深信服安全感知平台内部资料讲课文档.pptVIP

安全运维可视化视角：管理和维护信息：业务状态信息、安全事件告警、辅助分析数据需求：问题发现和事件分析细分角度：安不安全一目了然需求信息：直观、全面的掌握网络和安全状态细分角度：事件处理和问题分析需求信息：告警区分哪些是最关键的，辅助分析形成证据链*第28页，共39页。展示首页1、业务资产可视，自动发现，颜色区分安全评级2、业务逻辑可视，颜色区分是否有威胁3、四组数据告诉管理人员需要关注的问题*第29页，共39页。01失陷业务1、处理失陷业务，关注高可疑，跟踪低可疑2、主要攻击类型3、按照资产价值、风险评价的待处理问题列表*第30页，共39页。01失陷业务分析1、失陷或风险评价及依据2、谁在攻击、是否失陷、还对谁产生了影响3、攻击链分析，是否被当做跳板*第31页，共39页。01失陷业务举证*第32页，共39页。02风险用户1、发现多少风险用户（已失陷、高可疑），可能影响多数业务和用户2、详细的风险用户清单和待处理列表*第33页，共39页。深信服安全感知平台内部资料第1页，共39页。深信服安全感知平台内部资料第2页，共39页。目录124为什么需要强化安全检测能力传统信息安全防护体系的问题安全感知平台能解决什么问题3如何构建企业级安全感知能力**第3页，共39页。攻击被发现的平均时间229天企业自行发现的比例33%小时月天/周发现补救实施攻击入侵得手问题不再是是否被黑，而是什么时候被黑和你什么时候发现被黑攻防不对等导致黑客屡屡得手*第4页，共39页。攻击者有大量手段进入内网第5页，共39页。而且，往往进入内网后就是一马平川第6页，共39页。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了。结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。----习近平主席的419网络安全讲话第7页，共39页。加大持续检测和快速响应的投入用户应该大幅提升安全检测手段的投资，应该占到整体安全投资的30%以上。预计到2020年，安全检测和响应的投资将从10%增长到60%source：Gartner2014source：《网络安全法》第五章监测预警与应急处置第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。第8页，共39页。目录124为什么需要强化安全检测能力传统信息安全防护体系的问题安全感知平台能解决什么问题3如何构建企业级安全感知能力**第9页，共39页。看不清业务看不清的新增资产产生安全洼地快速灵活的业务模式Vs滞后的资产管理业务驱动的管理模式Vs安全总落后一步看不清的业务关系使业务安全防护失效不知道正常业务逻辑Vs如何发现异常攻击不清楚合法用户行为Vs谈何检测恶意用户缺乏有效手段主动识别新增业务定期巡检+人工梳理Vs虚拟化环境一键申请资产静态策略+层层审批Vs敏捷开发与快速应用迭代*第10页，共39页。看不清新增资产产生安全洼地理应下线的测试系统无人管理，被黑客利用作为跳板进入内网。某业务部门赶进度未经审批和测试，仓促发布新业务，不但自己被黑还导致同一安全域其他系统遭殃**第11页，共39页。看不见内网潜藏威胁看不见的内部横向攻击多系统交互和数据共享?更加频繁的东西向交互Vs分级分域的安全管控?安全防护多数只关注南北向看不见的违规操作黑客更多地表现为伪装合法用户?非暴力，越权访问，违规但不含攻击特征Vs基于病毒、漏洞利用等恶意特征匹配?无法发现伪装合法用户的攻击看不见的异常行为渗透目标从破坏性转为信息窃取?更善于隐蔽，隐写、加密、伪装成为常态Vs特征匹配式检测+只关注当前数据包?无法从海量信息中发现细微的蛛丝马迹*第12页，共39页。看不见的内网违规操作通过欺骗、伪装的方式获得了用户名口令，伪装成内部员工，直接下载敏感数据通过钓鱼邮件获取管理员账号、数据库口令，进而为所欲为。**第13页，共39页。看不见内网攻击和异常行为组织内部员工不满或者内外勾结进行攻击渗透，既熟悉业务又有合法身份，防不胜防核心