安全感知平台(SIP)

等保2.0标准
对网络行为、潜伏未知 威胁进行持续检测和分 析
2017.6
即将发布
传统安全体系的挑战之一：看不见
WannaCry
2017年5月，WannaCry勒索病毒全球大爆发，至 少150个国家、30万名用户中招，造成损失达80亿 美元，已经影响到金融，能源，医疗等众多行业，造 成严重的危机管理问题
背景介绍
419讲话---习主席
“谁进来了不知道、是敌 是友不知道、干了什么不 知道”，长期“潜伏”在 里面，一旦有事就发作了
《“十三五”国家信 息化规划》
全天候全方位感知网络安 全态势。加强网络安全态 势感知、监测预警和应急 处置能力建设
2016.4
2016.12
网络安全法开始实施
使得网络安全有法可依， 各行业更加重视网络安 全建设
③威胁情报、辅助检测
最新国内外威胁情报联盟成员： virus total 、CNVD、CNNVD等
基于客户网络态势推送精准可落 地的威胁情报
全量检测 主动提取
①自主全流量数据分析为主
在内部关键节点部署探针，主动提取信息 联动边界、终端自有产品，无缝对接，主动
提取
②第三方设备广泛收集
基于标准格式收集第三方日志收集 基于业务、资产、用户、应用等维度的主
亟需建设全局把握整体安全态势的监测平台
部署方案
安全感知平台 SIP
探针1
探针2
探针3 vNGAF
1. 3台探针：旁路部署在网络内部关键节点， 全流量检测网络内部威胁行为；
2. 16个vNGAF软件：部署在虚拟化服务器上， 对虚机进行防御的同时，与安全感知平台对 接收集有效检测数据。
3. 安全感知平台（SIP）：收集所有探针的数 据，并通过可视化的形式呈现给用户。
动信息提取
精准检测能力
创新引入机器学习、大数据技术提高检测率
攻防专家
安全 分析师
攻防对抗 人工智能 大数据分析
数据 科学家
HTTPFlow分析引擎 NETFlow分析引擎 DNSFlow分析引擎 SMBFlow分析引擎 SMTPFlow分析引擎
xxx分析引擎
LSTM较N-gram有显著提升 在“能否检测出僵尸网络”问题上达到99.7%的F值（精确率和检出率的综合指标）
在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
全局可视能力：宏观辅助决策
脆弱性可视
全网安全态势可视
外部攻击态势可视
内部横向威胁可视
全局可视能力：微观精准运营
业务维度可视
攻击链可视
详细威胁举证 影响面分析
协同响应能力：三级响应机制
一键阻断 用户提醒
安全感知系统SIP
数
据
探针STA
根因：各类安全日志数量大、分散，且异构，看不过来、看不懂
传统安全体系的挑战之三：响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因：安全人才数量少，难培养，不能多精；
如何应对？
构建一个可感知、易运营的安全大脑
安全大脑的核心能力
精准检测能力
机器学习算法检测 UEBA检测 横向威胁检测
全局可视能力
宏观可视辅助决策 微观可视辅助运维
协同响应能力
多设备协同联动 一键封堵、一键查杀
海量数据采集能力
以全流量数据采集为主 以各类设备日志收集为辅
5、部署架构
云沙盒 威胁情报 云脑
internet
互联网接入区
客户价值
深信服安全感知上线14天，自动识别资产500+，发现内部6个潜伏威胁
方案效果与价值
16
1
1
16个失陷主机
1台服务器与法 国某IP有频繁
通信
1个IP在内部进 行渗透
帮助客户看清内部业务及业务间的异常访问关系 帮助客户看到潜伏在内网的失陷是主机带来的威胁 帮助客户看懂潜伏威胁造成的风险及风险处置建议
西南地区某高校
需求分析
安全设备堆叠、各自为政，无法有效发现风险 资产众多，难管理，容易形成安全薄弱点
中
心
EDR插件 EDR插件 EDR插件
探针STA
端点查杀
一键阻断：自动阻断木马与黑客通信 端点查杀：端点执行扫描、查杀等动作 高级人工服务：安全应急响应，解析网络
威胁现状和威胁，并给出安全建设建议
专家服务
办 公 区
协同响应能力
一键阻断
用户提醒
端点查杀
西南某电子政务外网
需求现状
1. 部署了大量的安全防护设备，仍然发生 网页被篡改的安全事件；
大数据
检测算法
访问关系
业务识别
构建准确的检测模型
交付&可视
整体安全态势 业务安全风险 业务访问关系 横向威胁分析 Kill chain趋势 异常行为画像 安全失陷举证
为业务决策服务的可视化
处置&响应
NGAF联动封堵 EDR联动查杀 上网行为管理联动提醒 安全专家人工服务
协同联动+人工服务
海量数据采集能力
2. 发生安全事件后，无法感知内网服务器 区受影响的范围有多大；
根因分析
1. 对于绕过边界防御，已经潜伏在内网的 威胁，客户缺乏有效的检测手段；
2. 在服务器区内部，监控不到服务器之间 的东西向流量；
部署架构
互联 网出 口区 域
探针1
办公区
NGAF 上网行为管理
电子政务外网
服务器区 探针2
全网 安全 感知 平台
分
支
核心层
本地安全大脑
分Leabharlann Baidu支
云眼 云盾 在线专家 快速响应 办公区
传统数据中心区
EDR
VSS
虚拟化中心区
技术架构
来源&提取 防御设备 检测设备 流量探针 威胁情报 云端沙箱 终端安全软件
提取有效数据来源
检测&分析
UEBA
全 流 关联分析 量 检 行为分析 测
机器学习
资产识别 用户识别 业务分类
脆弱性检测
外部威胁情报
数据中心
广域网 局域网
潜伏威胁探针 下一代防火墙
主机EDR
潜伏威胁探针 下一代防火墙
安全大脑
运维处置可视化
行为分析、机器学习 UEBA、专家辅助
领导决策可视化
我现在安全吗？ 哪里不安全？
造成了什么危害？ 我该如何处置？
可感知：有对高级攻击、潜伏威胁的发现能力 易运营：能看得懂安全，能快速处置威胁
国内多个互联网公司数据泄露
就在2017年上半年，国内多个互联网企业的用 户隐私信息遭到泄露，甚至是售卖，影响恶劣。
根因：以防御为核心的安全体系无法应对各类高级攻击（APT攻击、钓鱼邮件等） 缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力
传统安全体系的挑战之二：看不懂
客户平均每天生成安全告警日志多达上万条 各类安全日志分散在各种安全设备上 安全日志以安全事件角度展示