深信服年度安全技术汇报.pptx(内容不多,全是干货)
亲爱的用户朋友们:
感谢您在百忙之中来到深信服智安全2021年度技术报告。
在准备今天的报告的过程中,我们采访了几位老朋友,听他们讲述了今年发生在安全产品上的故事……
听了每个人的故事后,我们非常感动和高兴。我们相信安全产品帮助用户解决了这么多问题,这也使我们更有动力继续迭代技术能力,不断改进更简单有效的安全产品和服务,并不断提供更担心和可靠的解决方案。
今年,我不知道你今年关心什么?需求是什么?你也应该思考如何通过技术创新解决这些问题和需求?
是的,我们也在研究和思考你的问题和需求,并给出答案。
今年,我们统计了整个网络Web攻击%以上的攻击来源来自自动化威胁。我们与用户达成共识:面对自动化威胁,传统的边界保护像薄纸一样脆。依靠现有的规则和发动机保护能力,我们注定要被动地挨打。我们需要开发积极的防御技术来解决这个问题。
主动防御技术不基于任何特征、规则和阈值进行保护,跳出了传统机制的局限性。
根据攻击过程,攻击者依靠自动化工具快速收集信息,发现系统漏洞,防止要求被安全设备拦截IP;在后期,攻击者将扫描大量内网资产,并迅速横向渗透。
在这方面,我们的主动防御系统采用了三层保护:人机主动防御、设备指纹堵塞、主动诱捕技术(云蜜罐),全面打击攻击者的前、中、后,为用户安全防护创造铜墙和铁墙。
目前,我们的主动防御技术已经应用Web应用防火墙WAF、下一代防火墙AF产品覆盖70%扫描器;下一代防火墙AF高级威胁行为拦截率提高47%,自动攻击识别率提高80%,改变了过去需要人工研究和判断的方式,大大缩短了威胁发现时间,帮助用户提高了运营效率。
2021年,0Day漏洞层出不穷,我们发现仅在第一季度,就首次发现了74%的恶意文件0Day文件。针对最近披露的史诗级漏洞Apache Log4j2,深信安全云脑数据显示,到目前为止,利用这个漏洞的攻击已经超过1000万次,我们已经成功地帮助6000多名用户阻止了非法入侵,并逮捕了它Tellmeyoupass、mirai、z0miner、H2miner、BillGates等十几个黑产组织。用户对高级威胁检测和证据追溯的需求日益增加,我们不能视而不见。
我们开发了针对传统杀毒引擎无法检测到的高级威胁IoA(Indicator of Attack)先进的威胁检测系统。不同于传统的方法检测攻击工具,IoA高级威胁检测系统专注于检测攻击的技术、战术和过程,了解攻击者的意图,并在终端上进行深度检测和防御。
终端会检测到攻击者在终端上不同攻击阶段的所有行为EDR收集记录,然后基于用户真实环境的上下文关联,通过上下文的聚合分析,检测到攻击事件或潜伏在内网的攻击,并以进程链的形式恢复攻击路径,帮助用户可视化地显示攻击事件。
很高兴和大家分享,深信服IoA自2021年11月以来,先进的威胁检测系统一直在试点,仅一个月就部署在8000 终端上,检测一起使用Gitlab真实完整的恶意攻击,200 黑灰攻击,20 红队攻击(检出率100%)。
今年,国家发展和改革委员会重点关注虚拟货币挖掘的全链管理。到今年年底,各级政府和相关行业都做出了回应,并通知了许多单位。采矿行为不仅会导致计算机卡住,CPU一些采矿主机很可能被植入病毒,导致更严重的网络安全攻击。加密开采逐渐成为主流,明确的检测规则不再适用。我们迫切需要解决用户对加密开采的检测需求。
因此,我们专注于恶意加密流量的识别。在早期阶段,我们通过运行沙箱样本和执行黑客工具收集了大量的恶意加密流量。从加密前后的通信特点推断出,开发了一套专门针对恶意流量的精确识别模型。
深信服加密流量识别的核心算法已申请20项发明专利,包括异常检测、机器学习、深度学习等。
值得注意的是,我们的加密挖掘检测有效检测设备超过1000 ,矿池IP50多 涉及多个挖矿家族(紫狐、双枪、独狼、贪狼等)。),覆盖多种常见货币(门罗币、以太坊、奇亚币等。
随着攻防技术的升级,黑客的攻击技术越来越隐蔽。大量加密技术用于将恶意流量隐藏在正常流量中,成功绕过防护设备。数据显示,通过 Internet 使用了近一半的恶意软件与远程系统通信TLS加密通信。然而对于此类隐藏的高级威胁,用户完全无感,极易造成数据泄露等重大安全事件。
在这方面,我们创新地提出了异常检测 主动检测的未知威胁检测。在异常检测阶段,根据流量特征发现可疑行为,实现低泄漏、高检测,然后在主动检测阶段进行二次验证,实现零误报,确保推送事件的准确性。
目前,这种检测技术已经上线了SIP、NDR,托管安全运营服务MSS,覆盖60 用户,提交120 高价值事件,包括黑客攻击、非法操作、攻防演练等场景。
随着网络安全的发展,用户在安全加对安全建设的投资,购买大量的安全设备,但仍不能做好安全操作,为什么?我们发现用户的不同安全设备会发出大量报警,运营商缺乏丰富的处置经验,人工处置往往不及时;同时,不同厂家的设备不能联动,也给用户带来了不能及时处置的工作负担,导致运营成本增加,用户深受困扰。
因此,我们建立了深信服安全产品联动能力体系SOAR安全安排和自动响应将安全建设提高到智能、自动、动态能力,实现闭环自动响应、持续安全运行。
到现在,我们的SOAR30 种子用户验证了安全安排和自动响应能力,其中实施了金融客户安全运营响应处置的标准化流程SOAR在剧本中,9个场景剧本被测试。
如何有效地检测、响应和处理安全问题效地检测、响应和处理它们?我们充分利用人工智能和机器学习的快速发展AI的泛化和学习能力去应对安全攻击的变化,在AI例如,赋能安全取得了明显突破AISecOps多源日志分析系统,AI监控和加密数字资产WebShell通信等。
截至2021年底,深信托管安全运营服务MSS各行各业有1000多名在线用户。仅从数据中,我们就可以看到,所有用户每天生成数亿个安全日志,每个用户每天需要面对大约35万个安全日志。
从这个角度来看,我们开发了一套先进的多源日志分析系统MSS在云上海的安全日志中,高效自动地挖掘出高价值的安全事件,帮助用户快速处理威胁,优化安全服务体验。
除多源日志分析系统外,我们还整合了数字风险防护(DRP)理念,推出AI监控数字资产。
通过广泛收集互联网空间数据,结合相信自己的威胁情报数据AI大数据技术采用多种智能内容发现和分析算法,帮助用户快速准确地发现和处理数据泄露、品牌假冒、资产损失等外部风险,帮助用户提高安全运行效率。
我们都意识到,随着企业数字转型、业务云、移动办公的兴起,应用程序、数据和用户的位置分布正在悄然发生变化。用户无法适应基于本地数据中心的业务访问和保护计划SaaS化学后带来的安全问题。
通过云交付安全模式,我们提出了在云中构建安全防护体系的思路SASE服务(云安全访问服务)帮助用户在云上建立一个新的安全边界。下一代防火墙、互联网行为管理、终端检测响应、零信任安全接入等,通过聚集云上交付现有的最新安全能力,SASE能够实现安全能力的实时更新和灵活扩展,大大降低安全施工成本,让用户有更多的时间和精力投入业务创新。
目前,深信服在中国区域和全球主要国家部署了超过25个POP该节点覆盖了中国大部分省份,拥有4500多个用户和60多万个在线保护终端。
技术创新突破是产品竞争力的基础,是产品质量的保证。
从帮助解决用户问题的角度来看,我们一次又一次地突破技术,用硬核的力量在多场比赛和峰会克服困难。
事实证明,今年,我们确实采取了实际行动,以更创新、更核心的技术实力护送您的业务安全,甚至多个重要的公共事务。
回归用户对安全建设最基本的需求是简单有效的。我们相信,技术创新的浪潮将继续为用户更简单、更有效的数字建设输出强大的动力。
来日方长,未来可期,新的一年,我们将继续携手共进!
免责声明:世链矿业网作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链矿业网无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。