天融信安全运营服务方案.pptx
- 文档编号:1185368
- 上传时间:2022-10-18
- 格式:PPTX
- 页数:49
- 大小:5.95MB
天融信安全运营服务方案.pptx
《天融信安全运营服务方案.pptx》由会员分享,可在线阅读,更多相关《天融信安全运营服务方案.pptx(49页珍藏版)》请在冰豆网上搜索。
,天融信安全运营服务介绍-数据驱动安全体系进化-,听风者实验室-刘可,PresentBy,为什么需要安全运营服务安全运营服务介绍天融信安全运营团队安全运营服务价值交付,当前网络安全现状,勒索病毒、挖矿木马、DDOS、网站攻击、高级持续性攻击、内部威胁成为当前主要的威胁形式,网络攻击更加常态化、专业化,针对性极强。
攻防形势,带来安全新挑战:
网络安全攻防形势的变化对网络安全提出了新的挑战;技术创新,带来安全新需求:
“云大物移智”等新技术的应用,WIFI、移动互联网、远程办公等带来便利的同时也带来数据泄露风险,新技术的应用带来更多业务场景,同时也对网络安全提出了新需求;监管要求,带来安全新要求:
国家和监管机构发布了“网络安全法”、信息安全等级保护2.0、普惠金融发展规划,对信息科技发展和网络安全建设提出了新要求,指明了发展方向;能力建设:
网络安全人才成为行业极大缺口,具备威胁分析追踪的人才更是紧缺;,2017年5月,永恒之蓝WannaCry病毒全球大规模爆发。
10个小时感染74个国家的45000台主机,直接经济损失数十亿美元。
2018年,挖矿成为网络黑产团伙在入侵服务器之后,最直接的变现手段。
在可预见的未来,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续。
DDOS攻击有恃无恐,Anonymous(匿名者)组织12月12日发布攻击宣言,将针对国内银行机构进行DDOS和SQL注入攻击,目标是攻陷全球的银行业巨头,使其无法正常提供服务。
世界范围内使用SWIFT系统的银行相继被曝出盗窃案件,从2015年厄瓜多尔银行损失1200万美元,到16年孟加拉国央行曝出被盗窃8100万美元。
勒索病毒持续爆发挖矿木马层出不穷APT攻击愈演愈烈内部威胁防不胜防,内部威胁成为数据泄露的第二大原因。
账号失陷、主机失陷、数据泄露、特权访问滥用、业务异常访问成为内部威胁的首要五大威胁。
威胁入侵途径,外部入侵,不合规软件,供应链问题,Web漏洞利用,第三方软件,APT攻击;Weblogic反序列化漏洞;Strust2漏洞;暴力破解;勒索病毒;,开源软件;灰色软件;盗版软件;合作公司提供软件;,合作公司;外包公司;内部人员投放长期潜伏;,供应链安全,内部威胁,内网终端、服务器染毒;内网攻击注入;内部数据泄露;社工;,内网边界,当更多的0DAY漏洞和未知威胁穿透当前的安全防御体系后,如何尽快地做出响应,锁定攻击范围,最大程度地减少损失,成为企业燃眉之急!
现有安全防御检测体系面临的挑战,入侵检测/防御,基于特征关键字进行控制,无法检测异常行为、等未知内容,WAF,基于特征检测,需要动态更新策略;存在被绕过情况,杀毒软件,基于代码指纹进行检测,缺乏动态行为深度分析,无法识别未知恶意代码,4A(IAM),存储有全部主机、应用系统的账号、口令,已经成为攻击者的重要渗透目标,防火墙,基于IP、端口进行拦截,缺乏对内容的深度分析,对未知攻击检测能力严重不足,防御深度不足,编码绕过、特殊字符污染绕过、异常Method绕过、超大数据包绕过、数据包分块传输绕过,容易被绕过,误报告警数据量太大无法对序列化行为等方式进行检测检测规则没有及时更新,检测能力的缺陷,服务器端普遍没有安装杀软大量内网横向移动攻击工具采用免杀框架。
免杀成为横向移动基础功能,实战经验证明,各个厂商4A系统存在大量漏洞,成为内部安全隐患的首要引爆点,安全系统成为重要风险点,现有安全分析体系面临的挑战,分析手段,数据挖掘,安全应用,数据源,大数据技术,可视化技术,威胁情报,事件检索异常行为分析,流程响应,风险告警趋势分析,安全分析体系存在的问题,分析能力,研判能力,处置能力,识别数据源的质量问题,分析场景的覆盖度,最新攻击手法的跟踪,分析模型的动态更新,是否真实的攻击?
攻击的影响范围?
处置流程?
攻击对手是谁?
模型结果研判?
攻击是否成功?
脆弱性修复,防御检测策略加固,安全的视角需要作出变化积极的检测和响应则是以威胁为中心,它不再强调单点的检测,也不再单纯的追求告警的精确性,促使防御者从面上去着手,将若干的点关联起来,以数据为驱动来解决问题。
在整个过程中(数据收集、检测、分析)都需要以威胁为中心。
以威胁为中心,用数据来驱动安全,是检测发现威胁的有效手段,什么样的能力才能解决以上安全问题,基于云的服务和交付:
分析以服务形式交付云端安全分析专家分析工具及分析平台情报共享,软件服务和集成层,分析层,发布/订阅,事务处理消息总线.,采集标准化去重压缩/加密.,SIEM,DFIR,EDR,TIP,IRP,UEBA.,通用分布式数据服务,策略优化策略更新,自动化和业务流程层,安全设备日志,流量,主机日志,威胁情报,IAM,资产信息,脆弱性,.),SOAPA(securityoperationsandanalyticsplatformarchitecture安全运营与分析架构)1.网络安全分析(DFIR),能够对网络流量进行深入分析。
安全控制:
事件响应平台(IRP),收集、处理和分析安全数据,确定警报的优先级,并尽快解决问题。
并立即对已识别的问题采取措施。
端点检测和响应工具(EDR),允许安全人员审查主机行为。
用户行为分析(UBA)/机器学习,依靠数据科学的能力解决安全问题,减少人工的投入。
反恶意软件沙箱,允许安全人员了解恶意软件攻击,尤其是那些利用提供商尚不知道的漏洞的攻击。
威胁情报(TIP),允许网络安全人员比较和对比他们网络中发生的异常与野外发生的异常。
安全资产管理器和漏洞扫描程序,允许安全专业人员了解要优先处理的警报。
SOAPA有助于解决当今企业组织面临的安全问题:
专业的安全分析人员短缺无法及时响应安全事件已部署大量安全设备,无法进行有效管理及使用无法跟踪当前的热点威胁并进行有效防御,为什么需要安全运营服务天融信安全运营服务介绍安全运营服务安全运营中心天融信安全运营团队安全运营服务价值交付,安全运营服务地图通过建立对数据、人、分析、响应机制的结合,为企业提供一站式安全服务,利用数据分析驱动安全体系的进化,结合威胁检测响应服务提升整体安全运营能力,以此来为业务保驾护航。
互联网暴露面管理,终端/主机日志分析,应急演练/红蓝对抗,安全加固,威胁猎捕,防御评估,安全运营服务,安全资产梳理,主动漏洞验证,恶意样本分析,重大活动安保,漏洞管理,数据分析,策略优化,威胁监控,策略防护验证,告警研判处置,防御评估,风险管理,重要漏洞预警,安全事件管理,威胁溯源,数据分析驱动安全流量分析监控安全设备事件分析监控,RedTeam测试,案例管理,事件管理,SOAR,自动化编排,安全数据分析培训,天融信安全运营中心平台态势感知情报中心事件处置威胁建模数据治理数据采集,用户现有安全产品,安服团队专业安全工具,安全运营服务内容,数据分析培训,RedTeam测试,数据分析,漏洞管理,风险管理,06让企业快速获取攻击者技战术手法,培养安全数据分析人员,发现数据背后隐藏的威胁,使其具备检测当今威胁所需的技能、工具、流程等专业知识。
02以数据分析发现威胁入侵为驱动力,依靠RedTeam测试进行暴露面资产梳理,进行主动漏洞验证,协助企业完成漏洞加固,重大安全事件提供预警及应急响应。
01分析专家通过威胁模型及机器学习的组合进行高级威胁检测,对企业内外部安全威胁提供全面的可见性;构建起协同联动的实战化运行体系,赋能用户,筑起对抗高级威胁的安全防线,03对安全设备及威胁建模分析后的告警数据进行研判,提供告警优先级处置,并依据安全专家知识库快速地处理需要调查和采取行动的安全事件,对已爆发的安全风险进行有效监控,溯源攻击来源与评估影响。
04RedTeam测试是主动漏洞验证与防御评估的驱动力,能够识别并验证企业环境中的中高危漏洞以及防御设施的有效性及薄弱点,完善企业应急响应流程。
05对现有防御措施进行验证,发现存在的薄弱点,对防御设备规则、检测设备规则、日志分析规则优化。
对缺乏安全技术手段的真空地带,协助指导后期安全建设规划建设。
防御评估,互联网暴露面管理,终端/主机日志分析,应急演练/红蓝对抗,安全加固,威胁猎捕,防御评估,实战型安全运营服务,安全资产梳理,主动漏洞验证,恶意样本分析,重大活动安保,漏洞管理,数据分析,策略优化,威胁监控,策略防护验证,告警研判处置,防御评估,风险管理,重要漏洞预警,安全事件管理,威胁溯源,数据分析驱动安全流量分析监控安全设备事件分析监控,RedTeam测试,案例管理,事件管理,SOAR,自动化编排,安全数据分析培训,安全运营服务-数据分析通过建立对数据、人、分析、响应机制的结合,为企业提供一站式安全服务,利用数据分析驱动安全体系的进化,结合威胁检测响应服务提升整体安全运营能力,以此来为业务保驾护航。
扫描探测,异常行为分析,特征分析,机器学习,威胁情报,威胁类型,分析模型,已知模型,安全运营服务-数据分析-分析理念,以威胁研究生与产追踪系为统中访心问,将路威径胁分为已知威胁和未知威胁两大类,利用异常行为分析、规则分析、机器学习、威胁情报等手段不断探索发现更多的未知威胁,通过分析建模等方式定义已知,标识正常行为,减少未知。
标识异常,不断探索,未知威胁,数据分析服务,暴力破解,内部威胁,漏洞利用,.,网络流量Netflow全流量,安全日志网络设备,安全设备主机系统,应用系统中间件,数据库,资产信息人员信息,设备信息主机信息,应用信息,2,3,4,5,1,安全设备日志,安全系统日志,流量日志,主机日志,终端日志,8,企业自有数据,7,应用日志,6,数据库日志,数据,类型,设备类型:
FW、IDS、IPS、WF、VPN、垃圾邮件网关、,防病毒网关、APT、僵木儒、DDOS等,采集方式:
Syslog,数据类型:
Netflow、HTTP、DNS、Mail、FTP、SSL等采集方式:
企业侧自有流量解析探针、天融信流量解析探针,数据类型:
WindowsEvent、LinuxRsyslog、增强采集:
WindowsSysmon、LinuxOsquery采集方式:
NXlog、syslog,数据类型:
数据库审计、堡垒机,采集方式:
Syslog、数据库,数据类型:
IP地址段、域名、资产信息、组织架构采集方式:
文件,安全运营服务-数据分析-数据类型安全设备,安全系统设备类型:
上网行为、DLP、漏洞扫描、防病毒、堡垒机、日志审计、SOC等采集方式:
Syslog、数据库、API、现场拷贝,流量日志,主机日志,终端日志设备类型:
准入、EDR等采集方式:
Syslog、数据库,数据库,应用日志数据类型:
门户、OA、CRM、AD域控采集方式:
Syslog、文件、数据库、现场拷贝,企业自有数据,安全运营服务-数据分析-分析场景,安全运营服务-增强型日志采集-应对横向移动,威胁狩猎是通用数据分析能力的有效补充,帮助企业在事件发生之前寻找威胁,并促进检测规则的开发。
创建基于假设,调查通过TTP,发现新的TTP,通告|强化分析,安全运营服务-数据分析-威胁狩猎,来源:
“ThreatHunting:
OpenSeasonontheAdversary,”RobertM.Lee,SANSInstitute,2016,52%74%59%,发现之前未检测到的威胁,减少攻击面,提升响应的速度和精度,主动分析为中心假设被入侵补充检测能力关注线索基于威胁情报IOC,互联网暴露面管理,终端/主机日志分析,应急演练/红蓝对抗,安全加固,威胁猎捕,防御评估,对抗型安全运营服务,安全资产梳理,主动漏洞验证,恶意样本分析,重大活动安保,漏洞管理,数据分析,策略优化,威胁监控,策略防护验证,告警研判处置,防御评估,风险管理,重要漏洞预警,安全事件管理,威胁溯源,数据分析驱动安全流量分析监控安全设备事件分析监控,RedTeam测试,案例管理,事件管理,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天融信 安全 运营 服务 方案