深信服安全感知平臺(tái)(內(nèi)部資料)

安全感知平臺(tái)深信服安全BU2024/10/122目錄124為什么需要強(qiáng)化安全檢測(cè)能力傳統(tǒng)信息安全防護(hù)體系的問(wèn)題安全感知平臺(tái)能解決什么問(wèn)題3如何構(gòu)建企業(yè)級(jí)安全感知能力3攻擊被發(fā)現(xiàn)的平均時(shí)間229天企業(yè)自行發(fā)現(xiàn)的比例33%小時(shí)月天/周發(fā)現(xiàn)補(bǔ)救實(shí)施攻擊入侵得手問(wèn)題不再是是否被黑，而是什么時(shí)候被黑和你什么時(shí)候發(fā)現(xiàn)被黑攻防不對(duì)等導(dǎo)致黑客屢屢得手攻擊者有大量手段進(jìn)入內(nèi)網(wǎng)而且，往往進(jìn)入內(nèi)網(wǎng)后就是一馬平川沒(méi)有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性，一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了。結(jié)果是“誰(shuí)進(jìn)來(lái)了不知道、是敵是友不知道、干了什么不知道”，長(zhǎng)期“潛伏”在里面，一旦有事就發(fā)作了。----習(xí)近平主席的419網(wǎng)絡(luò)安全講話加大持續(xù)檢測(cè)和快速響應(yīng)的投入用戶應(yīng)該大幅提升安全檢測(cè)手段的投資，應(yīng)該占到整體安全投資的30%以上。預(yù)計(jì)到2020年，安全檢測(cè)和響應(yīng)的投資將從10%增長(zhǎng)到60%source：Gartner2014source：《網(wǎng)絡(luò)安全法》第五章監(jiān)測(cè)預(yù)警與應(yīng)急處置第五十一條國(guó)家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。2024/10/128目錄124為什么需要強(qiáng)化安全檢測(cè)能力傳統(tǒng)信息安全防護(hù)體系的問(wèn)題安全感知平臺(tái)能解決什么問(wèn)題3如何構(gòu)建企業(yè)級(jí)安全感知能力9看不清業(yè)務(wù)看不清的新增資產(chǎn)產(chǎn)生安全洼地

快速靈活的業(yè)務(wù)模式Vs滯后的資產(chǎn)管理

業(yè)務(wù)驅(qū)動(dòng)的管理模式Vs安全總落后一步看不清的業(yè)務(wù)關(guān)系使業(yè)務(wù)安全防護(hù)失效

不知道正常業(yè)務(wù)邏輯Vs如何發(fā)現(xiàn)異常攻擊

不清楚合法用戶行為Vs談何檢測(cè)惡意用戶缺乏有效手段主動(dòng)識(shí)別新增業(yè)務(wù)

定期巡檢+人工梳理Vs虛擬化環(huán)境一鍵申請(qǐng)資產(chǎn)

靜態(tài)策略+層層審批Vs敏捷開(kāi)發(fā)與快速應(yīng)用迭代

2024/10/1210看不清新增資產(chǎn)產(chǎn)生安全洼地理應(yīng)下線的測(cè)試系統(tǒng)無(wú)人管理，被黑客利用作為跳板進(jìn)入內(nèi)網(wǎng)。某業(yè)務(wù)部門趕進(jìn)度未經(jīng)審批和測(cè)試，倉(cāng)促發(fā)布新業(yè)務(wù)，不但自己被黑還導(dǎo)致同一安全域其他系統(tǒng)遭殃2024/10/12看不見(jiàn)內(nèi)網(wǎng)潛藏威脅看不見(jiàn)的內(nèi)部橫向攻擊多系統(tǒng)交互和數(shù)據(jù)共享

更加頻繁的東西向交互Vs分級(jí)分域的安全管控

安全防護(hù)多數(shù)只關(guān)注南北向看不見(jiàn)的違規(guī)操作黑客更多地表現(xiàn)為偽裝合法用戶

非暴力，越權(quán)訪問(wèn)，違規(guī)但不含攻擊特征Vs基于病毒、漏洞利用等惡意特征匹配

無(wú)法發(fā)現(xiàn)偽裝合法用戶的攻擊看不見(jiàn)的異常行為

滲透目標(biāo)從破壞性轉(zhuǎn)為信息竊取

更善于隱蔽，隱寫(xiě)、加密、偽裝成為常態(tài)Vs特征匹配式檢測(cè)+只關(guān)注當(dāng)前數(shù)據(jù)包

無(wú)法從海量信息中發(fā)現(xiàn)細(xì)微的蛛絲馬跡2024/10/1212看不見(jiàn)的內(nèi)網(wǎng)違規(guī)操作通過(guò)欺騙、偽裝的方式獲得了用戶名口令，偽裝成內(nèi)部員工，直接下載敏感數(shù)據(jù)通過(guò)釣魚(yú)郵件獲取管理員賬號(hào)、數(shù)據(jù)庫(kù)口令，進(jìn)而為所欲為。2024/10/12看不見(jiàn)內(nèi)網(wǎng)攻擊和異常行為組織內(nèi)部員工不滿或者內(nèi)外勾結(jié)進(jìn)行攻擊滲透，既熟悉業(yè)務(wù)又有合法身份，防不勝防核心業(yè)務(wù)已經(jīng)被植入木馬，通過(guò)隱蔽信道外發(fā)敏感數(shù)據(jù)，信道加密且符合正常邏輯14那么，問(wèn)題到底出在哪里？“盲人摸象”，缺乏全局視角，不知道也不懂自己保護(hù)的對(duì)象“靜態(tài)防御”，無(wú)法檢測(cè)攻擊者多點(diǎn)滲透、靈活多變的打法

“敵暗我明”，無(wú)法應(yīng)對(duì)攻擊者從大張旗鼓到暗度陳倉(cāng)的變化2024/10/1215目錄124為什么需要強(qiáng)化安全檢測(cè)能力傳統(tǒng)信息安全防護(hù)體系的問(wèn)題安全感知平臺(tái)能解決什么問(wèn)題3如何構(gòu)建企業(yè)級(jí)安全感知能力全網(wǎng)安全感知和響應(yīng)平臺(tái)基于大數(shù)據(jù)、機(jī)器學(xué)習(xí)移動(dòng)、桌面網(wǎng)絡(luò)虛擬化云平臺(tái)無(wú)線WIPS：釣魚(yú)WiFi密碼爆破無(wú)線攻擊探針檢測(cè)：采集流量、感知資產(chǎn)、網(wǎng)絡(luò)、漏洞變化EDR：軟件重構(gòu)邊界采集異常行為快速聯(lián)動(dòng)響應(yīng)EMM：安全狀態(tài)檢測(cè)應(yīng)用數(shù)據(jù)隔離行為檢測(cè)NGAF、VPN、上網(wǎng)行為管理云端檢測(cè)平臺(tái)：網(wǎng)站安全監(jiān)測(cè)平臺(tái)（漏洞、黑鏈、篡改、敏感詞等）什么是安全感知2024/10/12總體技術(shù)架構(gòu)數(shù)據(jù)中心區(qū)辦公A區(qū)辦公B區(qū)DMZ區(qū)管理區(qū)潛伏威脅新技術(shù)：大數(shù)據(jù)、機(jī)器學(xué)習(xí)威脅建模、行為分析1、潛伏威脅探針2、安全感知平臺(tái)黑客成功入侵了，你還不知道？威脅情報(bào)全面發(fā)現(xiàn)各種潛伏威脅安全感知的快速部署19潛伏威脅探針部署位置建議一個(gè)信息匯集分析中心-----織網(wǎng)蛛的大腦多個(gè)散布的信息采集點(diǎn)-----踩在不同經(jīng)線的蛛腿2024/10/1220深信服全網(wǎng)安全可視看懂風(fēng)險(xiǎn)看到風(fēng)險(xiǎn)看清關(guān)系看見(jiàn)資產(chǎn)評(píng)價(jià)一個(gè)系統(tǒng)：功能、要素、關(guān)系深度整合智能認(rèn)知快速發(fā)現(xiàn)2024/10/1221目錄124為什么需要強(qiáng)化安全檢測(cè)能力傳統(tǒng)信息安全防護(hù)體系的問(wèn)題安全感知平臺(tái)能解決什么問(wèn)題3如何構(gòu)建企業(yè)級(jí)安全感知能力信息安全治理架構(gòu)2024/10/12企業(yè)治理IT治理業(yè)務(wù)連續(xù)信息安全I(xiàn)T安全基礎(chǔ)體系ISO13335Etc.ISO15408etc.ISO20000ISO27001CMMIetc.ITIL安全治理可視化運(yùn)維管理可視化安全治理可視化2024/10/12視角：領(lǐng)導(dǎo)和決策信息：全網(wǎng)安全威脅和安全狀態(tài)需求：數(shù)據(jù)支撐決策細(xì)分角度：關(guān)注外部攻擊需求信息：誰(shuí)、什么方式、攻擊了哪里細(xì)分角度：安全綜合管理需求信息：分支-總部訪問(wèn)安全，分支安全評(píng)價(jià)細(xì)分角度：關(guān)注數(shù)據(jù)安全，防泄密需求信息：什么數(shù)據(jù)出去了，有沒(méi)有安全隱患攻擊態(tài)勢(shì)可視化2024/10/121、有多少安全事件，哪里遭受攻擊2、誰(shuí)在攻擊我，具體來(lái)自哪里3、有哪些高危攻擊需要督促運(yùn)維人員處理安全態(tài)勢(shì)可視化2024/10/121、基于GIS展示的全網(wǎng)態(tài)勢(shì)感知2、業(yè)務(wù)和信息系統(tǒng)安全綜合評(píng)價(jià)3、分支機(jī)構(gòu)安全態(tài)勢(shì)評(píng)價(jià)和需關(guān)注的事件外聯(lián)攻擊可視化2024/10/121、基于GIS的信息外連展示（國(guó)內(nèi)/國(guó)際）2、外連態(tài)勢(shì)關(guān)鍵數(shù)據(jù)展示，風(fēng)險(xiǎn)評(píng)價(jià)3、具體的信息泄露風(fēng)險(xiǎn)和初步判斷依據(jù)安全運(yùn)維可視化2024/10/12視角：管理和維護(hù)信息：業(yè)務(wù)狀態(tài)信息、安全事件告警、輔助分析數(shù)據(jù)需求：?jiǎn)栴}發(fā)現(xiàn)和事件分析細(xì)分角度：安不安全一目了然需求信息：直觀、全面的掌握網(wǎng)絡(luò)和安全狀態(tài)細(xì)分角度：事件處理和問(wèn)題分析需求信息：告警區(qū)分哪些是最關(guān)鍵的，輔助分析形成證據(jù)鏈展示首頁(yè)2024/10/121、業(yè)務(wù)資產(chǎn)可視，自動(dòng)發(fā)現(xiàn)，顏色區(qū)分安全評(píng)級(jí)2、業(yè)務(wù)邏輯可視，顏色區(qū)分是否有威脅3、四組數(shù)據(jù)告訴管理人員需要關(guān)注的問(wèn)題01失陷業(yè)務(wù)2024/10/121、處理失陷業(yè)務(wù)，關(guān)注高可疑，跟蹤低可疑2、主要攻擊類型3、按照資產(chǎn)價(jià)值、風(fēng)險(xiǎn)評(píng)價(jià)的待處理問(wèn)題列表01失陷業(yè)務(wù)分析2024/10/121、失陷或風(fēng)險(xiǎn)評(píng)價(jià)及依據(jù)2、誰(shuí)在攻擊、是否失陷、還對(duì)誰(shuí)產(chǎn)生了影響3、攻擊鏈分析，是否被當(dāng)做跳板01失陷業(yè)務(wù)舉證2024/10/1202風(fēng)險(xiǎn)用戶2024/10/121、發(fā)現(xiàn)多少風(fēng)險(xiǎn)用戶（已失陷、高可疑），可能影響多數(shù)業(yè)務(wù)和用戶2、詳細(xì)的風(fēng)險(xiǎn)用戶清單和待處理列表02風(fēng)險(xiǎn)用戶分析2024/10/121、用戶風(fēng)險(xiǎn)判斷和處置建議2、該風(fēng)險(xiǎn)/失陷用戶訪問(wèn)了哪些系統(tǒng)，可能產(chǎn)生什么影響02風(fēng)險(xiǎn)用戶分析2024/10/121、用戶風(fēng)險(xiǎn)判斷和處置建議2、該風(fēng)險(xiǎn)/失陷用戶訪問(wèn)了哪些用戶，追溯問(wèn)題定位影響02風(fēng)險(xiǎn)用戶舉證2024/10/121、失陷/風(fēng)險(xiǎn)判斷依據(jù)，就行有哪些攻擊/風(fēng)險(xiǎn)行為03有效攻擊2024/10/121、多維度評(píng)價(jià)，關(guān)聯(lián)攻擊鏈，讓管理員重點(diǎn)關(guān)注有效攻擊，知道影響范圍2、詳細(xì)的有效攻擊清單和待處理列表03有效攻擊舉證2024/10/121、誰(shuí)被攻擊，攻擊造成的后果3、如何攻擊，攻擊的手段和詳細(xì)日志記錄2、誰(shuí)在攻擊04外連