2020BCS-北京网络安全大会：威胁情报与主动防御.pdf

1、2020北京网络安全大会2020.BEIJING CYBER SECURITY CONFERENCEPERCONRISKENC卡GEME天际友盟PONIZATianJi PartnersEDIGITA威助情报与主动防御司关于数字化安全呈现无边界趋势的思索GDPR LEARNINGUPPLY CHAINTRUSFORMATION WORLDENDPOIMENDPOINT SECURITYDEFENSEBEHAVIORAL ANALNETWORAHUMAN PRloTCRIICALCLOUEINTERNTIONBEHAVIORALANALRESPONSE分享人：杨大路（天际友盟CEO）#page#

2、牛2020北京网络安全大会全球安全现状天际友盟020BEJINGCYBSHA1SHA256IOCs：59,063.486840.0382.844.0128.526.18815.615.00415.613.47215.624.516钓鱼欺诈攻击加剧APT攻击常态化攻击门槛日益降低5G带来的新风险面向关键基础设施专注、专业、持续Wannacry/notpetya网络规模快速扩大#page#书2020北京网络安全大会数字化进程带来的挑战天际友盟020BEIJINGCYBER企业信息安全不仅仅是关注企业网络边界路由器内的安全，更多的分布在管理权限外的潜在威助使得数字风险的边界越来越模糊，响应和处置越来

3、越困难纵深防御数字化暴露面，访问控制APP钓鱼（仿昌）数字版权威脉误报供应链网站钓鱼（仿冒）电子邮件钓鱼数据泄露社交媒体钓鱼品牌侵权管理边界异常检测防病毒补丁管理漏洞扫描行为审计#page#光2020北京网络安全大会天际友盟威胁情报为何可以用于主动防御020BEJINGCYE威协反制所属组织或团体威胁情报样本分析成时潮源用有的攻击资源失陷主机检测O业务网控威行为检测上过往的攻击行为0混润验证调查取证安关漏洞情报使用的合法工具风险资产监测威肽源画像就自动化店使用的恶意软件到宽业品洞盗测0资产情报采用的攻击模式混洞修补DDOS态势感知事件情报资产发现O通报预警访问C2节点观测的行为特征尝试上传We

4、l#page#牛2020北京网络安全大会天际友盟威胁情报应用的关键在于分享020BEJINGCYB基于“烽火”的思想，威助情报才能够在主动防御中发挥更大价值STIXISAC/GBT36643-2018TAXII组织A组织NOpenc2电猫综合安全平台综合安全平台安全设备安全设备防火墙SIEMSIEM防火墙成主SOCNGFWSOCNGFWIPS态势感知态势感知IPSEDRSRCSRCEDR#page#光2020北京网络安全大会天际友盟以情报应对安全运营的挑战超负荷告警行动协同通过环境内部的事件和相关指标来自动增加和单一的共享环境，所有安全团队的成员丰富外部数据，洞悉事件发生的细节，使用威都可以看

5、到分析结果的展开，威励情报助评分来进一步缩小数据集规模，例如：何人超负荷告警行动协同分析人员、安全操作中心（SOC）和事于何时、何地、攻击了什么，为什么以及如何件响应人员可以协同工作，更快地采取进行的攻击等信息。正确行动，缩短响应和补救的时间。减少误报应对安全知识协同运营挑战利用现有的案例管理工具或SIEM（安全信息和知识协同减少误报团队成员在单一环境中工作，共享同事件管理）来自动共享相关的优先级威励情报组威脉数据和证据存储关于对手及这些系统可以更高效、更有效地执行优先级事2其战术、技术和程序（TTP）的调查4项，并减少误报。记录，以便于未来的调查。主动防御主动防御将整合的威励情报直接导出到传

6、感器网络（防火墙、防病毒软件、IPS/IDS、网络和电子邮件安全、端点检测和响应以及NetFlow等），允许这些工具生成并应用更新的策略以降低风险。#page#光2020北京网络安全大会天际友盟威胁情报&主动防御-SOAR架构020BEJINGCYE恶意威胁网关按威协类型按信誉评价恶意软件威助恶意站点威助网关值范围木马软件按行业划分钓鱼网站端虫软件按地域划分色情站点病毒软件探贴博站点勒素软件DGA域名其他恶意软件SOAR敏捷情报选用情报台检索Tor节点APT攻击级户网络被黑网站8湖）C&C节点新垃圾邮件安全周本扫描器节点恶意邮件黑客团伙威励恶意攻击威协私有情报TI Inside中私有情报H-安