【SIP进阶】初级认证—2024.pptxVIP

深信服安全感知平台—初级课程深信服安全BG-SIP运营组

一、现有主打场景介绍二、SIP一体机产品介绍目录三、产品选型

一、主打场景介绍-高级威胁检测场景

背景：安全形势

国家高度重视网络安全建设安全本质是攻防两端能力较量威胁来源和攻击手段不断变化树立动态、综合防护的防护理念没有网络安全就没有国家安全对新型威胁进行持续检测和分析网络安全等级保护2.0十三五信息化规划习主席4.19讲话网络安全法

安全事件频发，安全形势日益严峻平昌冬奥会开幕式当天，冬奥网站被攻击中国某军工企业被美、俄两国黑客攻击思科高危漏洞清明期间被利用医疗行业勒索事件爆发台积电遭到勒索病毒攻击多个行业受到Globelmposter攻击2019.22019.22019.32019.32019.82019.8ToBeContinued……

组织面临的安全挑战持续升级安全挑战暴露面越来越多危害越来越大漏洞风险不可控攻击越来越频繁18年CNVD收录14201个安全漏洞18年零日漏洞收录数量持续走高，达到5381个18年基础软硬件严重漏洞频出，修复难度很大数字化转型驱动业务对外开放，导致大量业务暴露互联网互联网+与云计算技术，导致物理边界模糊互联互通、数据融合，带来的数据流转与交换，导致风险面增大Cncert18年捕获病毒超1亿个，日均传播500万次境内感染计算机恶意程序的主机数量约655万台2018年高级威胁攻击同比增长3.6倍数据破坏平均损失386万美金GandCrab勒索病毒一年销售额20亿美金网络犯罪造成的全球损失5千亿美金

当前安全建设遭遇瓶颈-看不见安全威胁新型未知威胁难检测根因分析：静态特征检测难以应对新型威胁，缺乏对内网攻击行为持续检测手段看不见内网潜伏威胁水坑攻击鱼叉邮件攻击零日漏洞攻击黑客内部潜伏后预留的后门伪装合法用户的违规操作行为封装在正常协议中的异常数据外发

当前安全建设遭遇瓶颈-看不清安全风险割裂的安全视角，难以看清安全全貌根因分析：缺乏主动资产与脆弱性识别，安全设备相互割裂、难以深度关联分析，缺乏全局安全视角海量的安全日志，难以识别有效告警日志内容专业性强，运维人员读不懂日志之间关联少，无推理总结性描述看不清资产，看不到风险在哪里看不到僵尸资产管理员弱密码系统存在高危漏洞

产品理念

安全建设从被动防御到主动防御升级被动防御主动防御防御为主、被动响应边界防护入侵防护主机杀毒缩小攻击面，提升攻击成本构建防御、检测、响应于一体的主动防御体系，重点关注持续监测、快速响应能力建设全面检测、快速响应持续监测智能分析协同联动提早发现，缩短检测和响应时间

亟需补齐监测和响应能力的缺失主机杀毒边界防护持续检测快速响应全局可视主动防御体系???

业内共识：“自动化、快速闭环”是未来技术关键应关注全生命周期的快速闭环、持续对抗能力包以德-OODA理论OODA即observe（观察）、orient（判断）、decide（决策）和act（行动），由美国陆军上校约翰.包以德（JohnBoyd）发明，并广泛应用于网络战、诉讼战和金融战。基本观点：武装冲突可以看做是敌对双方互相较量谁能更快更好地完成OODA循环,然后迅速采取行动，干扰、延长、打断敌人的OODA循环。双方都从观察开始，根据感知到的外部威胁，及时调整系统，做出应对决策，并采取相应行动。

SIP高级威胁检测核心要素数据来源智能分析安全可视协同响应主动提取必要有效数据具备不依赖特征、规则发现新型威胁能力基于业务的可视化宏观辅助决策微观有利运维自动化协同联动处置大半安全威胁

产品介绍

产品架构威胁监测响应机制应急响应机制漏洞管理机制攻防对抗能力中心面向未来持续优化持续本地赋能保障机制保障能力威胁处置应急指挥基础安全终端日志大数据采集服务器日志安全设备日志网络设备日志流量数据中间件日志攻击链举证影响面分析日志分析检索入口点溯源路径还原攻击研判自动化联动场景复现多维威胁整体威胁设备运行横向攻击外连攻击内连攻击全网监控专项监控上联安全SIP安全感知平台数据清洗数据范式化资产扫描漏洞评估文件威胁鉴定多引擎检测机器学习日志关联分析UEBA基线建模自动编排报表/报告关键技术流量数据实时监测与专项监控访问分析威胁分析外部日志分析情报分析行为分析检测分析洞悉未来变化安全保障体系平时急时安全通信网络安全区域边界安全计算环境技术流程人监测预警周期脆弱性分析资产管理配置风险弱密码感知互联网资产资产中心攻击还原溯源取证攻击还原与溯源响应

产品组件数据中心区办公A区办公B区DMZ区管理区潜伏威胁云端订阅全流量采集基础威胁检测实时漏洞分析元数据提取大数据架构机器学习算法Flow行为分析引擎用户行为建模云端威胁情报云端挖矿检测1.潜伏威胁探针2.安全感知平台4.其他可