1、微步在线：网络安全走向云化（31页）.pdf

1、薛 锋网络安全走向云化网络安全的几个变化数据化云化实战化服务化策略化、规则化数据化alert tcp$EXTERNAL_NET any-$HOME_NET 1024:65535(msg:ETEXPLOIT Computer Associates Brightstor ARCServe Backup Mediasvr.exeRemote Exploit;flow:established,to_server;content:|00 06 09 7e|;offset:16;depth:4;content:|00 00 00 bf 00 00 00 00 00 00 00 00|;distance:4

2、;within:12;reference:url, is Dead?入侵检测系统已死？Assume Breach 思路转变：失陷假定告警事件数100,000+5命令与控制攻击杀伤链-Kill Chain入侵过程入侵结果DNS在网络中的重要性知道你要去哪告诉设备该去哪告诉别人你在哪DNS故障 断网DNS劫持 欺骗DNS管控 上网行为管控 服务 服务 持攻击 服务 服务 件 网 勒索 件 攻击 不 114.114.114.114/8.8.8.891.3%of malware uses DNS in attacks*Source:Cisco 2016 Annual Security Report94

3、%of malware incidents were delivered via email*Source:Verizon 2019 Data Breach Investigations Report员工缺乏邮件安全 识缺乏有效的邮件安全 识培训安全意识的缺乏没有防护 ，或者仅依赖传统垃圾邮件网关对新型攻击的检测能力缺失在邮件安全上投入较少，重视度低工具的缺失大型网络攻防演中/日 网络安全事件：邮件成为主要的突破点 邮件、利用垃圾邮件大 模传播、用户凭证被窃、BEC低成本、易于传播组织化、团伙化、众包单兵作战、无联防猫池打码暗网众测众测众测微步在线的探索安全云专业、稳定的DNS服务OneDNS

4、威胁情报管理平台TIP威胁检测平台TDP威胁情报社区十大银行中的8家十大证券中的6家五大互联网中的4家五大智能手机中的3家十大能源中的5家APITDP/TDPSTIPOneDNSOneDNS 企业安全DNS服务 服务 服务 服务 件 网 勒索 件 攻击 不 微步在安全云日志获取IPS、WAF、邮件、应用日志“自动化”提取关联 、丰富上下文、去误报自有情报累积攻击IP、IOC、攻击团伙画像 胁数据化-胁情报管理平台TIP(Threat Intelligence Platform)重新定义入侵检测.提供攻击时序过程以供 依据攻击链 攻击手段和工具入侵过程精准判定攻击结果：成功与否判定是否针对性攻击

5、、是否为攻击事件入侵结果1.全流量的日志、文件提取与报警pcap存储2.威胁情报检测模块3.器学习模型检测模块4.文件检测引擎模块5.云沙箱检测模块6.网横向移动检测模块7.自定义情报检测模块8.攻击链回溯 模块 胁情报检测系统等保二、三、四 都提出对威胁情报检测系统的硬性要求等保三 和四 要求引入威胁情报库，并需要升 到最新版本 胁检测平台TDP(Threat Detection Platform)终端联动资 梳理API风险针对性攻击识别敏感数据泄露异 发现攻击链还原 胁监控服务应急响应服务专杀工具集基于各攻击阶段告警发现与攻击链还原的网络流量综 检测平台，并配套专业服务团队与服务工具集的MDR服务 Making Intrusion Detection Work,Whatever Its Called管它叫什么呢10,000,000￥