大数据安全态势感知平台解决方案.pptx
,大数据安全态势感知平台解决方案,业务安全管控的挑战,大数据态势感知方案详解,方案特色,c ontent,目录,超过87的攻击事件并非被攻击者自身发现,而是来自外部报告 2016年Verizon DBIR报告,迟钝的安全感知能力,FW、IDS、AV等的尴尬,正在遭受哪些威胁哪些威胁是我应该关注的 是否有AV和IDS没有发现未知威胁 担心有实现主机、窃密攻击和APT,如何抓住和分析网内的这些活动 为什么开启了图形验证码,封堵了相关IP,邮件还是被盗收 ,外部威胁,如何应对一下挑战,防护,检测,响应,预测,不再假设防护Prevent能实现万无一失 应对绕过防护的威胁进行纵深检测(Detect) 对检测到的威胁进行分析/取证,针对性的响应(Respond) 对未来攻击进行预测(Predict) 到2020年,用户在检测和响应的投资将超过60,Gartner提出的“自适应”安全框架,业务安全管控的挑战,大数据态势感知方案详解,方案特色,c ontent,目录,安全态势感知平台建设目标,大数据态势感知平台的七大能力,再高级的攻击也会产生网络流量,与正常网络访问所产生的流量是不一样。基于流量数据的安全分析成为发现未知威胁的基础,能力一、原始流量采集,采集网络原始流量的价值,科来提取了200元数据,内置多场景,多类型的行为模型,支持自定义,L4元数据 源IP、源端口、源IP国家、目的IP、目的端口、目的IP国家、协议、数据包个数、会话开始时间、会话结束时间、会话持续时间等十五元数据,L7元数据 如HTTP协议,66个关键字段,包括user-agent、cookie、host、refer等;如15种DNS协议字段、SMTP/POP3协议字段,网络元数据,SMTP/POP,HTTPS,TCP 8086 加密,畸形SYN包,三级等保合规,使用以安全著称的邮件应用,文件服务器不能上网,不会与邮件服务器通信; 邮箱服务器向境外发起可疑加密连接,触发告警; 发现文件服务器和邮件服务器有TCP8086的机密通信, 在每次邮件服务器向境外传输数据之前,有IP向邮件服务器发了一个畸形SYN包,通过行为建模回溯发现,两个月被窃取2G数据,一个10次; 利用邮件系统漏洞,疑似后门; 关闭邮箱服务器443端口,文件服务器做访问控制策略等,文件服务器,邮件服务器,案例某国家部委单位窃密事件,,,数据中心区,,,内网办公区,,,互联网接入区,,DMZ,传统 数据中心,私有云,云管理平台,,,,,分支机构,,,,网站,Mail,DNS,VPN,三方业务,,网络管理区,,LB,IPS,FW,LB,IPS,FW,堡垒机,SOC,防病毒,补丁分发,漏洞扫描,,,,,,,,,,,,,,,,流量探针,,安全沙箱,,大数据 安全态势感知平台,云端,,纵深检测集中分析,能力二、大数据架构,TCP 8086 非正常时间,主动外联 DNS解析,资产自动识别自动发现业务系统所属的资产组件,自动发现新上线的主机,实现对全网资产的有效识别 ;,异常行为可视异常的访问路径,如主动外联,非正常数据出口;异常流量组成,如外发加密通信,异常TCP长连接等;,访问关系可视呈现业务系统的资产、组件、终端之间访问关系;,流量构成可视呈现业务系统的资产、组件、终端之间流量的协议组成,数据包构成以及会话特征;并提供可视化关联分析;,能力三业务可视,可视的基础上进行关联分析,发现异常,能力四、基于攻击链的威胁感知,实现纵深检测,文件还原,,,静态执行,,沙箱执行,威胁分析,数据入库,已知病毒,恶意样本,正常文件,基于动态检测的沙箱分析对抗未知恶意代码,勒索软件,,完全通讯载体覆盖,,全栈分析系统与多文件类型,,近百种可疑网络行为,基于动态检测的沙箱分析对抗未知恶意代码,勒索软件,,,,,攻击突破,通信控制,窃取破坏,基于动态检测的沙箱分析对抗未知恶意代码,勒索软件,行为模型分析可以准确描述一类异常行为,相比特征匹配感知能力大大增强,,,接收数据单包128字节,域名多个IP 解析,境外域名,https 无效证书,隐蔽信道 传输,,,,基于网络元数据的行为建模,行为模型配置,科来自有数据 黑IP、黑域名、黑MD5,第三方情报导入 STIX格式,机器可读,人可读,开源威胁情报 厂商报告,安全社区,whois,威胁情报,定义威胁的优先级,能力五、态势呈现,对已感知的威胁进行关联分析、扩线,还原事件真相; 对数据安全和业务风险进行主动检查,发现未感知的威胁; 对安全保障体系进行安全有效性检查;,能力六、回溯分析,基于场景感知 同源、同目的、同手法等,3000条告警,,10个事件,优先处置高危风险重点资产的高危攻击、威胁情报匹配,告警归集,可视化关联分析,全流量数据包分析,安全威胁往往藏在正常的流量通讯里面 只要是网络攻击,就一定会产生网络流量数据,全流量分析要求具备强大网络回溯取证能力,选择数据库,所见即所得的关联分析配置 自定义碰撞顺序,单个匹配策略配置,全量数据离线碰撞分析,响应方式 科来自有设备进行阻断 一键输出标准化处置策略 对接安全防御设备 ,能力七、响应处置,,系统管理,数据字典,,运维监控,,组织管理,其他功能,看见已知威胁基于网络元数据建模技术 看见未知威胁基于动态行为检测技术、基于网络元数据建模、基于全流量回溯分析; 看清业务自动发现、应用可视、访问关系可视 看透行为全流量回溯分析,弥补传统行为审计的不足,方案效果,业务安全管控的挑战,大数据态势感知方案详解,方案特色,c ontent,目录,感知未知威胁能力所谓“态势感知”,就不能仅仅感知安全防御手段能够发现的已知安全风险,比如入侵检测系统的告警,更要能感知到能够绕过防御体系的未知威胁。再高级的攻击都会产生网络流量,与正常网络访问所产生的流量是不一样。基于流量数据的安全分析成为发现未知威胁的基础。 感知业务能力比如有哪些新上线的业务主机开放了哪些端口和服务这些服务被哪些用户访问数据流流向哪里网络中的流量构成是怎样的等等。这就要求“态势感知”具备深厚的协议分析能力。只有在感知用户业务场景的基础上,才能更好的区分出“正常行为”和“异常行为”。 回溯分析能力通过对网络流量数据的回溯分析,我们就能对我们的安全体系的有效性进行评估。比如了解哪些攻击是入侵检测体系没有发现的,通过威胁情报曝出的威胁有哪些是真实的,是否曾经遭受过最近曝光的新型攻击,损失如何在此基础上有针对性调整防御,也进一步提升“态势感知”的能力。,平台特色,谢谢,
悟道方案网
