信息安全-深信服安全感知

AF下一代防火墙
潜伏威胁探针
EDR EDR EDR
EDR
核心区
EDR EDR EDR 办公区
潜伏威胁探针 EDR EDR EDR 分支区
协同响应能力-配套专家服务深度解析
安全可视化 安全专家服务
掌握安全态势 分析处理威胁
威胁分析 事件处置 溯源分析 加固建议
交付物 《威胁分析报告》 《事件处置报告》 《溯源分析报告》 《安全加固方案》
云端安全 服务平台
安全云脑 平台
安全感知平台工作流程
全流量+安全数据有效采集
智能分析+深度挖掘
态势感知+风险可视
协同响应+专家服务
威胁情报 网络流量 安全设备 主机日志
安全态势感知 深度风险可视
云脑
AF
EDR
安服
安全感知核心能力
精准检测能力
持续监测安全威胁 智能分析新型威胁 深度深掘异常行为 提前发现潜在风险
speeh4ab5893940.me speeh062e9c0b96.cloud
speeh062e9c0b96.vip speehe34a33001b.cloud
DNS隧道检测 APT检测能力
在交通建设股份发现海莲花APT事件，使用 IOcUYAAAAAAAAAAAAAAAAAAAAAAAACO.co.uk这样的DNS隧道传输数据
02 检测能力弱
检测能力过度依赖原有的 安全设备的日志或外部的威 胁情报，部分厂商还采用传 统基于特征、规则静态匹配 方式，难以有效发现内部潜 在的安全威胁。
04 运维繁琐复杂
安全告警内容专业性强， 运维人员读不懂，日志之间 关联少，缺乏详细举证，且 无推理总结性描述；难以联 动安全组件进行处置闭环；
安全感知平台架构
展示与 应用层
安全态势 安全预警
威胁监测 资产中心
脆弱性监测 报表／报告
MapReduce并行处理框架
大数据安全分析
安
关联分析
全
分
行为分析
析
机器学习
ＵＥＢＡ 特征匹配 协议分析
数据存储
Elastic Search存储
访问关系分析
安全态势
溯源分析
违规访问 资产识别
潜伏威胁
攻击态势
对
外
创新人工智能无特征技术 准确检测未知病毒
Wannacry、Badrabit 、 GlobeImposter及其变种
100%查杀
检出率
100.00% 80.00% 60.00% 40.00% 20.00% 0.00% 360
78.26%
96.76% 92.45% 89.45%
BitDefender
Avira
运维人员精力有限，处置效率低
看不到威胁的扩散，处置不彻底
根因分析： 设备之间难以协同响应，缺乏影响面分析
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
安全建设从被动防御到主动防御升级
被动防御
防御为主、被动响应
• 边界防护 • 入侵防护 • 主机杀毒
组织面临的安全挑战持续升级
暴露面越来越多
漏洞风险不可控
数字化转型驱动业务对外开放，导致大量业务暴露互联网 互联网+与云计算技术，导致物理边界模糊 互联互通、数据融合，带来的数据流转与交换，导致风险面增大
安全 挑战
18年CNVD收录14201个安全漏洞 18年零日漏洞收录数量持续走高，达到5381个 18年基础软硬件严重漏洞频出，修复难度很大
病毒
攻击 规则
Web 模型 APT
shell 未知
攻击
安全 风险
威胁
分析
攻击
黑客
回溯
画像
安全威胁情报 安全规则更新
规则
安全能力增强
安全分析能力 未知威胁防护
算法
安全 感知 平台
IOC事件库 热门威胁事件库
事件
精准检测能力-新型威胁智能分析
原始数据 网络行为数据 文件Poayload 终端行为数据
机器学习分析引擎
隐蔽通道检测
DGA域名检测
新型Webshell 未知恶意文件
恶意流量行为 可疑邮件行为
异常行为检测
特权账号冒用
内部数据泄露
越权非法操作
绕过行为检测
违规访问行为
风险访问行为
精准检测能力-SAVE智能检测引擎
深信服人工智能检测引擎SAVE
SANGFOR AI-based Vanguard Engine
新型未知威胁难检测
看不见内网潜伏威胁
水坑攻击 鱼叉邮件攻击 零日漏洞攻击
黑客内部潜伏后预留的后门 伪装合法用户的违规操作行为 封装在正常协议中的异常数据外发
根因分析： 静态特征检测难以应对新型威胁，缺乏对内网攻击行为持续检测手段
当前安全建设遭遇瓶颈-看不清安全风险
看不清资产，看不到风险在哪里
缩小攻击面，提升攻击成本
主动防御
全面检测、快速响应
• 持续监测 • 智能分析 • 协同联动
提早发现，缩短检测和响应时间
构建防御、检测、响应于一体的主动防御体系，重点关注持续监测、快速响应能力建设
亟需补齐监测和响应能力的缺失
主动防御 体系
边界防护 主机杀毒
持续检测
❌
快速响应
❌
全局可视
❌
威胁检测、响应建设成趋势
安全态势感知落地过程中常见的问题
态势感知等于“地图炮”？？？
01 落地难投入大
基于采集的各类日志进 行关联分析或直接分析， 由于厂商之间日志差异性 大、往往很难去重合并， 日志关联性不强，需要投 入大量的人员进行分析。
03 安全可视差
呈现的是大量的攻击日 志，忽视基于业务维度的 风险可视；威胁、漏洞、 资产三者之间往往孤立管 理，缺乏关联性，风险难 以全面掌控。
割裂的安全视角，难以看清安全全貌
看不到僵尸资产 管理员弱密码 系统存在高危漏洞
海量的安全日志，难以识别有效告警 日志内容专业性强，运维人员读不懂 日志之间关联少，无推理总结性描述
根因分析： 缺乏主动资产与脆弱性识别，安全设备相互割裂、难以深度关联分析，缺乏全局安全视角
当前安全建设遭遇瓶颈-问题响应处置慢
发现绕过防御的外部攻击
横向威胁实时监测
风险行为
横向攻击
违规行为
外连威胁实时检测
INTERNET
对 外 攻 击
隐 秘 通 信
C & C 控 制
违风 规险 访访 问问
可疑行为 发现内部横向渗透行为
失陷业务服务器
失陷终端
发现风险外连行为
精准检测能力-安全云脑持续赋能
深信服
安全设备
厂商
安全情报
全网
安全信息
全局可视能力
资产与脆弱性可视 业务风险可视 威胁影响面可视 综合安全态势可视
协同响应能力
多设备协同联动 一键封堵、一键查杀 一键隔离、一键提醒 高级人工服务MDR
海量数据有效采集
全流量数据提取 各类安全日志采集 实时威胁情报同步
精准检测能力-安全威胁持续监测
外部威胁实时监测
高危攻击 残余攻击 暴力破解 恶意文件 风险访问
• 对于大型企业、关键行业而言，及时发现网络中的潜在威胁并进行快速响应 也是极为重要的事情。对此，IDC认为，网络安全主动防御体系必须有能力 应对下一代先进的自动化攻击手段，相关技术将会在网络安全防御解决方案 中发挥积极而重要的作用，在中国与之对应的是网络安全态势感知解决方案。 网络安全态势感知解决方案将成为防御体系中的核心指挥中心，将不同安全 组件有机结合、合理编排，提升防御门槛，消减攻击带来的危害。
全局可视能力-全网资产与脆弱性可视
网络信息系统
法务系统
产品信息系统
财务信息系统 ERP信息系统
审计系统
…
资产主动识别
资产洼地：僵尸资产 资产暴露面：风险端口开放
资产脆弱性：系统漏洞 资产脆弱性：弱密码 资产务脆弱性：明文传输
存在风险
全网资产可视 资产脆弱性可视
全局可视能力-风险深度可视高效运维
业务维度可视
《Gartner公布2019年七大安全和风险管理趋势》
• 该报告提到的第二大趋势指出：安全运营中心正在实施，重点是威胁检 测和响应。随着安全警报的复杂性和频率的增加，安全投资也从威胁防 御向威胁检测转变，这需要在安全运营中心方面进行投资。
感知威胁 防患未然 《IDC MarketScape：中国网络 安全态势感知解决方案2019》调研
2.下一代防火墙，融合 的边界防护，一键阻 断，智能封锁外部IP
安全态势感知
云端大数据智能分析中心
APT检测云服务
Internet
1.云端威胁情报实时同 步，快速应对新型威胁
3.快速定位终端用户， 告警页面自动提醒
安全感知平台，本地安 全大脑
4.端点安全EDR， AF下一代防火墙 一键查杀、微隔离
潜伏威胁探针
全分析平台和安全运营中心
全局可视
精准检测
协同响应
产品组件
全流量采集 基础威胁检测 实时漏洞分析
元数据提取 1.潜伏威胁探针
潜伏威胁
数据中心区
办公A区
管理区 办公B区
安全云脑
3.安全云脑
DMZ区
4.其他可选组件：本地沙箱、终端EDR、下一代防火墙等
威胁情报 云端智能分析
规则模型
2.安全感知平台
大数据架构 机器学习算法 Flow行为分析引擎 用户行为建模
建议部署拓扑图
➢ 一个信息汇集分析中心 ----- 织网蛛的大脑
➢ 多个散布的信息采集点 ----- 踩在不同经线的蛛腿
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
持续创新，引领技术
• 13年技术积累，基于全流量的深度挖掘能力国内第一；
脆弱性分析
威胁预警
接
口
MongoDB存储
数据预处理 数据采集
采集对象
网络设备
数据清洗 Syslog
安全设备
数据过滤
标准化
关联补齐
数据标签
SNMP
JDBC
ODBC
Webservice TCP/ＵＤＰ
主机/服务器 数据库 探针
中间件
应用/服务
云设施
平台对接Baidu Nhomakorabea
国家级监 测平台
行业监管 平台
第三方大 数据平台
攻防专家 安全分析师 数据科学院
安全云脑
高可用架构 海量数据汇聚 大数据分析与挖掘 多引擎综合判定 智能安全分析
威胁 情报
漏洞 情报 文件 情报 信誉 信誉
URL 域名 信誉 信誉
文件 云查
云
查杀
URL
域名
云查
云查
热门威胁5分钟响应 全球热点事件1小时响应 安全能力高频更新
响应速度变快
安全能力
僵尸
网络 Web
21.05% 34.34%
SAVE
泛化能力强
千万级样本的测试， 人工智能SAVE处于业界领先的水平
权威机构认可
精准检测能力-DNS异常检测
僵尸网络检测
僵尸网络检出率达到99.7%， 并能追溯病毒家族（业内领 先）
DGA检测
高检出、低误 报、强泛化
硬编码域名检测 域名独报率超过70%
独报的speeh僵尸网络家族
安全事件频发，安全形势日益严峻
平昌冬奥会开幕式当天，冬奥网站被攻击
中国某军工企业被美、俄两国黑客攻击
… …
2018.2
2018.2
2018.3
2018.3
台积电遭到勒索病毒攻击
2018.8
2018.8 To Be Continued
医疗行业勒索事件爆发
思科高危漏洞清明期间被利用
多个行业受到Globelmposter攻击
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
国家高度重视网络安全建设
习主席4.19讲话
网络安全法
十三五信息化规划
网络安全等级保护2.0
没有网络安全就没有国家安全 树立动态、综合防护的防护理念 全天候全方位感知网络安全态势 构建关键基础设施安全保障体系 对新型威胁进行持续检测和分析
攻击链关联
安全事件举证
影响面分析
攻击入口点 溯源
元数据取证
全局可视能力-综合态势可视辅助决策
全网安全态势可视
外部攻击态势 可视
横向攻击态势 可视
业务外连风险可视
业务脆弱性与风险 可视
协同响应能力-云网端联动辅助闭环
全球威胁情报共享中心
Virus 网页恶意代码（http） 黑客
邮件病毒 Email virus
大
数
据 时间序列分析
二类分类
多类分类
聚类
分
析
DNS flow引擎
SMTP flow引 擎
POP3 flow引 擎
HTTP flow引 擎
SMB flow引擎
AD flow引擎
离群点检测 IMAP flow引
擎
文件鉴定引擎
异常行为分析建模
长
周
期
用户行为
分
析
场景建模
流量行为 算法集合
操作行为 专家规则
高级威胁检测
安全态势感知核心要素
数据来源
主动提取必 要有效数据
智能分析
安全可视
具备不依赖特征、规则 发现新型威胁能力
基于业务的可视化 宏观辅助决策 微观有利运维
协同响应
自动化协同联动 处置大半安全威胁
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
产品定位 定位为客户的本地安全大脑，是一个集 检测、可视、响应 等多功能于一体的大数据安
攻击越来越频繁
危害越来越大
Cncert18年捕获病毒超1亿个，日均传播500万次 境内感染计算机恶 意程序的主机数量约 655 万台 2018年高级威胁攻击同比增长3.6倍
数据破坏平均损失386万美金 GandCrab勒索病毒一年销售额20亿美金 网络犯罪造成的全球损失5千亿美金
当前安全建设遭遇瓶颈-看不见安全威胁