网康慧眼云解读.pptxVIP

独具慧眼 预见未来 网康慧眼云产品介绍 危机四伏的第五空间 美国银行、彭博社等金融机构重要资料遭黑客曝光，泄露机密数据达14GB Apple、Facebook 和 Twitter 等科技巨头都公开表示被黑客入侵，其中 Twitter 被黑后泄露了 25 万用户的资料。 美联邦政府机构被黑客攻击，2150万人资料遭泄露。受影响者包括1970万涉及背景调查的政府雇员 美国大型零售商Target被曝受到黑客攻击，超过4,000万信用卡和借记卡帐户以及7,000万客户的个人信息，Target超市CIO与CEO先后引咎辞职 2013年2月 … 2013年3月 2013年12月 2015年7月 数据来源：国家互联网应急中心《 2014年中国互联网网络安全报告》 仅2014年被木马僵尸控制的主机数 就达到1108万 0Day攻击 定制化工具 社交攻击 鱼叉式钓鱼攻击 水坑式攻击 定向攻击 数据来源：DBIR 2013 结论：面对未知威胁等高级攻击，传统安全防御濒临失效 网络攻击已经从早期的泛攻击演进为利用0-day漏洞等未知威胁，以获取重大经济、军事、政治利益为目标、定向持续的高级攻击。 传统安全防护为什么失效？ 假设前提 1. IT信息系统存在的风险和威胁可以经过评估，充分认知和发现 2. 网络是有边界的，一切围绕边界防护 P2DR传统安全模型 结论：传统的安全防护体系已无法应对新的安全威胁，亟待改变…… 假设失效 0-Day攻击 APT威胁 漏洞永远存在且未知 安全边界 未知威胁永远存在 没有攻不破的网络 你见或者不见，它就在那里，不远不近 初始入侵 内部目标侦测 内部支撑点转移 收集信息 数据外泄 外部入侵 内部渗透 信息窃取 通用/特定CC 通用/特定CC 高级攻击过程解析 一旦入侵成功后，传统安全架构缺少应对措施，导致防护体系如同虚设 因为0day等未知威胁的应用，入侵越来越容易 假设前提 IT信息系统永远存在未知的威胁，无法通过评估充分认知与发现 正在被攻击/已经被侵入 异常行为检测 溯源攻击过程，寻找对抗措施 部署对抗措施，提升防御能力 海量数据的分析必须依靠云计算技术 威胁情报，预警和预测能力大幅提升主动防御能力 下一代安全方法论 早发现 早隔离 早治疗 初始入侵 内部目标侦测 内部支撑点转移 收集信息 数据外泄 外部入侵 内部渗透 信息窃取 通用/特定CC 通用/特定CC 失陷主机发现是关键 支撑点 (失陷主机) 支撑点 (失陷主机) 失陷阶段（Post Breach） 如何发现失陷主机？ 僵尸木马 暴力破解 主机 被控制 SSH、远程桌面 钓鱼 漏洞攻击 其他传播 未知威胁 高级威胁 …… 与CC通信行为 发起扫描行为 发起暴力破解行为 发起漏洞攻击行为 发起SQL注入行为 发起DOS攻击行为 异常行为 失陷后 “失陷主机”是指已被攻击者成功入侵，并被远程控制或者有恶意行为产生的主机； 通过异常行为识别技术和威胁情报技术进行失陷主机（攻击支撑点）的分析、发现、溯源，还原整个攻击过程，找到安全薄弱点，最终部署对抗措施，提升安全主动防御能力。 针对失陷主机推出的全面性检测产品 下一代网络威胁感知系统 慧眼云 大数据分析挖掘 行为日志 安全日志 流量日志 数据源 技术 沙箱分析 威胁情报 情境感知分析 失陷主机 攻击溯源 采取措施 … 失陷主机分布 失陷主机通过一张二维图形进行全局的分布展示，基于“确定性指数”和“威胁性指数”两个维度划定不同的风险级别区域，帮助使用者直观的了解到不同主机的不同风险级别。 失陷主机检测 基于异常行为的深度识别能力和威胁情报技术，通过威胁活动的几个阶段（遭受入侵、收到控制、发起内部攻击、发起恶意行为），分析出当前主机的确定性指数和威胁性指数，并勾画出指定时间内该主机失陷情况的走势图，从而判断出失陷主机的活跃程度和风险级别。 失陷过程溯源 通过失陷主机的威胁活动分布、详细数据列表等逐层钻取，进行整个失陷过程的还原，分析出已经产生的危害，为安全评估提供可视化的支撑，并找到对抗方法 OA- OA- OA- 确定性 威 胁 性 低风险主机 中风险主机 高风险主机 OA- 失陷主机状态迁移图 第1天 第2天 第3天 第4天 第5天 第1天 第2天 第3天 第4天 威胁情报地图 威胁情报可以还原已经发生过的攻击，并预测将来可能发生的攻击，是对抗的基础。 威胁情报地图展示最新的网络攻击情况，包括攻击时间、攻击源国家，被攻击国家和攻击类型等等，帮助客户感知威胁态势。 慧眼云威胁情报的生产 攻击特点 恶意URL 恶意IP 恶意DNS 恶意行为 …… 网康公有云 NS-DBA 网康大数据分析平台 NS-TIP 威胁情报生产平台 外部 情报 …… …… ……