网康慧眼云.pptxVIP

独具慧眼 预见未来网康慧眼云产品介绍危机四伏的第五空间2013年2月Apple、Facebook 和 Twitter 等科技巨头都公开表示被黑客入侵，其中 Twitter 被黑后泄露了 25 万用户的资料。2013年3月美国银行、彭博社等金融机构重要资料遭黑客曝光，泄露机密数据达14GB美国大型零售商Target被曝受到黑客攻击，超过4,000万信用卡和借记卡帐户以及7,000万客户的个人信息，Target超市CIO与CEO先后引咎辞职2013年12月…2015年7月美联邦政府机构被黑客攻击，2150万人资料遭泄露。受影响者包括1970万涉及背景调查的政府雇员数据来源：国家互联网应急中心《 2014年中国互联网网络安全报告》仅2014年被木马僵尸控制的主机数就达到1108万 网络攻击已经从早期的泛攻击演进为利用0-day漏洞等未知威胁，以获取重大经济、军事、政治利益为目标、定向持续的高级攻击。成功的攻击中，92%是由于外部攻击者92攻击大多不能通过现有安全设备发现，87%源自外部的报告水坑式攻击87鱼叉式钓鱼攻击社交攻击0Day攻击数据来源：DBIR 2013定向攻击定制化工具结论：面对未知威胁等高级攻击，传统安全防御濒临失效传统安全防护为什么失效？P2DR传统安全模型安全边界假设前提1. IT信息系统存在的风险和威胁可以经过评估，充分认知和发现2. 网络是有边界的，一切围绕边界防护假设失效0-Day攻击APT威胁漏洞永远存在且未知结论：传统的安全防护体系已无法应对新的安全威胁，亟待改变……没有攻不破的网络未知威胁永远存在你见或者不见，它就在那里，不远不近高级攻击过程解析外部入侵内部渗透信息窃取一旦入侵成功后，传统安全架构缺少应对措施，导致防护体系如同虚设因为0day等未知威胁的应用，入侵越来越容易通用/特定CC内部目标侦测内部支撑点转移收集信息数据外泄初始入侵通用/特定CC下一代安全方法论正在被攻击/已经被侵入异常行为检测假设前提IT信息系统永远存在未知的威胁，无法通过评估充分认知与发现早发现部署对抗措施，提升防御能力溯源攻击过程，寻找对抗措施早隔离早治疗海量数据的分析必须依靠云计算技术威胁情报，预警和预测能力大幅提升主动防御能力失陷主机发现是关键失陷阶段（Post Breach）外部入侵内部渗透信息窃取支撑点(失陷主机)通用/特定CC支撑点(失陷主机)内部目标侦测内部支撑点转移收集信息数据外泄初始入侵通用/特定CC如何发现失陷主机？“失陷主机”是指已被攻击者成功入侵，并被远程控制或者有恶意行为产生的主机；暴力破解SSH、远程桌面钓鱼与CC通信行为发起扫描行为异常行为失陷后发起暴力破解行为 主机被控制僵尸木马漏洞攻击发起漏洞攻击行为发起SQL注入行为发起DOS攻击行为未知威胁高级威胁……其他传播针对失陷主机推出的全面性检测产品 下一代网络威胁感知系统 通过异常行为识别技术和威胁情报技术进行失陷主机（攻击支撑点）的分析、发现、溯源，还原整个攻击过程，找到安全薄弱点，最终部署对抗措施，提升安全主动防御能力。行为日志安全日志流量日志…数据源失陷主机攻击溯源采取措施慧眼云威胁情报大数据分析挖掘技术情境感知分析沙箱分析失陷主机分布失陷主机通过一张二维图形进行全局的分布展示，基于“确定性指数”和“威胁性指数”两个维度划定不同的风险级别区域，帮助使用者直观的了解到不同主机的不同风险级别。失陷主机检测基于异常行为的深度识别能力和威胁情报技术，通过威胁活动的几个阶段（遭受入侵、收到控制、发起内部攻击、发起恶意行为），分析出当前主机的确定性指数和威胁性指数，并勾画出指定时间内该主机失陷情况的走势图，从而判断出失陷主机的活跃程度和风险级别。失陷过程溯源通过失陷主机的威胁活动分布、详细数据列表等逐层钻取，进行整个失陷过程的还原，分析出已经产生的危害，为安全评估提供可视化的支撑，并找到对抗方法失陷主机状态迁移图高风险主机低风险主机中风险主机威胁性OA-OA-OA-OA-第1天第2天第3天第2天第3天第4天第4天第1天第5天确定性威胁情报地图威胁情报可以还原已经发生过的攻击，并预测将来可能发生的攻击，是对抗的基础。威胁情报地图展示最新的网络攻击情况，包括攻击时间、攻击源国家，被攻击国家和攻击类型等等，帮助客户感知威胁态势。慧眼云威胁情报的生产攻击背景攻击特点攻击组织者恶意IP攻击目的恶意URL NS-TIP威胁情报生产平台恶意DNS行业覆盖度恶意行为活跃程度 NS-DBA网康大数据分析平台……外部情报网康公有云………………情景感知分析（总览）基于客户的业务场景，通过对网络行为的大数据分析，能够自适应的建模出客户当前业务下的安全威胁模型，从而更有针对性的发现网络中存在的异常，提高安全等级。情境感知分析（关联分析）“关联分析”主要基于主机类型、连接