互联网+时代下 新的数据安全防护思路 谭伟基 亚太区技术总监 Raytheon | Websense 网络空间安全上升到国家层面 互联网加意味着传统 业务与互联网结合形 成新的业务模式将成 为今后几年的趋势 网络空间安全是这次习主席访问美 国的几个重要话题之一，说明国家 现在对于网络安全的重视程度 业务模式的改变导致IT架构的变革 以前 如今 顾客 互联网 移动员工 云应用 云存储 DMZ AV IDS FW PROXY URL FILTER 公共云 私有云 互联网 NG DMZ NGFW Web服务器 应用 存储 端点 员工 IPS BYOD WEB SECURITY DLP 员工 ANTI-MALWARE 大数据 当前安全现状 复合年均增长率（CAGR）66% 安全事件统计数量来自于9700个受访企业反馈 有一点是很清楚的：大多数 机构的网络安全程序不媲美 当今的持久性，战术技巧和 技术实力网络对手。 28.9 24.9 22.7 million 9.4 PwC - The Global State of Information Security® Survey 2014 & 2015 3.4 million million million million 42.8 million 网络安全人才缺失 2013 2017 2.25 million 4.25 million 网络空间安全技能缺口持续增长 市场指标显示到2017年, 全球可能缺乏多达425万安全人员， 占人才需求47％ = 250,000 2013 (ISC)2 Global Information Workforce Study 近期四大信息安全热点 • 企业持续关注APT攻击 •互联网＋时代 • 攻击目标更多针对个人隐 •业务便捷与数据风险共存 私 • 数据窃取 • 内部破坏 • 安全威胁横向移动 •恶意APP威胁用户隐私 高级 威胁 移动 应用 内部 威胁 金融 欺诈 • 互联网为金融欺 诈打开了便利之门, 在金融 犯罪中比例不断增长,缺乏 有效手段识别此类风险 高级威胁 - APT攻击 侦 察 诱 饵 重 定 向 漏 洞 攻 击 包 植 入 后 门 回 传 通 讯 数 据 窃 取 当前防御技术四大失败理由 1 单靠特征码和信誉 2 历史并非未来表现的可靠 指标。特征码制作无法跟 上威胁的动态创建 3 只检查请求， 缺乏对外发资料的保护 没有数据感知，缺乏上下文 分析，最小没有证据和事件 分析能力 缺乏实时在线内容分析 收集利用后台进程的样品进行 实验室分析, 产生新的特征码和 声誉 4 忽略SSL死角 UTM，NGFWs，IPS监控 SSL严重影响性能，还是视 而不见 移动应用 - 引出新的风险 BYOD 数据泄露 平台复杂 恶意APP 欺诈入口 应用漏洞 开发维护 移动终端数据安全新思路 移动设备管理 移动设备 传输网络 虚拟移动基础设施 移动架构 企业服务 Nested Suite-B Tunnels 操作手势 App响应的界面 根本上控制移动终端安全风险 敏感数据不保留 操作习惯无变化 软件升级免干预 平台安全有保障 我们一直在关注“他”… 黑客和有组织犯 罪集团是网络安 全的坏人，每个 人都了解 但是……. * PwC - The Global State of Information Security® Survey 2014 & 2015 但“他”呢…… ? 32%的受访者 反馈内部威胁 所带来的危害 远高于来自于 外部的攻击 * PwC - The Global State of Information Security® Survey 2014 & 2015 内部威胁 - 需要重点关注的威胁  知识产权窃取  金融欺诈  蓄意破坏  非故意行为  其他  渎职行为  暴力行为 Source: The CERT Guide to Insider Threats, 2012 准确识别内部威胁 Photo: Jeramey Jannene 异常行为 识别 上下文关 联分析 完整复现 操作过程 前瞻性定 位风险 用户行为监控准确识别内部威胁 • 发现并记录: – – – – – – – 键盘输入 聊天记录 文件和文档内容 截屏操作 视频录像屏幕显示的操作 捕获用户编辑的文件的不同版本 针对移动介质操作 – Web浏览器操作 – 剪贴板操作（复制／剪切／黏 贴） – 文件访问 – 内核进程 – 用户执行的应用程序 – USB 端口操作 – 邮件内容 具备DVR回放违规行为证明能力 员工人力资源信息 受保护的文件被复制到USB 违反政策 受保护的文件 详细信息 录像播放窗口 录像播放工具栏 如何快速定位各类风险和威胁, 包括金融欺诈 从四个纬度定位各类风险 关联分析 时间分析 地理位置分析 统计分析 联合查询搜索 联合查询搜索技术采用建立一个虚拟的数据仓库， 并保持数据不被转移及复制 SIEM Insider Threat System Status Linux Forensics IP Geographic Location Virtual IP Traffic Data Firewall Warehouse IP Reputation 数据保持静止状态，不 会被复制和转移 Human Resources Supply Chain Brand Protection Geopolitical Intelligence 联合查询搜索 SIEM/数据仓库 • 静态数据库模式 • 数据的可扩展性低 • • 按要求连接到数据源上 高度可扩展的数据层 • 需要数据的所有权 • 重复数据 • • • 数据仍然留在原地 不用复制数据 保留数据的所有权 • 需要摄入数据 • 数据延迟和过时 • • 直接查询数据源 新鲜数据 可以连接到现有的数据仓库或SIEM