2019年基于CWPP理念的云主机EDR平台.pdf

1、软件定义防御 智能驱动安全01 新的安全新挑战和变化02(云)服务器EDR系统设计理念03(云)服务器EDR系统在攻防对抗中的实际应用04(云)服务器EDR系统应用场景目录基于智能驱动的新一代云安全公司l CSA云安全联盟会员单位l 中国云服务联盟理事单位l 国内最大的(云)服务器云安全管理平台：保护超过450万台(云)服务器与250万个网站日均拦截超过2亿次攻击l 华为云、金山云、京东云、紫光云内置安全产品安全狗简介国家网络与信息安全通报中心技术支持单位国家应急响应中心技术支撑单位国家信息安全漏洞库技术支撑单位国家信息安全漏洞共享平台成员单位信息安全等级保护安全建设服务机构能力评估合格证书网

2、络安全服务资质 国家级技术支撑单位荣誉厦门金砖峰会网络安保数字中国建设峰会网络安保上海进博会网络安保国家级重要会议活动网络安保云安全平台云上应用安全云上安全大数据云垒-私有云安全平台云眼-新一代(云)主机安全云御-云WEB应用防火墙云固-云WEB应用防篡改云甲-容器安全系统云隙-微隔离系统啸天-安全大数据及态势感知观鸿-威胁情报平台云磐-云安全SAAS服务平台公司围绕打造纵深防御的云安全体系思路设计了一系列云安全产品：云图-流量威胁分析系统NTA海青-网站安全云监测系统云幻-欺骗防御系统安全狗云安全新产品体系云工作负载安全产品矩阵云工作负载安全产品矩阵新的安全挑战与变化01安全的无奈现状无奈现

3、状理想目标流量威胁检测RASP主机EDR微隔离欺骗防御流量威胁检测流量威胁检测态势感知老三样反垃圾安全网关防火墙虚拟化安全SIEM/SOC现有增强从攻防演练活动看防护体系增强-从边界防护上升到内部防护初始入侵内部目标侦测内部支撑点转移收集信息数据外泄支撑点（失陷主机）支撑点（失陷主机）通用/特定C&C外到内内到内内到外失陷阶段（POST BREACH）安全新挑战和变化(云)主机安全是安全的最后一道防线！入侵检测VS防护安全组织的投应该从之前的90%防护和10%检测和响应过渡到60%的防护和40%的检测和响应。Gartner终端是真像之源，防御永远不能帮助你了解自己，检测可以。安全狗勒索蠕虫&挖

4、矿程序1、勒索软件的质量和数量不断攀升，将成为网络攻击的一种新常态。检测难、变种快、传播快，脆弱的内网2、比特币技术、加密技术、武器化漏洞结合3、免杀和自我传播能力将越来越强，静默期会不断延长资源消耗与稳定性1、敏态业务：需要考虑资源控制、熔断机制、打卡机制；2、稳态业务:考虑兼容性，轻代理、核心代码质量；3、从经典的基于签名的防病毒软件到通过大数据技术生成很多扩展功能的更为成熟的EDR解决方案,包括深度安全监控、威胁检测和事件响应等功能。提高管理效率1.需要全套主机安全服务满足新需求2.提升终端用户、IT及安全团队操作效率。3.易于部署、配置、操作、分析和使用。4.满足企业云化新的安全管理需

5、求(云)主机安全安全狗全网(云)主机上监测到的攻击数据分析IP扫描端口扫描操作系统扫描系统应用扫描SSH暴力破解Windows远程登录暴力破解MSSQL暴力破解MySQL暴力破解FTP暴力破解Tomcat管理后台暴力破解Web应用漏洞扫描Web组件扫描其他探测阶段Redis未授权漏洞利用Memcached未授权访问漏洞利用Elasticsearch未授权访问漏洞利用Elasticsearch命令执行漏洞利用MongodbHadoop未授权漏洞利用Jekins未授权漏洞Weblogic反序列化漏洞Jboss远程代码执行漏洞Strust2远程执行命令漏洞ImageMagic远程OpenSSL漏洞利

6、用CMS应用漏洞系统命令执行漏洞系统溢出漏洞VNC认证口令绕过漏洞利用其他攻击入侵阶段安全狗全网(云)主机上监测到的攻击数据分析篡改系统账号添加影子帐号bash反弹shellnc反弹shell利用PowerShell反弹TCP Shell利用PowerShell反弹UDP Shell利用PowerShell反弹HTTP Shell利用PowerShell反弹DNS ShellPowerShell绑定后门端口植入Webshell后门利用Windows系统漏洞提权利用Mimikatz获取系统密码第三方应用提权（如VNC、radmin）植入病毒清除日志篡改系统命令服务替换后门组策略漏洞利用（GPP）