePoisoningAttacktoreBlackPOSAttackSimulationtinvePOSattackanNTPModeReflectionDistributedDenialofServiceAttackOSVDB-101195CVE-2013-6810ThisstrikeexploitsaEMCConnectrixManagerConvergedNetworkmentsuiteURL/exploits/30063/CVSS7.8(AV:N/AC:L/Au:N/C:C/I:N/A:N)ThisstrikeexploitsavulnerabilityinsidetheDZSVideoGalleryWordPressplugi