智慧安全-基于数据和情报的对抗 - RSAC2015热点研讨会 赵 粮 博士，首席技术官，绿盟科技 2015.06.05 © 2015 NSFOCUS, blog.nsfocus.net © 2015 NSFOCUS, blog.nsfocus.net © 2015 NSFOCUS, blog.nsfocus.net RSAC 2015 话题热度 STIX支持厂商（产品）达到40个，用户社区10个 © 2015 NSFOCUS, blog.nsfocus.net © 2015 NSFOCUS, blog.nsfocus.net 云物大移 - “智能” © 2015 NSFOCUS, blog.nsfocus.net 攻击链及其攻防思想 © 2015 NSFOCUS, blog.nsfocus.net 攻击链及其攻防思想 – 防护者的困境  “攻防经济学”当前有利于攻方  攻击者广泛灵活的使用“欺骗”“社工”  防护方士气低落，“最低价”采购，管理层不懂行，行为受 限，… “最弱”的链条防不胜防  攻击者在暗处，防护者在明处 © 2015 NSFOCUS, blog.nsfocus.net 攻击链及其攻防思想 – 建立结构化纵深  充分理解攻击者的行为，将攻击行为结构化，针对性的建立具备结 构化纵深的防护模型，指导威胁分析，大大提高了“可操作性”  将检测和缓解行动提前，不给攻击者“一招制敌”的机会  每次攻击尝试都 给防护者发现的 机会，防护者可 以响应调整重新 部署，“攻防” 演化为双方“速 度”之争  改变防护者在战 场上的“我明敌 暗”的不利态势 © 2015 NSFOCUS, blog.nsfocus.net 攻击链及其攻防思想 – 兵不厌诈 避免：     成为攻击者的“肥肉” 容易被攻击者预期 被动思维 束缚住自己的思想和手 脚 应该：  通过各种自动化手段提 高自身“力量”和“速 度”  预置多种“对抗”措施  从资产名到IP地址，可 以切换“环境”  … © 2015 NSFOCUS, blog.nsfocus.net 攻防博弈… …… 守 塔防 P2DR 攻  多方位技术和资源的对抗和博弈过程  定向和非定向（广谱）攻击长期持续并存  没有100%的安全， 守方注定会遭遇“失败”  城防模型逐步演化为塔防模型  守方可以接受局部“失败”，但须确保全局控制  局部的战术性“胜利”对攻方意义不大  塔防战场胜负关键     守方须有“实时曝光”攻方的能力（否则，守在明处，攻在暗处） 守方须有全局视野和态势判断能力 守方须有实时调度和部署能力 …… © 2015 NSFOCUS, blog.nsfocus.net 细分战场 F1-F4 攻 守 F1 广谱 定向 F2 F3 F4 © 2015 NSFOCUS, blog.nsfocus.net 攻防博弈中的新玩家 管理层 （赞助人） 买家 （赞助人）  确认效果  取得资源  证明价值  取得回报 …… 守 塔防 P2DR 攻 © 2015 NSFOCUS, blog.nsfocus.net 四方博弈图像下的新视角 广谱攻:: 不区分行业和目标属性 >> 单次收益低，强调海量重复和自动化 广谱守:: 采用商业可得的大众化防护技术 >> 看概率、统计，减弱攻方的自动化和重复 定向攻:: 针对目标防护属性进行“免杀”、校准 >> “独特性”意味着成本，在独特性和收益之间取舍 >> “快速组装”… 定向守:: 在商业可得大众化防护技术上，采用独特的防护手段 >> Token、Honey、沙子、化整为零… 提高攻方“猜疑” 度， 提高自身防护体系的“独特性” >> 软件定义架构… © 2015 NSFOCUS, blog.nsfocus.net 细分战场上的战局预期  守方须有强大的威胁 情报能力  守方所使用的技术手 段具备“反情报”和 反“免杀测试”能力  完全DIY  专业提供商提供特别 定制  轻武器组合+快速响 应… © 2015 NSFOCUS, blog.nsfocus.net 未来的安全场景1——安全应急响应 某日 云安全监控中心 OpenSSL Heartbleed8 0 小时 漏洞 分析 主动 防御 1 小时 威胁 感知 风险 预警 漏洞披露 情报 共享 信息 传递 问题解决 信息回传 风险主机： 4 小时 OA服务器 Web门户 交换机A 交换机B …… 应急响应 技术指导 产品升级 策略优化 8 小时 绿盟科技 安全运营团队 绿盟科技安全产品 绿盟科技客户 未来的安全场景2——未知威胁攻击 策略更新 问题免疫 攻击信息 上报云端 黑客 新型APT攻击 确认异常 进行拦截 发现异常 分析检测 服务器群 绿盟科技客户 智慧安全 – 基于数据和情报的对 抗 • 智能、敏捷、可运营，快速安全闭环 © 2015 NSFOCUS, blog.nsfocus.net 智慧安全 – 在线闭环 绿盟云专家 绿盟安全云 绿盟本地专家 TAC 用户专家 用户侧设备         威胁库和全球信誉系统 翠鸟恶意软件分析系统 赛尔广谱平台 大数据分析平台 用户自服务门户 移动App/SNS消息系统 L1/L2/L3协同响应体系 …  云安全解决方案  基于安全大数据分析的 攻击溯源解决方案  下一代威胁防护方案  基于云地协同的Web安 全防护方案 … © 2015 NSFOCUS, blog.nsfocus.net 智慧安全 – 我们的实践 © 2015 NSFOCUS, blog.nsfocus.net