压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

威脅情報在國內(nèi)包括在國際是比較熱的一個話題，從美國和中國的威脅情報，各種各樣的廠商和解決方案一直成為了大家關(guān)注的焦點(diǎn)。在實(shí)踐中，我們這一次可以先給大家分享一個相關(guān)的數(shù)據(jù)和市場是有關(guān)系的。有一個朋友告訴我了，世界上有兩種類型的企業(yè)，一種是知道自己被黑了，還有一種是他不知道。這其實(shí)也就是喜歡了防御領(lǐng)域?qū)z測和響應(yīng)到底是不是有足夠的認(rèn)知，以及對價值是不是有足夠的認(rèn)識。這是與高德納獨(dú)特的預(yù)測，高德納預(yù)測到2020年企業(yè)會持續(xù)地出現(xiàn)在被攻擊的狀態(tài)，它無法再自己的內(nèi)網(wǎng)或者是自己的網(wǎng)絡(luò)內(nèi)存在攻擊的立足點(diǎn)。同時，在未來3年，在國際上我們的信息安全的預(yù)算也就是說資金的方向也逐漸從防御、防御、防御轉(zhuǎn)向為檢測和響應(yīng)這兩個象限。最下邊是最新的數(shù)據(jù)，2017年國際信息安全市場的規(guī)模將達(dá)到98億美金，安全服務(wù)的占比占63%，也就是說設(shè)備占比已經(jīng)低于服務(wù)和解決方案了。它的增長的驅(qū)動力其實(shí)主要來自于企業(yè)的預(yù)算、由原來的防御轉(zhuǎn)向為檢測與相應(yīng)以及預(yù)警。

國內(nèi)的趨勢非常地明顯，我國也認(rèn)識到了這個趨勢的變化，從“十三五”信息安全規(guī)劃到《安全網(wǎng)絡(luò)法》都已經(jīng)提到了網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制。建立威脅情報的預(yù)警機(jī)制和相應(yīng)的預(yù)警平臺。介紹一下我們公司，看我們公司能做什么，其實(shí)從去年一些事件中，到2016年網(wǎng)絡(luò)信息安全事件已經(jīng)到了登峰造極的階段，除了今年的WannaCry這個事，大家都有印象它已經(jīng)關(guān)系到我們的生命安全，就是在山東發(fā)生的徐玉玉被詐騙的事件，她被詐騙是山東高考信息系統(tǒng)被黑客入侵，轉(zhuǎn)到電話詐騙者的手里，他們利用這些信息進(jìn)行詐騙從而導(dǎo)致了受害者的心理承受能力達(dá)到了極限，從而產(chǎn)生了生命安全的問題。今年也看到了國家相關(guān)的規(guī)劃，對信息安全我們欠了很多的債，包括缺乏和防御檢測機(jī)制的企業(yè)，逐步會有相應(yīng)的動作和措施。我們公司是微步在線，我們目前完成了A輪的融資，我們的主要團(tuán)隊是來自于微軟亞馬遜以及阿里還有美團(tuán)的相關(guān)成員，我們85%是技術(shù)和安全分析人員，CEO薛峰（音）來自于公安部第三研究所，微軟中國安全總監(jiān)以及亞馬遜中國首席信息安全官。我們提供的解決方案其實(shí)就是能幫助大家在徐玉玉的事件中利用威脅檢測和相應(yīng)的機(jī)制，在黑客攻擊的過程中及時發(fā)現(xiàn)響應(yīng)的指標(biāo)，從而引導(dǎo)大家做及時的防御和處置。這皆是我剛才說的故事，其實(shí)不知道自己被黑的那些企業(yè)，作為它的甲方，也就是說我以前在企業(yè)中甲方作為信息安全的從業(yè)人員，我最痛苦的是什么？一天晚上睡覺，第二天早上起來從新聞中得到企業(yè)的數(shù)據(jù)被拖出去或者是信息泄漏了。后面更痛苦的事是CEO和董事會問這個事到底是什么原因怎么發(fā)生的？一問三不知，這個不會吧？為什么呢？因為我們不知道這次攻擊的行為是怎么發(fā)生的，它所使用的技術(shù)、相關(guān)的流程以及戰(zhàn)術(shù)是什么？我們無法解答這個問題，更不用說向用戶回答這個問題了。我要知道這些問題，一定要具備可指導(dǎo)行動的情報作為指引。退市作為別人和同行業(yè)發(fā)現(xiàn)問題，當(dāng)你被問到的時候，往往會加一句，這種事情會發(fā)生在我們企業(yè)內(nèi)嗎？應(yīng)該不會，如果在座有經(jīng)驗的話，信息安全是沒有辦法做到?jīng)Q定的。

再說一下漏洞的問題，我相信每一個甲方在手里掌握的漏洞信息，和在外界收集到的信息多的有成百上千個，少的也有幾百個，我們要先修哪一個呢？我們有足夠的資源修復(fù)嗎？我們需要有相應(yīng)的時間和資源修已知的問題，況且漏洞是無法避免的問題。監(jiān)測與響應(yīng)的重要性，我的信息安全團(tuán)隊要有科學(xué)的KPI。我們分享一個數(shù)據(jù)就是MTTD，平均安全威脅發(fā)現(xiàn)時間，這是有可被衡量和參考的數(shù)據(jù)的。根據(jù)Mandiant2017年發(fā)布的數(shù)據(jù)，亞太企業(yè)平均發(fā)現(xiàn)威脅的時間是217天，為什么有這么長這和網(wǎng)絡(luò)攻擊殺傷鏈?zhǔn)怯嘘P(guān)系的。我發(fā)現(xiàn)這個威脅的時候，去處置和相應(yīng)往往需要7到30天，我的資源有限，不知道原因不知道背景是什么，之前所有的防御手段是阻斷阻斷阻斷，但我并不知道是為什么來得，更別說在根本上進(jìn)行處置了響應(yīng)了。平均的時間如果說有科學(xué)的考核機(jī)制，其實(shí)對應(yīng)的信息安全團(tuán)隊我們所做的目標(biāo)和投入方向是可被參考和可被量化的。

這是我說的網(wǎng)絡(luò)攻擊殺傷鏈，里面有非常科學(xué)的模型來做的，一個黑客和攻擊者從發(fā)現(xiàn)這個企業(yè)的目標(biāo)，到進(jìn)入這家企業(yè)摸清的架構(gòu)，再到供應(yīng)的立足點(diǎn)，再直接地找到攻擊的敞口，需要非常長的時間，不是說上一秒決定攻擊，下一秒就搞定企業(yè)的。我們有不同的類型，當(dāng)然如果你得罪了某個員工就不用說了，這是非常非常有針對性的，只針對這家企業(yè)或者是某個老板進(jìn)行攻擊，這個情況是比較特殊了。我們看到中間這個維度，有針對的黑客和犯罪組織他的攻擊范圍有一些是針對行業(yè)的，有批量性的，但也是有針對性的。我們從防御的角度如何在第一時間定性這個攻擊，將直接決定了我們的響應(yīng)級別。網(wǎng)絡(luò)攻擊殺傷鏈頭三步可以忽略，第四步開始，我們可以看到某個釣魚或者是惡意程序或者是某個賬戶被誘騙，這些信息對甲方來說包括對用戶來說往往是大量的，是非常復(fù)雜的噪聲，也就是說，我可能完全無法區(qū)分到底是一個普通的惡意程序，還是一個非常有針對性的，背后有組織的攻擊行為，再下一步就是可能會產(chǎn)生小規(guī)模的失竊情況，這時候我們就可以進(jìn)行非常有效的檢測和響應(yīng)了。第六步是遠(yuǎn)程控制，這個指標(biāo)就更明顯了。這類似于在航空業(yè)有一個習(xí)慣，每一個重大安全事件之前是有上千個故障征兆的，這個如何有效的發(fā)現(xiàn)？是情報驅(qū)動的檢測機(jī)制能給大家?guī)淼氖找婧蛢r值。

舉一個案例，有一個中關(guān)村的上市公司，在內(nèi)部網(wǎng)絡(luò)服務(wù)器中利用威脅情報中心，在服務(wù)器上發(fā)現(xiàn)了一個惡意程序，這個惡意程序可以有兩種響應(yīng)決定市，可能是一個小黑客或者是做一個實(shí)驗的行為，也有可能是針對公司的行為，他在第一時間做響應(yīng)的時候脫不了殼，我們做了第一時間的響應(yīng)和相關(guān)的分析，發(fā)現(xiàn)這個水平是非常高的，是具備了專業(yè)黑客攻擊水平的，有可能是由某個國家自治的攻擊行為。這個行為就拉響了最高級別的警報，2000臺生產(chǎn)服務(wù)器進(jìn)行了排查，最后發(fā)現(xiàn)2000臺全部被控制，這個定性被發(fā)現(xiàn)，這個攻擊不是竊取信息的行為，是一個利用高級工具截取服務(wù)器的流量給境外賭博網(wǎng)站進(jìn)行導(dǎo)流的行為，這是騙錢的行為，對整個的響應(yīng)是非常具備參考價值的。

再舉一個例子就是WannaCry，我們的角度不一樣，以情報驅(qū)動的響應(yīng)和處置其實(shí)是和甲方直接相關(guān)的。我們所服務(wù)的幾個大型企業(yè)是有上百臺上千臺的終端，甲方的人員已經(jīng)被叫來響應(yīng)了，對他來說信息已經(jīng)飽和，各種各樣的關(guān)于WannaCry的報告鋪天蓋地，到底有哪一條是值得參考的，哪一條應(yīng)該去按照他的指引去操作，這個也是他所面臨的問題。還有一個最重要的問題是，可能在內(nèi)網(wǎng)是隔離，可是有很多BYOD的客戶，很多員工的電腦，周末可能會拿回家。但是WannaCry這次攻擊的惡意程序首先會連接秘密開關(guān)，如果是聯(lián)通是可以不加密，如果聯(lián)不通可以加密。這都是內(nèi)網(wǎng)隔離的企業(yè)，沒有部署相應(yīng)的措施的。我們的客戶第一時間以情報驅(qū)動的響應(yīng)機(jī)制是什么呢？IT人員就會在內(nèi)部配置相應(yīng)的對開關(guān)以及變種程序所使用的開關(guān)的程序解析，保證證券公司在開戶前所有的員工和設(shè)備是可以聯(lián)通這個開關(guān)的，在內(nèi)部做了解析。我新連入的設(shè)備不會加密，同時再做一些后續(xù)的處置措施。我們的客戶實(shí)現(xiàn)了保障數(shù)百萬臺的設(shè)備，以后在整個網(wǎng)絡(luò)做了相應(yīng)的監(jiān)測，知道自己到底有多少的內(nèi)網(wǎng)設(shè)計是可以聯(lián)系開關(guān)的，明確定位哪些是視線主機(jī)。再套用自適應(yīng)網(wǎng)絡(luò)安全模型ASA，以WannaCry這個事件為例，是怎么進(jìn)行響應(yīng)的？防御環(huán)節(jié)能打補(bǔ)丁打補(bǔ)丁，很多的設(shè)備如果沒有完善的補(bǔ)丁管理體系，是沒有辦法任何的設(shè)備是可以打好補(bǔ)丁的，這個是防御環(huán)境我們可以做的。監(jiān)測環(huán)節(jié)是利用我們的開關(guān)和秘密開關(guān)做相應(yīng)的監(jiān)測，發(fā)現(xiàn)我的內(nèi)部網(wǎng)絡(luò)到底有多少連接的設(shè)備，我們會精準(zhǔn)定位我的網(wǎng)絡(luò)里有多少的事件主機(jī)響應(yīng)做什么呢？屏蔽445的端口，我們再利用自己的變種和開關(guān)，對相應(yīng)的木馬和樣本進(jìn)行分析。我們也把我們和客戶的實(shí)踐經(jīng)驗在這里拋出來，供大家做研判。

另外一個案例是hao123掛馬我們另外一個客戶在百度的事件發(fā)生了以后，半夜12點(diǎn)說我要做應(yīng)急響應(yīng)，考研我們的MTTD和MTTR響應(yīng)，我們的分析師發(fā)現(xiàn)了所有的攻線指標(biāo)和黑客所使用的網(wǎng)絡(luò)資產(chǎn)，也就是說hao123有多少的域名、木馬都是它的資產(chǎn)，當(dāng)你都掌握了之后，他更換攻擊成本和事件成本也是非常高的。我們的客戶利用威脅情報和現(xiàn)有的下一代防火墻進(jìn)行了聯(lián)動，實(shí)現(xiàn)了8小時的內(nèi)網(wǎng)聯(lián)動處置。這個事情是發(fā)生了，我們利用了8個小時，遠(yuǎn)低于亞太地區(qū)所有企業(yè)的響應(yīng)時間，我們現(xiàn)在可以拍著胸脯說可以不受hao123事件影響了。殺傷鏈第四步發(fā)生的時間是什么？是43天之前，這個遠(yuǎn)低于業(yè)內(nèi)平均水平了，在整個的行業(yè)里，在亞太地區(qū)是有172天，北美地區(qū)信息安全這么發(fā)達(dá)的地區(qū)要用99天，這就是量化我們用情報驅(qū)動的，我們新的檢測和響應(yīng)的安全機(jī)制到底做什么？

2015年蘋果的開發(fā)工具受了感染，12306、滴滴和使用的微信都受到了影響，這個事件是非常典型的在2015年9月18日這個事件被偶然的機(jī)會發(fā)現(xiàn)。我們在座溯源分析的時候發(fā)現(xiàn)，他在2015年2月26日就開始進(jìn)行了這次攻擊，并且所有的攻擊資產(chǎn)和網(wǎng)絡(luò)攻擊就開始了。沒有任何人在做這件事情。

大家會問一個問題，微步在線是如何做到這件事的這是我接到的最多的問題我能說的就是這些，我們有強(qiáng)大的自研和分析的能力，我們既分析情報又是情報的生產(chǎn)者。我們匯集了全球優(yōu)秀的安全廠商和合作伙伴，包括管理了超過200家的情報源，我們自己又有非常強(qiáng)大的樣本分析和溯源的能力，包括云端計算的資源是非常非常龐大的，有沙箱，包括了基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)，包括了PDS數(shù)據(jù)和歷史數(shù)據(jù)，這對溯源是非常有用的。我們有威脅分析平臺，這也是唯一開放的綜合性的分析平臺，大家都可以注冊賬號進(jìn)行免費(fèi)的試用。我們在按黑客棧事件、Gost和孟加拉央行的事件進(jìn)行了全程的跟蹤和相應(yīng)的客戶企業(yè)和監(jiān)管部門進(jìn)行了實(shí)時的聯(lián)動。

目前我們的主要產(chǎn)品的實(shí)現(xiàn)方式是威脅情報平臺，也叫威脅情報中心，這是部署在客戶的DMZ區(qū)域，內(nèi)部網(wǎng)絡(luò)在本地實(shí)現(xiàn)內(nèi)部檢測，你把你的血將抽出來，放到威脅情報中心，我們把疫苗打到威脅情報中心，進(jìn)行實(shí)時響應(yīng)。同時有內(nèi)部溯源的功能，如果我們發(fā)現(xiàn)了報經(jīng)，這個報警和每天發(fā)生1000個是不同的，它是正在發(fā)生或即將發(fā)生的威脅。和遠(yuǎn)程控制服務(wù)端的連接的行為和內(nèi)部植入的攻擊立足點(diǎn)，比1000個報警都有價值，我們包括了SIM和SOFT研究，如果沒有這些大數(shù)據(jù)平臺也可以進(jìn)行部署和響應(yīng)，因為它可以幫助你從大量的日至中解脫出現(xiàn)，發(fā)現(xiàn)最重要的火苗在哪里。我告訴你就是火苗在哪里。