Security分論壇-王鶴儒-構建可運營的安全防護體系.pdf

《Security分論壇-王鶴儒-構建可運營的安全防護體系.pdf》由會員分享，可在線閱讀，更多相關《Security分論壇-王鶴儒-構建可運營的安全防護體系.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、上海華訊網絡系統有限公司 王鶴儒構建可運營的安全防護體系在此輸入文案標題文案 2024 ISACA All rights reserved.PART 01安全運營的困境與應對PART 02安全運營產品成熟度前瞻PART 03AI在安全領域的應用PART 04安全運營體系建設路線分享PART 05AI大模型安全運營能力測試 2024 ISACA All rights reserved.在此輸入文案標題文案01.安全運營的困境與應對在此輸入文案標題文案 2024 ISACA All rights reserved.安全運營服務需求分析02很多企業缺乏專業的網絡安全團隊和技術支持，難以應對復雜的網絡

2、安全威脅和攻擊。托管安全運營服務可以為企業提供專業的網絡安全服務，幫助企業提高網絡安全水平和防御能力。03網絡安全設備和軟件需要不斷更新和升級，以適應新的安全威脅和攻擊。企業需要投入大量的時間和精力來維護和更新網絡安全設備和軟件，托管安全運營服務可以為企業提供全方位的安全設備部署、配置、維護和更新服務。01安全事件的監測和響應需要及時和迅速，以便盡早發現和解決安全問題。托管安全運營服務可以為企業提供實時監測和響應的服務，以便快速發現和解決安全問題。缺乏專業能力響應實時性動態更新防御安全事件響應實時性專業網絡安全團隊缺乏安全設備和軟件更新頻繁在此輸入文案標題文案 2024 ISACA All r

3、ights reserved.安全運營的困境我們把這些變成了這些，問題解決了嗎？在此輸入文案標題文案 2024 ISACA All rights reserved.企業安全運營成熟度安全運營成熟度評估 https:/www.soc- 2024 ISACA All rights reserved.SIEM 推動安全運營能力建設數據采集收集基礎的安全日志和其他機器數據標準化為收上來的數據應用標準格式，并增加身份數據擴展從其他非安全相關數據源中收集數據為安全分析做補充，比如主機活動日志，網絡流量日志等等豐富關聯外部威脅情報與資產信息，對事件作出更精準的判斷自動化和編排建立持續并可重復的安全運維能力高

4、級檢測利用復雜的檢測機制，包括機器學習stage 1stage 2stage 3stage 4stage 5stage 6核心數據：網絡流量、終端日志、認證日志、應用流量里程碑：1.日志異地管理防止被篡改2.獲取事件調查所需的必要數據3.得以深入了解現網環境安全能力：1.安全監控5.SOC 自動化2.合規6.高級威脅檢測3.事件調查與取證7.內部威脅4.事件響應核心數據：標準化字段名稱、IT 資產信息、用戶身份信息里程碑：1.數據映射到 CIM2.基于 CIM 加速提升搜索性能3.日志關聯資產與身份信息安全能力：1.安全監控5.SOC 自動化2.合規6.高級威脅檢測3.事件調查與取證7.內部威

5、脅4.事件響應核心數據：DNS、DHCP、EDR、HIDS里程碑：1.高級檢測的基礎已經奠定。2.還可以匹配一些常見的入侵指標（IOC）。安全能力：1.安全監控5.SOC 自動化2.合規6.高級威脅檢測3.事件調查與取證7.內部威脅4.事件響應核心數據：本地 IP/URL 阻斷列表、開源威脅情報、商業威脅情報里程碑：1.基于資產的重要性判斷事件緊急程度2.基于威脅情報豐富事件信息。安全能力：1.安全監控5.SOC 自動化2.合規6.高級威脅檢測3.事件調查與取證7.內部威脅4.事件響應核心工具：SOAR里程碑：1.能夠跟蹤事件2.量化分析師效率3.基于 play book 采取行動4.自動化應

6、對簡單操作并整合安全能力：1.安全監控5.SOC 自動化2.合規6.高級威脅檢測3.事件調查與取證7.內部威脅4.事件響應核心工具：UBA/UEBA里程碑：1.能夠基于些微線索進行分析2.使用先進技術識別未知威脅安全能力：1.安全監控5.SOC 自動化2.合規6.高級威脅檢測3.事件調查與取證7.內部威脅4.事件響應在此輸入文案標題文案 2024 ISACA All rights reserved.待查事件Tickets處理流程其他誤報事件待改善事件基于SIEM平臺的安全事件管理流程事件發現信息收集誤報判斷事件調查事件遏制根因分析事件應對事件關閉關注 SIEM 工具態勢感知頁面，發現新增安全事

7、件。進入事件調查頁面，查看并獲得事件相關信息。如資產信息，賬號信息，IP地址，URL 等等。比對 lookup tables 3，如果匹配則區分待改善事件與其他誤報事件，如不匹配則視作待查事件。調查事件影響范圍，擬定遏制方案防止事件影響范圍擴散。根據SIEM定義的等級優先處理實施事件遏制方案。事件深入調查與根因分析，擬定事件應對方案，根除事件影響。實施事件應對方案；lookuptables 1 lookuptables 3異常端口、異常賬號、異常IP地址；外部威脅情報，IoC資產表：資產情況表（ip、主機名、歸屬等）、賬號情況表（賬號歸屬，賬號類型等）誤報比對外表：現狀無法彌補的特定環境中的端

8、口、賬號、IP地址信息或者組合lookuptables 2配置優化持續跟進整理事件響應過程；關閉事件。按需調整 SIEM事件發現策略；按需調整外表信息跟進后續數據源側改善計劃。lookuptables All內部、外部情報在此輸入文案標題文案 2024 ISACA All rights reserved.基于自動化平臺的安全運營流程 動化響應處置場景覆蓋挖礦、侵、拒絕服務、勒索、釣等，簡化安全運營應急響應處置流程，解放，提升效能告警告警發現發現事件事件分析分析情報情報取證取證發起封發起封堵申請堵申請審批員審批員審批審批登錄設備封登錄設備封堵操作堵操作處置完處置完成確認成確認1經驗反饋固化創建案

9、例（含劇本）2案例管理自定義案例（含劇本）內置案例（含劇本）接收引擎劇本引擎處置引擎SOARSOAR引擎防火墻WAFXDR防毒墻設備響應攻擊識別告警日志處置動作人工處置自動處置第三方設備Plug inIPSXDR檢測設備防毒墻WAF安全事件事件研判郵件響應工單標簽推送運維事件人工響應處置推送生成案例與攻擊規則關系表3自動化響應處置處置結果記錄在此輸入文案標題文案 2024 ISACA All rights reserved.02.安全運營產品成熟度前瞻在此輸入文案標題文案 2024 ISACA All rights reserved.Hype Cycle for Security Operat

10、ions,2022在此輸入文案標題文案 2024 ISACA All rights reserved.BAS是什么縱深安全防護體系Breach and Attack Simulation在此輸入文案標題文案 2024 ISACA All rights reserved.Purple Team與BAS來管理層的靈魂拷問：1.我們的安全防護能怎么樣？如何驗證？2.前段時間針對A公司的攻擊，我們能抵御嗎？3.可以在什么地縮減安全預算，什么地增加預算，依據是什么？評估安全防護能提升攻防平漏洞評估滲透測試社會程學防御體系建設安全監控事件響應 2024 ISACA All rights reserved.

11、在此輸入文案標題文案03.AI在安全領域的應用 2024 ISACA All rights reserved.在此輸入文案標題文案 使份信息豐富事件上下 收集各類數據安全事件 設計機器學習場景和算法 戶為分析與險計算安全事件分析框架大數據分析平臺大數據分析平臺SIEM/SOCSIEM/SOC安全運營安全運營UBA/UEBAUBA/UEBA用戶行為分析用戶行為分析SOARSOAR安全編排與自動響應安全編排與自動響應Data SecurityData Security數據源關聯分析數據源關聯分析用戶身份管理類用戶身份管理類零信任單點登陸統一認證平臺Active Directory特權賬號管理堡壘機

12、數據安全防護類數據安全防護類DLP下一代防火墻數據庫審計SWGCASBSASE監控分析決策響應 2024 ISACA All rights reserved.在此輸入文案標題文案AI安全分析應用行為匯聚16基于AD/DLP/VPN三類數據，針對用戶所述日常行為，包括遠程登錄、主機登錄、文件操作、涉及平臺數、訪問目標對象數等維度，進行聚類分析，發現異常用戶行為。利用無監督算法聚類發現異常行為，再利用有監督算法訓練用戶異常行為檢測模型。2024 ISACA All rights reserved.在此輸入文案標題文案通過對歷史數據的訓練，形成用戶行為基線，自動識別用戶行為的異常偏離。AI安全分析應

13、用趨勢分析 2024 ISACA All rights reserved.在此輸入文案標題文案深度學習技術在惡意軟件檢測中的應用惡意軟件逆向程+靜態分析惡意軟件動態分析基于卷積神經絡的惡意軟件靜態分析流程基于深度學習的惡意進程檢測流程使卷積神經絡分析Windows PE的原始字節，將每個原始字節序列替換為個N維向量，進分層的卷積和匯聚操作，講低級特征聚合為更少的級特征。以Windows API Call為例，深度學習技術可以學習惡意軟件執過程中調的API，進分類和特征提取，以區分惡意進程和合法進程。2024 ISACA All rights reserved.在此輸入文案標題文案深度學習技術在

14、惡意網站識別中的應用基于卷積神經絡的URL檢測模型訓練流程基于卷積神經絡和深度神經絡的URL檢測輸合法站與已知釣站的URL，通過卷積神經絡訓練釣站檢測模型。使圖卷積神經絡GCNN分析URL，如果法判斷，則使深度神經絡DNN分析站內容，結合者的結果后綜合判定站是否為惡意站。釣站URL機器學習釣站URL分析+內容分析 2024 ISACA All rights reserved.在此輸入文案標題文案04.安全運營體系建設路線分享 2024 ISACA All rights reserved.在此輸入文案標題文案安全滑動標尺模型架構安全業務系統架構設計業務區域隔離安全合規賬號權限管理網絡威脅檢測We

15、b應用防護終端防護日志與事件監控安全運維與審計安全事件響應沙箱蜜網/蜜罐資產管理威脅情報威脅狩獵溯源反制被動安全主動安全情報進攻 2024 ISACA All rights reserved.在此輸入文案標題文案安全建設分階段規劃安全能力建設People 人員確立團隊中各專業角色和崗位明確各專業崗位的職責與任務構建能力所需的組織團隊架構Processes 流程構建能力實現的可重復執行的整體過程保證整體流程各環節可控制把握流程的正確方向Products 工具能力建設和能力生效過程中配套使用的工具，如：軟件、硬件、方法等等工具包括但不限于，如：軟件、硬件、方法等等基礎防御能力建設:覆蓋基礎架構安全

16、、安全基線、身份與訪問控制設備與計算網絡與通信應用與數據主動防御能力建設：覆蓋應用安全、業務安全、數據安全、資產管理全局監測預警綜合分析研判全網追蹤溯源階段2階段1應急處置統一通告指揮智能防護能力建設：覆蓋高級安全威脅檢測與響應能力全局信息收集情報生產情報分析驗證階段3目標“狩獵”攻防對抗自我防衛數據支撐協同防御情報落地全局安全協同策略執行發現短板效果：查漏補缺以利舊為前提以合規為參考完善安全基礎效果：看得清，滅得快提升內部業務行為審計能力及時應急處置能力效果：未卜先知提升云端情報提升安全態勢感知、防護及預測能力建立安全管理流程業務權限管理快速發現入侵在此輸入文案標題文案 2024 ISACA

17、 All rights reserved.托管安全運營服務（MSS）架構威脅檢測告警聚合關聯分析自動響應數據分析平臺終端安全檢測網絡安全防護云安全評估漏洞管理平臺用戶環境安全威脅防護安全事件應急響應安全事件監控高風險事件通告安全風險與合規管理服務內容網絡安全態勢感知資產風險管理數據泄漏事件調查終端安全事件分析身份認證事件分析釣魚郵件事件處置運營場景可視安全產品日志安全配置安全事件告警資產信息在此輸入文案標題文案 2024 ISACA All rights reserved.純SaaS模式本地模式混合模式安全志傳輸云SOC云SOC提供志分析、監控、響應服務遠程7x24服務安全志存放于戶環境使客戶

18、單和運營平臺現場5x8服務，結合遠程持安全志存放于客戶環境，危事件信息發送SOC平臺SOC平臺提供監控和響應服務遠程7x24服務，結合現場持托管安全運營服務模型SOC as a ServiceSOC OutsourcingMDR(Managed Detection&Response)2024 ISACA All rights reserved.在此輸入文案標題文案05.AIAI大模型安全運營能力測試 2024 ISACA All rights reserved.在此輸入文案標題文案GPT-測試：安全日志解析除了對XML志字段的解析，還具備了初步的分析研判能，能夠運攻防知識判斷出攻擊者的意圖。G

19、PT可以順利解析XML志中的元數據，并且理解EventData是包含事件核內容，做了近步解讀。此外，GPT也能解析syslog,json,CEF,等常志格式。2024 ISACA All rights reserved.在此輸入文案標題文案GPT-測試：安全事件處置建議我們測試了ChatGPT 基于SMB協議爆破密碼的告警處置建議，除了第5條有些牽強，其余全部正確?？紤]到當前ChatGPT是通模型，未來可以通過更多的專業訓練改進。2024 ISACA All rights reserved.在此輸入文案標題文案GPT-測試：安全運營平臺使用GPT可以編寫Splunk SPL,Elasticse

20、arch Query DSL等常SIEM平臺的搜索語句，可以顯著降低安全運營員的學習成本，提升效率。2024 ISACA All rights reserved.在此輸入文案標題文案AI結合安全運營：總結與展望安全事件管理平臺知識庫威脅情報事件調查運營報告志收集關聯分析單系統安全安全運營中LLM在志關聯分析的能上有天缺，針對海量志的關聯需要結合預置的關聯分析規則做初步處理。GPT-4已經能夠持報表制作，未來可以幫助運營員快速成所需的安全報告，提升作效率。安全專的LLM能提升安全事件調查速度，并動成處置建議，通過集成安全產品的API還能夠實現動化安全事件響應。LLM有強的知識歸納整理能，可建SOC內部知識庫和知識圖譜。類似微軟Copilot的設計，LLM可以作為安全運營員的助，顯著降低SIEM平臺的學習使檻。安全專的LLM能輔助安全專家進惡意代碼分析、漏洞評估，提取IoC形成威脅情報。但是否能取代級別分析師還有待觀察。THANK YOU！