【SIP进阶】高级认证2—2024.pptxVIP

SIP产品检测能力介绍深信服安全BG让IT更简单，更安全，更有价值！

使用说明（交流与外发删除）适用对象：该版PPT涉及到部分场景的科普性说明，作为内部售前/销售培训学习使用，面向客户交流时适当调整。适用场景：一线同事已掌握SIP的基本功能，对产品有一定认知，需要进一步学习产品核心能力2.区域NDR产品竞争较多，或者客户专业性较强，需要进一步技术交流PPT讲解思路：讲需求：从实战对抗出发提出威胁攻击的主体与方式更加隐蔽化、未知化，传统检测思路无法有效应对，跨越网络安全“四座大山”需要接受专业化的赋能讲思路：针对高级威胁可依赖人工智能技术开辟新的有效检测路径，检测重心聚焦网络流量无特征攻击和业务访问异常检测讲方案：介绍产品技术架构原理、价值主张和重点场景检测方案，重点介绍检测全面、及时有效与联动闭环三大价值。讲案例：各区域补充本地化案例

1.安全问题与需求

向外看：攻防视角下高级威胁攻击成为主流有明显特征威胁情报规则匹配代码检测攻击特征不明显统计分析聚类算法神经网络混淆对抗，少量特征主机行为分析主机时序异常分析上下文关联分析语法语义引擎流量侧几乎无特征威胁类型攻击手段高级APT攻击检测手段快速扫描快速爆破热点漏洞0day漏洞webshell自研攻击工具知名工具加密通信魔改工具匿名技术渗透框架混淆绕过飞客蠕虫麻辣香锅AutoCAD木马驱动人生双枪WannaCry白利用普通木马勒索病毒RootkitUEBAAI模型加密流量解密JA3/JA3S指纹匹配nday漏洞黑产自动化攻击定向攻矿病毒2012加密挖矿DGANotPetyaMindLost代理挖矿APT海莲花白象蔓灵花毒云藤水坑攻击隐蔽隧道鱼叉邮件当前攻击重心已经转向无明显攻击特征的安全攻击（如：0day攻击、C2异常外联、加密流量通信等），基于传统特征规则检测的方法无法有效检测这些未知威胁。

向内看：常态化攻防对抗要跨越“四座大山”如何实现高效溯源分析，快速还原攻击画像如何实现自动化事件处置，提升处置效率和处置能力如何精准有效检测与及时告警威胁事件，实现威胁全面感知如何直观看清安全态势，科学辅助安全决策攻守渗透测试作战思维零日漏洞武器开发新型攻击安全运营安全合规应急响应态势感知威胁预测主动防御四座大山

2.应对思路

攻防对抗能力的核心是检测全面、响应及时有效检测全面：全面检出已知威胁，有效检出高级攻击与新型威胁及时有效：告警及时、精准，响应及时、高效思路：能打败“魔法”的也只有“魔法”，通过创新检测的技术模型开拓威胁检测新思路传统方案基于规则检测主动探测AI模型UEBA关联分析语法语义引擎流式计算引擎传统检测方案基于规则情报进行威胁区配，针对已知威胁检测有一定效果，但无法有效检出新型和未知威胁运用主动探测、流式计算引擎、关联分析、AI模型、UEBA、语法语义等方式解决各类混淆、加密、无回显等检测难点，有效检出未知威胁检测技术升级

3.SIP构建攻防对抗新能力

SIP安全感知平台-高级威胁检测检测全面事前：脆弱性风险检测事中：实时攻击检测与响应事后：潜伏风险持续检测与响应及时有效告警消减与攻击成功判定，实现告警精准、及时、有效SOAR自动化联动响应高检出低误报SIP以“高级威胁检测”为核心，为用户构建起攻防对抗“事前、事中、事后”的全面检测与响应能力。

检测与响应架构全面覆盖已知威胁，重点检测未知威胁DNSSMB白流量识别与过滤WAF规则IPS规则威胁情报PVS规则二次检测上下文检测统计分析关联分析有监督学习语法语义无监督学习UEBA告警消减风险资产视角风险用户视角安全运维视角：安全事件列表威胁专项分析勒索挖矿主机风险评估人机共智7*24H响应态势感知可视化运维日志告警事件告警特征规则流式分析引擎AI引擎流量数据数据过滤分层检测安全告警监控响应HTTPNETFLOWRDPMAIL..............设备联动响应检测升级应用场景：如扫描爆破、黑客工具、驱动人生、蠕虫病毒等优势点：覆盖更多威胁类型的规则，提升基础安全检测能力应用场景：规则搞不定的无特征的攻击场景，如加密流量、魔改工具、0day漏洞利用、代理转发、隐秘隧道、加密挖矿等优势点：通过更全面的算法模型和场景覆盖，补齐用户侧对高级攻击、未知威胁的检测能力，防止其攻防对抗中绕过边界安全系统未知威胁检测--基于流式分析与AI智能引擎已知威胁检测--基于特征规则与情报匹配结合MSS服务人机共智，实时监测安全告警联动安全设备快速处置（开放API接口对接）威胁告警与处置智能引擎告警聚合攻防对抗视角：实时告警分析文件威胁残余攻击...异常行为分析违规访问横向访问服务器外连访问流量可视对外业