1、微步在線：網絡安全走向云化（31頁）.pdf

1、薛 鋒網絡安全走向云化網絡安全的幾個變化數據化云化實戰化服務化策略化、規則化數據化alert tcp$EXTERNAL_NET any-$HOME_NET 1024:65535(msg:ETEXPLOIT Computer Associates Brightstor ARCServe Backup Mediasvr.exeRemote Exploit;flow:established,to_server;content:|00 06 09 7e|;offset:16;depth:4;content:|00 00 00 bf 00 00 00 00 00 00 00 00|;distance:4

2、;within:12;reference:url, is Dead?入侵檢測系統已死？Assume Breach 思路轉變：失陷假定告警事件數100,000+5命令與控制攻擊殺傷鏈-Kill Chain入侵過程入侵結果DNS在網絡中的重要性知道你要去哪告訴設備該去哪告訴別人你在哪DNS故障 斷網DNS劫持 欺騙DNS管控 上網行為管控 服務 服務 持攻擊 服務 服務 件 網 勒索 件 攻擊 不 114.114.114.114/8.8.8.891.3%of malware uses DNS in attacks*Source:Cisco 2016 Annual Security Report94

3、%of malware incidents were delivered via email*Source:Verizon 2019 Data Breach Investigations Report員工缺乏郵件安全 識缺乏有效的郵件安全 識培訓安全意識的缺乏沒有防護 ，或者僅依賴傳統垃圾郵件網關對新型攻擊的檢測能力缺失在郵件安全上投入較少，重視度低工具的缺失大型網絡攻防演中/日 網絡安全事件：郵件成為主要的突破點 郵件、利用垃圾郵件大 模傳播、用戶憑證被竊、BEC低成本、易于傳播組織化、團伙化、眾包單兵作戰、無聯防貓池打碼暗網眾測眾測眾測微步在線的探索安全云專業、穩定的DNS服務OneDNS

4、威脅情報管理平臺TIP威脅檢測平臺TDP威脅情報社區十大銀行中的8家十大證券中的6家五大互聯網中的4家五大智能手機中的3家十大能源中的5家APITDP/TDPSTIPOneDNSOneDNS 企業安全DNS服務 服務 服務 服務 件 網 勒索 件 攻擊 不 微步在安全云日志獲取IPS、WAF、郵件、應用日志“自動化”提取關聯 、豐富上下文、去誤報自有情報累積攻擊IP、IOC、攻擊團伙畫像 脅數據化-脅情報管理平臺TIP(Threat Intelligence Platform)重新定義入侵檢測.提供攻擊時序過程以供 依據攻擊鏈 攻擊手段和工具入侵過程精準判定攻擊結果：成功與否判定是否針對性攻擊

5、、是否為攻擊事件入侵結果1.全流量的日志、文件提取與報警pcap存儲2.威脅情報檢測模塊3.器學習模型檢測模塊4.文件檢測引擎模塊5.云沙箱檢測模塊6.網橫向移動檢測模塊7.自定義情報檢測模塊8.攻擊鏈回溯 模塊 脅情報檢測系統等保二、三、四 都提出對威脅情報檢測系統的硬性要求等保三 和四 要求引入威脅情報庫，并需要升 到最新版本 脅檢測平臺TDP(Threat Detection Platform)終端聯動資 梳理API風險針對性攻擊識別敏感數據泄露異 發現攻擊鏈還原 脅監控服務應急響應服務專殺工具集基于各攻擊階段告警發現與攻擊鏈還原的網絡流量綜 檢測平臺，并配套專業服務團隊與服務工具集的MDR服務 Making Intrusion Detection Work,Whatever Its Called管它叫什么呢10,000,000￥