深信服年度安全技术汇报.pptx（内容不多，全是干货）

亲爱的用户朋友们：

感谢您在百忙之中来到深信服智安全2021年度技术报告。

在准备今天的报告的过程中，我们采访了几位老朋友，听他们讲述了今年发生在安全产品上的故事……

听了每个人的故事后，我们非常感动和高兴。我们相信安全产品帮助用户解决了这么多问题，这也使我们更有动力继续迭代技术能力，不断改进更简单有效的安全产品和服务，并不断提供更担心和可靠的解决方案。

今年，我不知道你今年关心什么？需求是什么？你也应该思考如何通过技术创新解决这些问题和需求？

   是的，我们也在研究和思考你的问题和需求，并给出答案。

今年，我们统计了整个网络Web攻击%以上的攻击来源来自自动化威胁。我们与用户达成共识：面对自动化威胁，传统的边界保护像薄纸一样脆。依靠现有的规则和发动机保护能力，我们注定要被动地挨打。我们需要开发积极的防御技术来解决这个问题。

主动防御技术不基于任何特征、规则和阈值进行保护，跳出了传统机制的局限性。

根据攻击过程，攻击者依靠自动化工具快速收集信息，发现系统漏洞，防止要求被安全设备拦截IP；在后期，攻击者将扫描大量内网资产，并迅速横向渗透。

在这方面，我们的主动防御系统采用了三层保护：人机主动防御、设备指纹堵塞、主动诱捕技术（云蜜罐），全面打击攻击者的前、中、后，为用户安全防护创造铜墙和铁墙。

目前，我们的主动防御技术已经应用Web应用防火墙WAF、下一代防火墙AF产品覆盖70%扫描器；下一代防火墙AF高级威胁行为拦截率提高47%，自动攻击识别率提高80%，改变了过去需要人工研究和判断的方式，大大缩短了威胁发现时间，帮助用户提高了运营效率。

2021年，0Day漏洞层出不穷，我们发现仅在第一季度，就首次发现了74%的恶意文件0Day文件。针对最近披露的史诗级漏洞Apache Log4j2，深信安全云脑数据显示，到目前为止，利用这个漏洞的攻击已经超过1000万次，我们已经成功地帮助6000多名用户阻止了非法入侵，并逮捕了它Tellmeyoupass、mirai、z0miner、H2miner、BillGates等十几个黑产组织。用户对高级威胁检测和证据追溯的需求日益增加，我们不能视而不见。

我们开发了针对传统杀毒引擎无法检测到的高级威胁IoA（Indicator of Attack）先进的威胁检测系统。不同于传统的方法检测攻击工具，IoA高级威胁检测系统专注于检测攻击的技术、战术和过程，了解攻击者的意图，并在终端上进行深度检测和防御。

终端会检测到攻击者在终端上不同攻击阶段的所有行为EDR收集记录，然后基于用户真实环境的上下文关联，通过上下文的聚合分析，检测到攻击事件或潜伏在内网的攻击，并以进程链的形式恢复攻击路径，帮助用户可视化地显示攻击事件。

很高兴和大家分享，深信服IoA自2021年11月以来，先进的威胁检测系统一直在试点，仅一个月就部署在8000 终端上，检测一起使用Gitlab真实完整的恶意攻击，200 黑灰攻击，20 红队攻击(检出率100%)。

今年，国家发展和改革委员会重点关注虚拟货币挖掘的全链管理。到今年年底，各级政府和相关行业都做出了回应，并通知了许多单位。采矿行为不仅会导致计算机卡住，CPU一些采矿主机很可能被植入病毒，导致更严重的网络安全攻击。加密开采逐渐成为主流，明确的检测规则不再适用。我们迫切需要解决用户对加密开采的检测需求。

因此，我们专注于恶意加密流量的识别。在早期阶段，我们通过运行沙箱样本和执行黑客工具收集了大量的恶意加密流量。从加密前后的通信特点推断出，开发了一套专门针对恶意流量的精确识别模型。

深信服加密流量识别的核心算法已申请20项发明专利，包括异常检测、机器学习、深度学习等。

值得注意的是，我们的加密挖掘检测有效检测设备超过1000 ，矿池IP50多 涉及多个挖矿家族(紫狐、双枪、独狼、贪狼等)。)，覆盖多种常见货币(门罗币、以太坊、奇亚币等。

随着攻防技术的升级，黑客的攻击技术越来越隐蔽。大量加密技术用于将恶意流量隐藏在正常流量中，成功绕过防护设备。数据显示，通过 Internet 使用了近一半的恶意软件与远程系统通信TLS加密通信。然而对于此类隐藏的高级威胁，用户完全无感，极易造成数据泄露等重大安全事件。

在这方面，我们创新地提出了异常检测 主动检测的未知威胁检测。在异常检测阶段，根据流量特征发现可疑行为，实现低泄漏、高检测，然后在主动检测阶段进行二次验证，实现零误报，确保推送事件的准确性。

目前，这种检测技术已经上线了SIP、NDR，托管安全运营服务MSS，覆盖60 用户，提交120 高价值事件，包括黑客攻击、非法操作、攻防演练等场景。

随着网络安全的发展，用户在安全加对安全建设的投资，购买大量的安全设备，但仍不能做好安全操作，为什么？我们发现用户的不同安全设备会发出大量报警，运营商缺乏丰富的处置经验，人工处置往往不及时；同时，不同厂家的设备不能联动，也给用户带来了不能及时处置的工作负担，导致运营成本增加，用户深受困扰。

因此，我们建立了深信服安全产品联动能力体系SOAR安全安排和自动响应将安全建设提高到智能、自动、动态能力，实现闭环自动响应、持续安全运行。

到现在，我们的SOAR30 种子用户验证了安全安排和自动响应能力，其中实施了金融客户安全运营响应处置的标准化流程SOAR在剧本中，9个场景剧本被测试。

如何有效地检测、响应和处理安全问题效地检测、响应和处理它们？我们充分利用人工智能和机器学习的快速发展AI的泛化和学习能力去应对安全攻击的变化，在AI例如，赋能安全取得了明显突破AISecOps多源日志分析系统，AI监控和加密数字资产WebShell通信等。

截至2021年底，深信托管安全运营服务MSS各行各业有1000多名在线用户。仅从数据中，我们就可以看到，所有用户每天生成数亿个安全日志，每个用户每天需要面对大约35万个安全日志。

从这个角度来看，我们开发了一套先进的多源日志分析系统MSS在云上海的安全日志中，高效自动地挖掘出高价值的安全事件，帮助用户快速处理威胁，优化安全服务体验。

除多源日志分析系统外，我们还整合了数字风险防护（DRP）理念，推出AI监控数字资产。

通过广泛收集互联网空间数据，结合相信自己的威胁情报数据AI大数据技术采用多种智能内容发现和分析算法，帮助用户快速准确地发现和处理数据泄露、品牌假冒、资产损失等外部风险，帮助用户提高安全运行效率。

我们都意识到，随着企业数字转型、业务云、移动办公的兴起，应用程序、数据和用户的位置分布正在悄然发生变化。用户无法适应基于本地数据中心的业务访问和保护计划SaaS化学后带来的安全问题。

通过云交付安全模式，我们提出了在云中构建安全防护体系的思路SASE服务（云安全访问服务）帮助用户在云上建立一个新的安全边界。下一代防火墙、互联网行为管理、终端检测响应、零信任安全接入等，通过聚集云上交付现有的最新安全能力，SASE能够实现安全能力的实时更新和灵活扩展，大大降低安全施工成本，让用户有更多的时间和精力投入业务创新。

目前，深信服在中国区域和全球主要国家部署了超过25个POP该节点覆盖了中国大部分省份，拥有4500多个用户和60多万个在线保护终端。

技术创新突破是产品竞争力的基础，是产品质量的保证。

从帮助解决用户问题的角度来看，我们一次又一次地突破技术，用硬核的力量在多场比赛和峰会克服困难。

事实证明，今年，我们确实采取了实际行动，以更创新、更核心的技术实力护送您的业务安全，甚至多个重要的公共事务。

回归用户对安全建设最基本的需求是简单有效的。我们相信，技术创新的浪潮将继续为用户更简单、更有效的数字建设输出强大的动力。

来日方长，未来可期，新的一年，我们将继续携手共进！