【内部培训】安全感知平台+潜伏威胁探针
信息安全-深信服安全感知
大
数
据 时间序列分析
二类分类
多类分类
聚类
分
析
DNS flow引擎
SMTP flow引 擎
POP3 flow引 擎
HTTP flow引 擎
SMB flow引擎
AD flow引擎
离群点检测 IMAP flow引
擎
文件鉴定引擎
异常行为分析建模
长
周
期
用户行为
分
析
场景建模
流量行为 算法集合
操作行为 专家规则
高级威胁检测
运维人员精力有限,处置效率低
看不到威胁的扩散,处置不彻底
根因分析: 设备之间难以协同响应,缺乏影响面分析
一.新的安全形势与挑战 二.面向未来,有效保护 三.深信服安全感知平台 四.产品特色及成功案例
安全建设从被动防御到主动防御升级
被动防御
防御为主、被动响应
• 边界防护 • 入侵防护 • 主机杀毒
建议部署拓扑图
➢ 一个信息汇集分析中心 ----- 织网蛛的大脑
➢ 多个散布的信息采集点 ----- 踩在不同经线的蛛腿
一.新的安全形势与挑战 二.面向未来,有效保护 三.深信服安全感知平台 四.产品特色及成功案例
持续创新,引领技术
• 13年技术积累,基于全流量的深度挖掘能力国内第一;
一.新的安全形势与挑战 二.面向未来,有效保护 三.深信服安全感知平台 四.产品特色及成功案例
国家高度重视网络安全建设
习主席4.19讲话
网络安全法
十三五信息化规划
网络安全等级保护2.0
没有网络安全就没有国家安全 树立动态、综合防护的防护理念 全天候全方位感知网络安全态势 构建关键基础设施安全保障体系 对新型威胁进行持续检测和分析
中职学校网络信息中心机房整改与升级——以吕梁市卫生学校为例
105Internet Application互联网+应用一、学校网络基本情况吕梁市卫生学校是一所全日制三年制中等卫生职业学校,学校现有网络为十多年前新建教学楼时部署,经过多年发展,网络缝缝补补、几经维护,网线私搭乱建,维护人员也换了几波,导致现在运维人员几乎找不到之前部署的线缆,而增加业务需要部署网络时再新增网线,这样恶性循环导致运维人员苦不堪言,网络负载很重,排查故障难度很大。
同时,职工私接路由器导致环路和无法自动获取地址上网的情形时常发生。
该校计算机教室经常承担社会各种等级上机考试,为了保证足够的网络带宽出口,学校网络结构设计为行政办公网络和教学实训网络两条线,计算机教室附属于教学实训的子网络。
随着信息技术的发展,学生上课对网络的依赖程度也越来越强,之前只在行政办公网络中部署了安全设备,而教学实训网络没有部署任何安全设中职学校网络信息中心机房整改与升级——以吕梁市卫生学校为例员在运维管理过程中顾此失彼,无法同时兼顾管理等等。
本次新增安全设备主要针对教学实训网络。
二、机房基础设施整改与升级在机房基础设施建设改造过程中,吕梁市卫生学校大刀阔斧地采用了新风集成机柜、供配电、制冷、监控和综合布线的整体解决方案系统。
首先,利用模块化设计,使得供配电系统处于合理的带载率区间内,以提高电源效率。
供配电系统采用2N 设计,将之前较新的不间断供电系统UPS 接入新的双电源自动切换开关ATS 中,当做备用电源。
在主UPS 电源供电不足的情况下,备用电源还可持续供电4小时左右,实现冗余设计,以满足机房设计要求,提高安全等级。
其次,采用行级制冷单元,配置两个列间恒温恒湿精密空调,结合封闭冷/热通道,以提高制冷效率;密闭冷通道顶部采用活动顶板,与消防联动,不影响气体灭火系统;消防系统通摘要:当前许多学校正面临数字化转型,对信息中心机房的安全防御系统的可靠性、稳定性和安全性有着严格的要求。
同时,网络的快速响应能力、用户上网的安全性以及网络状况的实时可视化、可管可控性也对安全防御系统提出了一定的要求。
网络安全:网络安全威胁防范与入侵检测技术培训ppt
随着黑客技术的不断发展,APT攻击 成为当前最主要的网络安全威胁之一 。
物联网安全
随着物联网设备的普及,针对物联网 设备的攻击逐渐增多,如智能家居、 工业控制系统的安全威胁。
勒索软件
随着加密技术的发展,勒索软件攻击 日益猖獗,对个人和企业造成巨大经 济损失。
数据泄露与隐私侵犯
随着大数据的广泛应用,数据泄露和 隐私侵犯成为网络安全的重要问题。
PART 02
网络安全威胁防范技术
REPORTING
防火墙技术
01
02
03
包过滤防火墙
根据数据包的源地址、目 标地址和端口号等信息, 决定是否允许数据包通过 。
应用层网关防火墙
通过代理服务器或网络地 址转换(NAT)技术,对 应用层协议进行解析和过 滤,以控制网络访问。
ABCD
高校网络安全教育课程
高校开设网络安全课程,培养学生对网络安全的 认知和技能。
安全意识教育游戏
设计有趣的网络安全教育游戏,让用户在游戏中 学习网络安全知识。
THANKS
感谢观看
REPORTING
虚拟专用网络(VPN)
远程访问VPN
允许远程用户通过公共网 络访问公司内部资源。
站点到站点VPN
连接两个不同地点的公司 网络,实现数据传输和资 源共享。
移动VPN
为移动用户提供安全的网 络连接和数据传输服务。
安全审计与入侵检测
安全审计
对网络系统进行定期的安全检查 和评估,发现潜在的安全隐患和 漏洞。
02
工作原理
IDS通过实时监控网络流量和系统日志,收集关键信息,然后利用预设
的安全策略和算法分析收集到的数据,判断是否存在入侵行为。
信息安全-【了解2】SIP销售话术培训
3.协同响应:在发现问题后,通过设备与设备之间的联动半自动化的方式去解决问题。
安全感知平台的产品价值及优势话术
遇到友商竞争或客户发问的情况:
举例说明:
全局可视:可通过全网安全态势感知大屏,外连风险大屏,内网横向移动,服务器漏洞大屏, 外部攻击大屏等从全局维度,外连攻击风险,内部数据访问,核心业务资产评估和外部风险等 安全视角进行可视化展示,辅助IT安全管理进行决策。 精准检测:安全感知系统通过HttpFlow,DnsFlow,NetFlow,SmbFlow,SmtpFlow五大 引擎对全网流量,外联隐藏隧道,内网异常流量,内网恶意操作检测,邮件外发检测进行可视 化检测等帮助用户进行持续性检测。通过UEBA对用户行为建模并且联合机器学习,深度分析对 未知威胁检测。 协同防御:安全感知系统通过与AF,AC联动保障与网关间的协同防御,通过与EDR,VSS联动保 障虚拟化应用场景的交付场景的安全通过与云眼的联动保障在业务全生命周期的进行可视可控。
安全感知平台的产品价值话术
加深客户对安全感知平台价值的理解,加深安全感知 平台作为本地安全大脑的作用。针对被友商引导或被客户 询问价值优势的时候,如何简单介绍安全感知平台的核心 技术。
安全感知平台的产品价值及优势话术
举例说明: 我们的安全感知平台可以帮助咱们单位构建整体安全体系,形成本地的安全大脑
举例说明:
安全感知是帮助客户构建一套安全体系,它类似于小区智能的安防系统。传统小区靠出入口的 保安来保障安全,保安只能解决有明显嫌疑的人或车辆,但是对于假冒身份(社工攻击)、翻墙潜 入(0day攻击)、趁黑混入(变种病毒攻击)的非法人员是难以发现和告警。因此,除了有传统的 安保系统以外还需要构建一整套的智能安防体系:高清摄像头(探针)部署在关键节点对可疑的人 员进行自动的跟踪,并将信息发送给监控中心;智能监控中心(安全感知平台)是用于连接所有的 摄像头和保安对讲机,对所有的信息进行统一的汇总分析(如人脸识别,特征提取,行为分析等), 即使出入口安防人员出现了疏漏,也能自动提醒和告警,将告警内容发送给保安。
信息安全-安全感知平台(SIP)主打PPT
传统安全体系的挑战之三:响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因:安全人才数量少,难培养,不能多精;
如何应对?
构建一个可感知、易运营的安全大脑
外部威胁情报
数据中心
广域网 局域网
在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
全局可视能力:宏观辅助决策
脆弱性可视
全网安全态势可视
外部攻击态势可视
内部横向威胁可视
全局可视能力:微观精准运营
业务维度可视
攻击链可视
详细威胁举证 影响面分析
协同响应能力:三级响应机制
一键阻断 用户提醒
安全感知系统SIP
数
据
探针STA
脆弱性检测
大数据
检测算法
访问关系
业务识别
构建准确的检测模型
交付&可视
整体安全态势 业务安全风险 业务访问关系 横向威胁分析 Kill chain趋势 异常行为画像 安全失陷举证
为业务决策服务的可视化
处置&响应
NGAF联动封堵 EDR联动查杀 上网行为管理联动提醒 安全专家人工服务
协同联动+人工服务
海量数据采集能力
华东某三甲医院
项目背景&部署方式
该医院安全建设非常完善,且内外网隔离环境让客户认为安全 没有问题。只到2017年7月该医院被卫计委对对于其官方网站发生 的篡改事件进行了通报。
客户寻找到多家厂商进行测试,均未发现问题。于是客户找到 我们为其进行安全检测:潜伏威胁探针部署在医院内外网核心交 换机上,安全感知平台部署在内网核心交换机上。
医院信息系统二级等级保护方案
医院信息系统二级等级保护方案一、方案的概述医院信息系统二级等级保护方案如下:依据国家信息系统安全等级保护基本要求和公安部82号令的相关法规,结合对医院网络安全分析的结果,建议从医院办公内网、办公外网方面在网络接入安全、应用安全、主机安全、数据安全等维度进行安全体系的设计,从而实现医院网络安全的整体防护。
其中办公内网包括了医院内部外联区、核心业务区、安全运维区、互联网接入区(外联区主要包含了各级医保单位、农合、银联、分支接入)。
(1)生产内网外联域(医保网/合作交换平台区域):该区域说明如下:与对端农合交换平台数据对接(使用IPSec VPN),需识别专网之间流量中的威胁,实现对流量中入侵行为的检测与阻断(使用第二代防火墙)。
(2)内网核心业务区:该安全域主要承载内网核心业务信息系统,需对这些业务信息系统提供2-7层安全威胁识别及阻断攻击行为的能力,如SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)、cookie 篡改等(使用第二代防火墙)。
(3)安全运维区:使用堡垒主机,数据库审计,日志审计,安全态势感知平台等。
形成规范的运维授权管理流程,通过对运维操作内容的记录,提供指令级别的操作控制能力,通过技术手段有效规范运维人员的操作行为,降低内部安全风险,自动分析运维人员操作过程,评估访问风险、并提供完整的合规审计报告,降低IT内控审计工作量(使用堡垒主机产品);主要存储业务信息系统产生的数据,需对这些数据库的访问权限进行划分,并对数据库的相关操作进行审计,防止医疗统方行为(使用数据库审计产品);实时不间断地采集汇聚医院网络中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效的发现异常安全事件及审计违规(使用日志审计产品)。
(4)互联网接入区:需在互联网出口边界进行隔离和访问控制,保护内部网络,从2-7层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击,利用网络防病毒,主动扫描web和电子邮件流量、阻止恶意软件到达并感染网络上主机等防护功能(使用第二代防火墙);需对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验,并按相关法律法规进行上网行为审计(使用上网行为管理)。
安全感知平台(SIP)
中
心
EDR插件 EDR插件 EDR插件
探针STA
端点查杀
一键阻断:自动阻断木马与黑客通信 端点查杀:端点执行扫描、查杀等动作 高级人工服务:安全应急响应,解析网络
威胁现状和威胁,并给出安全建设建议
专家服务
办 公 区
协同响应能力
一键阻断
用户提醒
端点查杀
西南某电子政务外网
需求现状
1. 部署了大量的安全防护设备,仍然发生 网页被篡改的安全事件;
国内多个互联网公司数据泄露
就在2017年上半年,国内多个互联网企业的用 户隐私信息遭到泄露,甚至是售卖,影响恶劣。
根因:以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等) 缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力
传统安全体系的挑战之二:看不懂
客户平均每天生成安全告警日志多达上万条 各类安全日志分散在各种安全设备上 安全日志以安全事件角度展示
背景介绍
419讲话---习主席
“谁进来了不知道、是敌 是友不知道、干了什么不 知道”,长期“潜伏”在 里面,一旦有事就发作了
《“十三五”国家信 息化规划》
全天候全方位感知网络安 全态势。加强网络安全态 势感知、监测预警和应急 处置能力建设
2016.4
2016.12
网络安全法开始实施
使得网络安全有法可依, 各行业更加重视网络安 全建设
等保2.0标准
对网络行为、潜伏未知 威胁进行持续检测和分 析
2017.6
即将发布
传统安全体系的挑战之一:看不见
WannaCry
2017年5月,WannaCry勒索病毒全球大爆发,至 少150个国家、30万名用户中招,造成损失达80亿 美元,已经影响到金融,能源,医疗等众多行业,造 成严重的危机管理问题
系统潜伏威胁探针方案
可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;
支持对节点检测节点内部主机外发的异常流量进行检测支持对信任区域主机外发的异常流量进行检测,如ICMP,UDP,SYN,DNS Flood等DDoS攻击行为;
系统潜伏威胁探针方案
技术指标
指标要求
性能要求
性能≥1Gbps;配置≥4个千兆电口,≥2个千兆光口;
基础检测功能
具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等,具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测
高级检测
支持5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式,适应不同应用场景需求
支持对被Web网站是否被挂黑链或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
具备独立的僵尸主机识别特征库,恶意软件识别特征总数在35万条以上;
集中管控
支持安全感知平台对接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
方案介绍– 对应的解决方案与产品
方案介绍---对应彩页4-8页:
1. 潜伏威胁探针 (Stealth Threat Analytics) STA 旁路在核心交换机以及核心业务区的接入交换区,抓取镜像流量
关键词:旁路,流量抓取
2. 安全感知平台 (Security Intelligent Platform)SIP 部署在内网,集中管理STA,收集STA抓取的日志,并且分析异常行 为,展示访问关系,可疑访问,攻击行为
关键词:业务资产可视,业务访问关系可视,安全感知
2、借由深信服/Gartner“防御,检测,响应”的理念, 向用户灌输防护被突破只是时间问题,不是是/否的问题。 需要持续检测和快速响应对抗快速迭代的攻防节奏。
关键词:持续检测
3、借由介绍黑客/攻击者的攻击路径与攻击向量,向用户灌输突破边 界以后,需要内网的安全设备起到安全纵深的作用。发现过去边界防 护忽略的内网攻击行为。
关键词: 集中管控,展示
2020/3/22
市场思路 – 销售模式
销售模式 ➢ 按探针需要支持的流量选型 ➢ 可视化平台为软件,目前搭配探针赠送,可配合超 融合一起安装销售
销售工具 http://200.200.1.200/cms/plus/list.php?tid=2353
➢ 报价 ➢ 彩页 ➢ PPT
2020/3/22
市场思路 – 整体解决方案
防御 ➢ AF ➢ WAF ➢ 云WAF
检测 ➢ 探针 ➢ 云检测/AF检测
响应 ➢ 安全服务 ➢ 微信告警
2020/3/22
• 引导预算 • 暂时不卖
2020/3/22
2020/3/22
市场思路 – 市场机会
市场机会:
1、安全设备已经多的想吐了,推可视化
关键词:可视,感知
2、防护设备塞不进去,塞检测设备
关键词:检测
3、边界设备塞不进去,塞内网设备
关键ቤተ መጻሕፍቲ ባይዱ:内网,全网
2020/3/22
问题引导
问题引导: 1. 可视,感知
a. 是否清楚内网有多少关键资产和业务设备? b. 是否清楚内网关键业务的访问关系和流量关系? c. 是否有安全事件,在处理安全事件的时候是不是根本不知道 黑客是从哪里攻进来的? 2. 检测 a. 防御设备做了那么多,有没有持续检测的需要? b. 内网关键业务不适合串接防御设备,有没有用检测设备去持 续发现攻击行为 3. 内网,全网
a. 边界防御呗突破只是时间的问题,有没有对内网做持续检 测和响应? b. 2020/3/22 除了边界以外,对内网、全网的安全状况是否一无所知?
市场思路 – 适用场景
适用场景---对应彩页1-4页:
1、借由深信服的“安全应该可视,安全应该简单”向客户介绍可视 化展示平台。强调可视是安全的基础,不可实/缺乏保护的内网设备/ 应用是安全洼地,黑客的最爱。
安全感知平台
姚志平
2020/3/22
两个故事
客户:某省经信委 需求:持续监控电子政务内网全网安全情况 解决方案:在全网网络汇聚,核心交换,旁路潜伏威胁探针,内 网部署安全感知平台 预算:300W
客户:某省公安厅 需求:在边界部署了我们的防火墙,但是感觉内网缺乏检测手段; 之前内网出过安全事件,黑客通过BYOD作为跳板绕过边界防御 攻陷内网主机 解决方案:在核心业务,核心系统的汇聚交换机部署旁路潜伏威 胁探针,内网部署安全感知平台 预算:100W
2020/3/22
演示平台
最新平台: 200.200.5.220 admin/admin 最新探针 200.200.5.221 admin/sinfor123
2020/3/22
市场思路 – 搭配销售的其他
服务 ➢ 发现的问题可以搭配安全即服务作为“响应”
设备 ➢ 2017Q3版本,搭配AF联动 ➢ 2017Q3版本,搭配EPS联动