现代网络安全观与方法论.pptx
《现代网络安全观与方法论.pptx》由会员分享,可在线阅读,更多相关《现代网络安全观与方法论.pptx(53页珍藏版)》请在冰豆网上搜索。
现代网络安全观与方法论360企业安全研究院院长360首席反诈骗专家裴智勇提纲现代网络安全观概论数据驱动与协同联动几个高级科普小知识常见企业级网络安全产品企业安全应急响应体系建设推荐关注现代网络安全观概论六大安全措施隔离管控监控审计认证容灾六大安全新常态五大滑动窗口四大安全假设四大安全假设假设一定有未知安全漏洞假设一定有已知未修漏洞假设系统肯定已经被渗透假设自己的员工是不可靠三大技术时代安全技术时代第一代第二代第三代时代背景病毒初生技术简单数量有限木马产业化样本海量化行为复杂化设备多样化系统复杂化攻击多源化恶意样本不再是攻击的唯一手段,甚至也不再是必要的手段核心技术特征码+黑名单白名单+云查杀+主动防御+人工智能引擎大数据+人工智能+协同联动对抗对象静态样本样本与样本行为人:
攻击者与攻击行为安全目标先感染,后查杀拒敌于国门之外追踪溯源,感知未知提前防御,快速响应对人的要求高中极高两次发展浪潮中国互联网安全的第一次浪潮以个人为中心以终端为起点以免费为契机时代背景:
中国互联网第一次爆炸性增长,技术与商业模式主要是向西方学习,普通网民大量涌入互联网,使个人安全问题成为最突出的网络安全问题中国互联网安全的第二次浪潮以万物互联为前提以政企机构为关键以数据驱动为特点时代背景:
个人网络安全问题“基本”解决。
但随着IoT时代的到来与互联网+的深入,政企机构大规模、有计划的先后开始数字化转型,使群体性安全问题日渐凸显两大失效定律两大失效定律一切违背人性的技术与管理措施都一定会失效一切没有技术手段保障的管理措施一定会失效工业互联网安全特点工业互联网本身就建立在一个不可信、不可靠的网络环境中,但仍要努力保证其“可用性、实时性”四大应用场景智能化生产个性化定制网络化协同服务化延伸三大安全特征超期服役带洞工作带毒运行三项基本要求低延时高可靠广覆盖政企机构常见的、错误的网络安全观安全管理以免责为目标害怕暴露问题,存在侥幸心理关心自身损失,忽略社会责任缺乏动态防御与应急响应意识数据驱动与协同联动大数据的意义见广全貌看得见与看不见数据的意义异常95%的人会这样做3%的人会这样做1%的人会这样做高级攻击的检测与防御思想全程监控无死角,外部监控搜情报同源分析拓线索,引蛇出洞设蜜罐深入追踪插卧底,关联分析端老窝全程监控无死角,外部监控搜情报外部监控威胁情报我们如何抓住一个宝石大盗内部监控攻击回溯周边监控,全网监控同源分析拓线索,引蛇出洞设蜜罐同源分析与坏人经常一起出现的人可能也是坏人与坏人具有相同特征的人可能也是坏人与坏人出没地点类似的地点可能也有坏人蜜罐看似真实的系统环境看似很有价值的情报有机可乘的防御系统暗中实施的全程监控深入追踪插卧底,关联分析端老窝卧底故意让某台服务器被攻击者控制这样攻击者发送的指令我们就能提前知道DDOS追踪系统中就使用了这种方法关联分析坏人常去的地方可能有别的坏人坏人聚集的地方就是坏人的老巢木马-网址-服务器-受害者-新的木马-新的网址-新的服务器-新的受害者-眼-脑-手协同联动的业务安全解决方案业务系统在哪干如生产系统、客户系统、供应链系统、OA系统、财务系统、考勤系统等业务用户谁在干业务操作干了啥业务内容啥结果全方位的监控多维度的分析最快速的响应用户风险分析身份+认证行为风险分析纵向时间对比横向空间对比事后调查取证快速阻断应急处置未知威胁高级威胁内部威胁数据驱动+威胁情报+协同联动6威胁情报协同联动网络安全大数据云服务与云计算革新的企业安全技术体系:
数据驱动的协同联动终端安全移动安全边界安全云安全内容安全网站安全工控安全无线安全安全运营平台大数据安全分析应急响应中心创新的安全服务态势感知系统威胁情报中心数据情报智慧的理念EasyPowerDiscover大数据人工智能可视化大数据+可视化+协同联动EDR:
终端信息+可视化+处置响应EndpointDetectionandResponseNDR:
边界信息+可视化+处置响应Network-basedDetectionandResponseNGSOC:
多维信息+可视化+处置响应NextGenerationSecurityOperationsCenter态势感知:
多维信息(未必私有)+可视化威胁情报:
我知道的,你不知道的,你的安全问题EDR与NDRNDREDRNGSOC与态势感知【贵阳市】态势感知(总体)【贵阳市】态势感知(网站)【青岛市】态势感知(病毒)NGSOC几个高级科普小知识WannaCry是如何穿透内网的一机双网缺乏有效管理缺陷设备被带出办公区协同办公网络未全隔离防火墙未关闭445端口办公网与生活网未隔离外网设备分散无人管理企业为什么不给系统打补丁认为隔离措施足够安全认为每月打补丁太麻烦(业务系统复杂性)打补丁影响业务占带宽打补丁影响系统兼容性打补丁可能致电脑蓝屏根本原因:
信息化建设与业务发展不相称。
企业在不断加强网络安全建设的同时,也必须不断提高信息化建设的整体水平,逐步淘汰老旧设备,老旧系统,老旧软件。
DGA算法DomainGenerationAlgorithms,译为域名生成算法,是一种利用随机字符来生成C2服务器域名,从而逃避域名黑名单检测的技术手段。
某些木马会向随机生成的成千上万个域名发送消息,但其中只有极少数会真正被攻击者使用,并用来完成后续攻击环节。
这就大大增加了安全分析人员定位有效服务器难度,而且也不太可能通过抢先注册域名的方式来限制木马的传播和攻击。
网络扫描活动基本态势2016年全年,360威胁情报中心在全球范围内共监测发现扫描源IP512万个,累积监测到扫描事件1.64亿次。
2017年初,全球平均每日活跃的扫描源IP大约有30万个,对应的日均扫描事件约200万起。
扫描活动的目的与针对的端口三类不同目的的网络扫描:
常规恶意扫描针对性突发扫描安全监控扫描mirai僵尸网络及其扫描活动-美国断网2016年10月21日晚间,美国大面积断网事件。
Twitter、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务瘫痪。
事件原因是攻击者对美国互联网域名解析服务商DYN进行了DDoS攻击,mirai僵尸网络操控的全球约89万台智能设备,就是攻击流量的主要来源在这次灾难中,仅DYN公司的直接损失就超过了1.1亿美元。
美国遭遇网络911mirai僵尸网络及其扫描活动-德国断网2016年11月7日,独立安全研究员Kenzo通过博客发布了家用路由器设备TR-069/TR-064的一个新的安全漏洞11月26日,mirai大规模扫描7547端口德国电信:
2000万台受影响,90万台被扫描至死机没有被扫描死机的路由器是不是就安全了?
360对APT组织的命名规则幻兽系美人鱼、人面狮双尾蝎、黄金鼠、肚脑虫魔株系海莲花、摩诃草蔓灵花、蓝宝菇超人系黄金眼2015年5月,360截获APT组织海莲花,这是境内机构截获并披露的第一个APT组织。
截至2018年6月底,360威胁情报中心已累计截获针对中国的APT组织38个。
常见企业级网络安全产品终端安全杀毒管控+PC端关键词:
自动部署每终端每次:
1万元或3个比特币每企业每年:
100万元或200个比特币边界安全防火墙、网关、网闸防火墙关键词:
身份认证,权限管控内容网关(上网行为管理)关键词:
内容过滤网闸关键词:
私有协议+白名单天巡关键词:
无线边界网站安全漏扫、抗DWebscan关键词:
主动扫描关键词:
被动扫描漏洞扫描抗DDOS流量清洗设备云防护网站卫士安域安域防篡改高防DNS人工漏洞挖掘公有SRC私有SRC安全众测适合机构所有机构安全水平较低安全水平较高收费情况企业免费,360补贴企业付费,360免费企业付费,360收费授权情况非授权有限挖掘授权挖掘授权挖掘白帽子筛选全体非定向邀请,中高端定向邀请,高端服务水准低端中高端高端漏洞均价80-100元/洞1000-2000元/洞10000-50000元/洞项目保密适度公开保密服务保密服务漏洞上报有关部门强制上报不上报不上报业务流安全邮件防盗三重防盗防弱口令,防暴力破解双因子认证:
帐号密码+动态口令,只盗密码没有用大数据监测:
准入控制+身份识别,密码之外再加锁APP实现动态口令,无需外加小硬件内容加密、通道加密、存储加密端到端的加密技术,SM9算法,服务器被黑都不怕先加密再传输,传输通道也加密,360度防偷窥本地存储加密,云端存储也加密,偷到邮件也看不懂防钓鱼、防木马、防病毒百亿规模特征库,大贼小贼全拦住APT追踪先行者,高级黑、专业黑,刀枪不入防盗号防窃密防恶意业务流安全移动办公天机关键词:
虚拟机,内部市场VPN关键词:
手机APP蓝信关键词:
内部服务器企业安全应急响应体系建设安全威胁不自知是最大的安全威胁企业应急响应求助的类型网站遭遇的攻击网页被恶意篡改网站被植入非法子页面网站遭遇DDoS攻击网站流量异常异常进程与异常外连办公区终端遭遇的攻击核心重要区域遭遇的攻击企业如何建立网络安全应急响应体系内部协调外部协调应急响应办公室/小组(协调中心)业务线1相关业务线或受影响的业务通信设施保障组基础设施保障组数据灾备保障组网络保障组IT技术支撑机构/企业网络安全应急响应领导小组(决策中心)技术专家组顾问组政府机构策略指导技术指导业务线2供应商业务关联方专业安全服务供应商公共舆论/市场公关组新闻发布红蓝紫对抗蓝军:
负责外部攻击(白帽子)进行真实攻击p在3W+白帽中挑选最优秀的50个p白帽的所有行为都可控p由第三方注册、实名认证、管理、监督和监控红军:
负责内部防护配合督导方面完成演练方案设计/安全设备的上线部署基于现有防御体系开展红蓝演练的防护工作:
p安全设备防御策略优化p安全事件监控/分析/处置安全加固事件追踪溯源紫军:
负责演练导演、监控进程、全程指导、应急处置、演习总结、技术措施与策略优化建议等技术咨询工作。
永恒之蓝勒索蠕虫(20170512)勒索+蠕虫+永恒之蓝160多国受灾,国内已知超过5万设备感染,实际总感染量至少20万,企业、机构是主要陷落区创造价值,成就客户思想统一,全员参战深夜出击,连续作战重保常态化应急小时化相互信任,协同联动冲锋陷阵,不计得失72小时应急1700家企业2000多人次Wannacry中招企业共性问题分析管理问题业务优先忽视安全安全监管地位较低管理措施无法落实意识问题病毒预警不在乎管理规定不遵守应急方案不执行风险提示不满意技术问题物理隔离网络缺乏外联检测控制逻辑隔离网络缺乏内网分隔管理隔离网内电脑不打补丁情况严重WannaCry响应优秀典型企业成功经验分析优秀典型企业成功经验分析技术手段到位,网络隔离有效重视安全管理,考核安全绩效安全措施齐全,日常运维有效安全意识较高,应急执行力强自建研究团队,正确预判形势没有侥幸心理,问题一查到底推荐关注产业风向标专家视野CSO论道决策研究我提供并积累以下四类内容安全内参360企业安全咨询知识库微信:
27542431微博:
woodfish2004
升级会员 