深信服安全感知平台(内部资料)
信息安全-深信服安全感知
大
数
据 时间序列分析
二类分类
多类分类
聚类
分
析
DNS flow引擎
SMTP flow引 擎
POP3 flow引 擎
HTTP flow引 擎
SMB flow引擎
AD flow引擎
离群点检测 IMAP flow引
擎
文件鉴定引擎
异常行为分析建模
长
周
期
用户行为
分
析
场景建模
流量行为 算法集合
操作行为 专家规则
高级威胁检测
运维人员精力有限,处置效率低
看不到威胁的扩散,处置不彻底
根因分析: 设备之间难以协同响应,缺乏影响面分析
一.新的安全形势与挑战 二.面向未来,有效保护 三.深信服安全感知平台 四.产品特色及成功案例
安全建设从被动防御到主动防御升级
被动防御
防御为主、被动响应
• 边界防护 • 入侵防护 • 主机杀毒
建议部署拓扑图
➢ 一个信息汇集分析中心 ----- 织网蛛的大脑
➢ 多个散布的信息采集点 ----- 踩在不同经线的蛛腿
一.新的安全形势与挑战 二.面向未来,有效保护 三.深信服安全感知平台 四.产品特色及成功案例
持续创新,引领技术
• 13年技术积累,基于全流量的深度挖掘能力国内第一;
一.新的安全形势与挑战 二.面向未来,有效保护 三.深信服安全感知平台 四.产品特色及成功案例
国家高度重视网络安全建设
习主席4.19讲话
网络安全法
十三五信息化规划
网络安全等级保护2.0
没有网络安全就没有国家安全 树立动态、综合防护的防护理念 全天候全方位感知网络安全态势 构建关键基础设施安全保障体系 对新型威胁进行持续检测和分析
信息安全-安全感知平台(SIP)主打PPT
传统安全体系的挑战之三:响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因:安全人才数量少,难培养,不能多精;
如何应对?
构建一个可感知、易运营的安全大脑
外部威胁情报
数据中心
广域网 局域网
在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
全局可视能力:宏观辅助决策
脆弱性可视
全网安全态势可视
外部攻击态势可视
内部横向威胁可视
全局可视能力:微观精准运营
业务维度可视
攻击链可视
详细威胁举证 影响面分析
协同响应能力:三级响应机制
一键阻断 用户提醒
安全感知系统SIP
数
据
探针STA
脆弱性检测
大数据
检测算法
访问关系
业务识别
构建准确的检测模型
交付&可视
整体安全态势 业务安全风险 业务访问关系 横向威胁分析 Kill chain趋势 异常行为画像 安全失陷举证
为业务决策服务的可视化
处置&响应
NGAF联动封堵 EDR联动查杀 上网行为管理联动提醒 安全专家人工服务
协同联动+人工服务
海量数据采集能力
华东某三甲医院
项目背景&部署方式
该医院安全建设非常完善,且内外网隔离环境让客户认为安全 没有问题。只到2017年7月该医院被卫计委对对于其官方网站发生 的篡改事件进行了通报。
客户寻找到多家厂商进行测试,均未发现问题。于是客户找到 我们为其进行安全检测:潜伏威胁探针部署在医院内外网核心交 换机上,安全感知平台部署在内网核心交换机上。
信息安全-XSec集成安全平台主打ppt-v1.0
上海某酒店5亿条用户数据遭泄露
思科高危漏洞清明期间被利用
台积电感染WannaCry勒索软件三天损 失17.6亿
......
漏洞 配置 弱密码 开放端口 其他暴露面
为对抗外部威胁不断增加的安全产品
VS 运维管理
产品服务
定位问题困难,业务恢复周期长
运维管理复杂
增加安全产品设备带来上线难度
安全接入区
互联网出口
基于威胁的统一风险防范
1
多重手段的事前防范
2
快速闭环
3
集成化快速联动响应
1 安全现状让安全工作愈发复杂 2 安全建设正在发生的变化 3 深信服XSec集成安全平台 4 集成安全平台核心能力 5 优势与典型应用场景
快速集成的能力
第三方合作伙伴安全产品 (用户可自行集成)
OVA文件 qcow2文件
EDR TRAP
XSec 运维审计 日志审计 基线核查 漏洞扫描 数据库审计 ……
EDR TRAP
外部业务区
内部业务区
XSec集成安全平台
下一代防火墙 运维安全管理
2级等保套餐
上网行为管理
日志审计
主机安全 数据库审计
下一代防火墙 运维安全管理
应用负载
3级等保套餐
上网行为管理 日志审计 基线核查
WAF 运维安全管理
局 新疆自治区安监局 泰州市公路管理局 阜阳市监察委员会 乌鲁木齐市交通运输局 佛山市社会保险基金管理局
……
企业
福建省日报社 杭州文化广播电视集团 人民法院电子音像出版社
厦门水务集团 江阴市江南水务 威海市水务集团有限公司 山西中科曙光云计算科技有限公司 上海机场(集团)有限公司 中物(北京)物流信息服务有限公司 上海风寻信息技术有限公司 中交城市投资控股有限公司 贵州黔通智联科技产业发展有限公司 广东江中高速公路有限公司 上海纳客宝信息技术有限公司 福州市少儿图书馆 浙江省水利河口研究院 大连市庄河海上风电场 冠丰房地产开发有限公司素凯泰酒店 银湖酒店有限公司佘山索菲特大酒店
深信服行为感知系统(政府企业)- 内部培训V3
企业
➢ 离职员工顺走企业核心数据信息,导致企业经济损失,比如设计图纸、客户信息等 ➢ 特权用户日常工作接触到核心数据,存在将这些重要的数据资产外发的可能。
泄密追踪分析 应用效果
泄密追踪分析
目标客户
政府、中大型企业
应用价值
外发概括:掌握外发文件的总数,外发文件的类型,外发通路 泄密追溯:可根据关键字或文件,追溯到已泄密员工 泄密预警:可设定条件触发泄密预警,及时发现泄密风险
关键字营销分析(人员喜好分析)
应用背景
如何掌握到店人员的关注点,关注什么产品、产品属性等;如cs店:用户看了什 么车型,买了什么车型,喜欢什么颜色的。如何能了解这些信息,销售将事半功陪。
目标客户
各种门店,如汽车的cs店;商超 ... (营销部/销售部)
应用功能
事先设置多个关键字词组,比如:长城车型、其他车型等,支持自定义 基于网页标题和网页搜索关键词的审计,BA进行关键词命中分析 支持基于时间、区域、用户组等维度分析,进行关键词的热度排行分析
全新系统界面
已有哪些应用?
价值主张
让数据更新有价值 ① 网络运维管理 ② 组织行为风险识别 ③ 辅助决策、优化服务质量、提升组织效率
2
我们卖什么?
行为感知系统的组成
数据分析部分(软件)
数据汇总、建模分析、展示
行为感知系统软件BA2.0
数据采集部分(硬件)
上网行为管理(AC) 无线数据 AF(深信服防火墙) 其他系统日志
2020/3/22
APP热度分析
应用背景
广告投放的途径较多,如何衡量哪个途径上加大投入种门店(如汽车的cs店);商超 ...
深信服SD-WAN产品介绍
多种业务场景匹配SD-WAN方案
解决方案
适用场景
关键业务价值
保障核心业务体 验
提高业务连续性
降低线路成本 易部署易运维
安全加固
多WAN选路和优 多条或计划扩展多条
化
(MPLS+专线+VPN+4G)
✔
云网融合
业务上云,单线路或者 双线路VPN入云
跨境云组网
跨境采用单条专线或者 VPN
✔
连锁分支组网
单线路MPLS或者VPN, 可能存在扩容多条
WOC
广域网优化
主机安全 资产识别、漏洞扫描、防入侵、 恶意代码防护
业务安全 身份认证与权限控制、web漏洞 识别、应用层攻击防范
数据安全 审计合规、特权管控、DLP、访 问可视
aBOS
分支一体机
平台可视化呈现,看的懂安全,快速处置威胁
外部威胁情报
全网安全感知平台
广域网安全威胁
行为分析、机器学习 UEBA、专家辅助
数据中心
灾备数据中心
公有云
SaaS
专线 WAN
互联网 WAN
远程分支
远程分支
远程分支
业务痛点:
1. 分支路由器要分别接入多个公有云、物理数据 中心,传统路由器无法同时建立多条VPN隧道到 云和数据中心,且故障无法快速切换影响业务 稳定性;VPN管理、设备运维工作极其复杂。
2. 分支快速扩张要求分支易部署,然而传统分支 部署周期长。
深信服SD-WAN产品介绍
地市一组 BU 王彦翔
1 业务转型下的企业组网挑战 2 业务转型下WAN最佳实践思路 3 深信服SD-WAN解决方案 4 深信服SD-WAN核心优势和
应用场景
安全感知平台(SIP)
中
心
EDR插件 EDR插件 EDR插件
探针STA
端点查杀
一键阻断:自动阻断木马与黑客通信 端点查杀:端点执行扫描、查杀等动作 高级人工服务:安全应急响应,解析网络
威胁现状和威胁,并给出安全建设建议
专家服务
办 公 区
协同响应能力
一键阻断
用户提醒
端点查杀
西南某电子政务外网
需求现状
1. 部署了大量的安全防护设备,仍然发生 网页被篡改的安全事件;
国内多个互联网公司数据泄露
就在2017年上半年,国内多个互联网企业的用 户隐私信息遭到泄露,甚至是售卖,影响恶劣。
根因:以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等) 缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力
传统安全体系的挑战之二:看不懂
客户平均每天生成安全告警日志多达上万条 各类安全日志分散在各种安全设备上 安全日志以安全事件角度展示
背景介绍
419讲话---习主席
“谁进来了不知道、是敌 是友不知道、干了什么不 知道”,长期“潜伏”在 里面,一旦有事就发作了
《“十三五”国家信 息化规划》
全天候全方位感知网络安 全态势。加强网络安全态 势感知、监测预警和应急 处置能力建设
2016.4
2016.12
网络安全法开始实施
使得网络安全有法可依, 各行业更加重视网络安 全建设
等保2.0标准
对网络行为、潜伏未知 威胁进行持续检测和分 析
2017.6
即将发布
传统安全体系的挑战之一:看不见
WannaCry
2017年5月,WannaCry勒索病毒全球大爆发,至 少150个国家、30万名用户中招,造成损失达80亿 美元,已经影响到金融,能源,医疗等众多行业,造 成严重的危机管理问题
深信服安全业务快速选型报价一纸通
深信服安全业务渠道销售指导以下所有产品给客户的首次报价应不低于6折,具体成本请联系您的深信服接口人:XXX一、网关安全类:AF(下一代防火墙)、AC(上网行为管理)、SSL VPN(1)AC选型参考出口带宽和用户数,报价涉及网关杀毒、多线路、BA等模块以及URL库升级和服务;(2)AF选型主要参考带宽,报价涉及增强级模块、杀毒与未知威胁防护、VPN模块、多线路(2U设备)、最新威胁防御(URL库、安全规则库更新)和服务;(3)SSL选型主要参考并发用户数,报价涉及多线路模块、SSL 接入授权、远程应用发布模块、远程应用发布并发接入授权(必须先买)、短信认证模块、集群授权(第三台起免费)、动态令牌认证模块+加密狗、口袋助理验证码模块等。
二、旁路检测类:SIP(安全感知平台)SIP选型主要参考探针数量和模式选型,高级模式与标准模式的差别在于是否审计分析正常流量,对于安全威胁的检测分析能力相同,探针选型主要参考镜像交换机的流量大小。
报价涉及设备与软件的接入授权,包括深信服设备接入授权、第三方设备接入授权、第三方系统软件接入授权、主管单位版本授权。
三、终端安全类:EDR(端点检测响应系统)、EMM(1)EDR选型参考终端数量及操作系统类型,报价区分PC端操作系统、windows服务端与Linux服务端分别报价,PC端涉及智防(恶意文件检测)、智控(微隔离)、智响应(联动响应)模块,windows Server与Linux Server 报价默认包含全部模块(不可以分开购买);(2)EMM选型:四、分支组网类:SDWAN备注:aBOS里面的vAC/vAF/vWOC/vSSL需要按照带宽和并发授权选型五、解决方案类:等保合规、软件定义安全(1)等级保护备注:深信服提供全套的等级保护合规方案,请联系厂家BU提供等保方案咨询。
(2)软件定义安全等保一体机中各个组件选型跟对应硬件设备选型方法一致,网络串接的组件均按照流量选型,旁路部署的组件均按照授权数来选型;等保一体机中的各个组件默认免费开通该组件所有模块,无需考虑模块开通。
网络安全等级保护:深信服安全感知平台白皮书_V3.0
网络安全等级保护:深信服安全感知平台白皮书_V3.0深信服安全感知平台白皮书文档密级:公开深信服科技安全感知平台(Security Intelligence Platform)产品白皮书网络安全等级保护目录1. 引言 (4)1.1背景 (4)1.2新的威胁 (5)1.3应对措施 (5)2. 设计理念 (5)2.1产品理念 (5)2.2产品定位 (6)2.3方案设计 (7)2.4整体价值 (7)3. 产品架构 (9)3.1分层设计 (9)3.2大数据架构 (11)3.3产品组件 (13)4. 关键技术应用 (15)4.1 UEBA行为画像 (15)4.2追踪溯源可视化 (16)4.2.1流量可视 (16)4.2.2威胁追捕 (17)4.2.3统一检索 (17)4.3机器学习技术使用 (17)4.3.1精准的已知威胁检测 (18)4.3.2发现内鬼和未知威胁 (18)4.4威胁深度分析 (19)4.4.1攻击事件深度挖掘 (19)4.4.2成功的攻击事件检测 (20)4.5威胁情报结合 (20)4.5.1热点事件 (21)4.5.2情报来源 (21)5. 功能价值呈现 (22)5.1有效数据提取 (22)5.2全面的实时监测体系 (24)5.3.1脆弱性感知 (24)5.3.2外部威胁感知 (25)5.3.3内部异常感知 (26)5.3多维度的安全可视预警 (28)5.3.1宏观决策视角 (28)5.3.2微观运维视角 (31)5.4易运营的运维处置 (32)5.4.1应急处置 (32)5.4.2影响面分析 (34)5.4.3主动溯源 (35)5.4.4会话分析 (36)5.5可感知的威胁告警 (37)5.6实用工具箱 (38)5.6.1等保管理 (38)5.6.2情报与数据共享 (39)5.6.3绿色查杀工具 (40)6. 产品部署 (40)6.1流量监测(高级威胁监测) (41)6.2安全运营中心 (42)6.3作为第三方SOC/SIEM的流量检测组件 (43)1.引言1.1背景互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大,因此,黑客有了越来越多的动机和手段来窃取企业的机密信息和资源,甚至是对企业资产造成破坏。