深信服安全感知平台(内部资料).ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,安全感知平台,深信服安全BU,2025/12/9 周二,2,目录,1,2,4,为什么需要强化安全检测能力,传统信息安全防护体系的问题,安全感知平台能解决什么问题,3,如何构建企业级安全感知能力,3,攻击被发现的平均时间,229,天,企业自行发现的比例,33%,小时,月,天,/,周,发现,补救,实施攻击,入侵得手,问题不再是,是否,被黑，,而是,什么时候,被黑和你,什么时候发现,被黑,攻防不对等导致黑客屡屡得手,攻击者有大量手段进入内网,而且，往往进入内网后就是一马平川,没有意识到风险是最大的风险。,网络

2、安全具有很强的隐蔽性，,一个技术漏洞、安全风险可能隐藏几年都发现不了。,结果是,“,谁进来了不知道、是敌是友不知道、干了什么不知道,”,，长期,“,潜伏,”,在里面，一旦有事就发作了。,-,习近平主席的,419,网络安全讲话,加大持续检测和快速响应的投入,用户应该大幅提升安全检测手段的投资，应该占到整体安全投资的,30%,以上。,预计到,2020,年，安全检测和响应的投资将从,10%,增长到,60%,source,：,Gartner 2014,source,：,网络安全法,第五章 监测预警与应急处置,第五十一条 国家建立,网络安全监测预警和信息通报制度。,国家网信部门应当统筹协调有关部门加强网

3、络安全信息收集、分析和通报工作，按照规定统一发布,网络安全监测预警信息。,2025/12/9 周二,8,目录,1,2,4,为什么需要强化安全检测能力,传统信息安全防护体系的问题,安全感知平台能解决什么问题,3,如何构建企业级安全感知能力,9,看不清业务,看不清的新增资产产生安全洼地,快速灵活的业务模式,Vs,滞后的资产管理,业务驱动的管理模式,Vs,安全总落后一步,看不清的业务关系使业务安全防护失效,不知道正常业务逻辑,Vs,如何发现异常攻击,不清楚合法用户行为,Vs,谈何检测恶意用户,缺乏有效手段主动识别新增业务,定期,巡检,+,人工梳理,Vs,虚拟化环境一键申请资产,静态,策略,+,层层审

4、批,Vs,敏捷开发与快速应用迭代,2025/12/9 周二,10,看不清新增资产产生安全洼地,理应,下线的,测试系统,无人管理，被黑客利用作为跳板进入内网。,某业务部门,赶进度,未经审批和测试，,仓促发布,新业务，不但自己被黑还导致同一安全域其他系统遭殃,2025/12/9 周二,看不,见,内网潜藏威胁,看不见的内部横向攻击,多系统交互和数据共享,更加频繁的东西向交互,Vs,分级分域的安全管控,安全防护多数只关注南北向,看不见的违规操作,黑客更多地表现为伪装合法用户,非暴力，越权访问，违规但不含攻击特征,Vs,基于病毒、漏洞利用等恶意特征匹配,无法发现伪装合法用户的攻击,看不见的异常行为,渗透

5、目标从破坏性转为信息窃取,更善于隐蔽，隐写、加密、伪装成为常态,Vs,特征匹配式检测,+,只关注当前数据包,无法从海量信息中发现细微的蛛丝马迹,2025/12/9 周二,12,看不见的内网违规操作,通过,欺骗、伪装,的方式获得了用户名口令，伪装成内部员工，直接下载敏感数据,通过,钓鱼邮件,获取管理员账号、数据库口令，进而为所欲为。,2025/12/9 周二,看不,见,内网攻击和异常行为,组织,内部员工不满,或者,内外勾结,进行攻击渗透，既熟悉业务又有合法身份，防不胜防,核心业务已经被,植入木马,，通过,隐蔽信道,外发敏感数据，信道加密且符合正常逻辑,14,那么，问题到底出在哪里？,“盲人摸象”

6、缺乏全局视角，不知道也不懂自己保护的对象,“静态防御”，无法检测攻击者多点渗透、灵活多变的打法,“敌暗我明”，无法应对攻击者从大张旗鼓到暗度陈仓的变化,2025/12/9 周二,15,目录,1,2,4,为什么需要强化安全检测能力,传统信息安全防护体系的问题,安全感知平台能解决什么问题,3,如何构建企业级安全感知能力,全网安全感知和响应平台,基于大数据、机器学习,移动、桌面,网络,虚拟化,云平台,无线,WIPS,：,钓鱼,WiFi,密码爆破,无线攻击,探针检测：,采集流量、感知资产、网络、漏洞变化,EDR,：,软件重构边界,采集异常行为,快速联动响应,EMM,：,安全状态检测,应用数据隔离,行

7、为检测,NGAF,、,VPN,、上网行为管理,云端检测平台：,网站安全监测平台（漏洞、黑链、篡改、敏感词等）,什么是安全感知,2025/12/9 周二,总体,技术架构,数据中心区,办公,A,区,办公,B,区,DMZ,区,管理区,潜伏威胁,新技术：,大数据、机器学习,威胁建模、行为分析,1,、潜伏威胁探针,2,、安全感知平台,黑客成功入侵了，,你还不知道？,威胁情报,全面发现,各种潜伏威胁,安全感知的快速部署,19,潜伏威胁探针,部署位置建议,一个信息汇集分析中心,-,织网蛛的大脑,多个散布的信息采集点,-,踩在不同经线的蛛腿,2025/12/9 周二,20,深信服全网安全可视,看懂风险,看到风

8、险,看清关系,看见资产,评价一个系统：功能、要素、关系,深度整合智能认知,快速发现,2025/12/9 周二,21,目录,1,2,4,为什么需要强化安全检测能力,传统信息安全防护体系的问题,安全感知平台能解决什么问题,3,如何构建企业级安全感知能力,信息安全治理架构,2025/12/9 周二,企业治理,IT,治理,业务连续,信息安全,IT,安全,基础体系,ISO13335,Etc.,ISO15408,etc.,ISO20000,ISO27001,CMMI etc.,ITIL,安全治理,可视化,运维管理,可视化,安全治理可视化,2025/12/9 周二,视角：领导和决策,信息：全网安全威胁和安全

9、状态,需求：数据支撑决策,细分角度：关注外部攻击,需求信息：谁、什么方式、攻击了哪里,细分角度：安全综合管理,需求信息：分支,-,总部访问安全，分支安全评价,细分角度：关注数据安全，防泄密,需求信息：什么数据出去了，有没有安全隐患,攻击态势可视化,2025/12/9 周二,1,、有多少安全事件，哪里遭受攻击,2,、谁在攻击我，具体来自哪里,3,、有哪些高危攻击需要督促运维人员处理,安全态势可视化,2025/12/9 周二,1,、基于,GIS,展示的全网态势感知,2,、业务和信息系统安全综合评价,3,、分支机构安全态势评价和需关注的事件,外联攻击可视化,2025/12/9 周二,1,、基于,GI

10、S,的信息外连展示（国内,/,国际）,2,、外连态势关键数据展示，风险评价,3,、具体的信息泄露风险和初步判断依据,安全运维可视化,2025/12/9 周二,视角：管理和维护,信息：业务状态信息、安全事件告警、辅助分析数据,需求：问题发现和事件分析,细分角度：安不安全一目了然,需求信息：直观、全面的掌握网络和安全状态,细分角度：事件处理和问题分析,需求信息：告警区分哪些是最关键的，辅助分析形成证据链,展示首页,2025/12/9 周二,1,、业务资产可视，自动发现，颜色区分安全评级,2,、业务逻辑可视，颜色区分是否有威胁,3,、四组数据告诉管理人员需要关注的问题,01,失陷业务,2025/12

11、/9 周二,1,、处理失陷业务，关注高可疑，跟踪低可疑,2,、主要攻击类型,3,、按照资产价值、风险评价的待处理问题列表,01,失陷业务分析,2025/12/9 周二,1,、失陷或风险评价及依据,2,、谁在攻击、是否失陷、还对谁产生了影响,3,、攻击链分析，是否被当做跳板,01,失陷业务举证,2025/12/9 周二,02,风险用户,2025/12/9 周二,1,、发现多少风险用户（已失陷、高可疑），可能影响多数业务和用户,2,、详细的风险用户清单和待处理列表,02,风险用户分析,2025/12/9 周二,1,、用户风险判断和处置建议,2,、该风险,/,失陷用户访问了哪些系统，可能产生什么影响

12、02,风险用户分析,2025/12/9 周二,1,、用户风险判断和处置建议,2,、该风险,/,失陷用户访问了哪些用户，追溯问题定位影响,02,风险用户举证,2025/12/9 周二,1,、失陷,/,风险判断依据，就行有哪些攻击,/,风险行为,03,有效攻击,2025/12/9 周二,1,、多维度评价，关联攻击链，让管理员重点关注有效攻击，知道影响范围,2,、详细的有效攻击清单和待处理列表,03,有效攻击举证,2025/12/9 周二,1,、谁被攻击，攻击造成的后果,3,、如何攻击，攻击的手段和详细日志记录,2,、谁在攻击,04,外连分析,2025/12/9 周二,1,、分析主体，问题评价，是否已被控制,3,、是否有风险外连，具体时间明细,2,、与谁在通讯,4,、基于时间规律的外连行为建模，发现异常行为和数据泄露隐患,总结,2025/12/9 周二,看清业务,看清,IT,资产,业务逻辑可视,看到威胁,威胁情报关联,未知攻击检测,看懂风险,安全运维可视,有效攻击分析,辅助决策,攻击行为展示,安全态势可视,THANKS!,