要协同，不要堆砌 — 下一代安全的重构 赵粮 博士，首席战略官， 绿盟科技 理事，云安全联盟大中华地区协调组织 2013.11.26，北京 绿盟科技 www.nsfocus.com nsfocus.com © 2013 绿盟科技 日 程 1 威胁背后的动力学 2 九龙治水的尴尬 – 为什么要协同？ 3 协同什么？如何协同？ 4 走进下一代安全 威胁不断“创新” 之 badBIOS http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/ http://blog.erratasec.com/2013/10/badbios-features-explained.html#.UnMMcxB_jtS 攻守之势 …子墨子解带为城，以牒为械，公 输盘九设攻城之机变，子墨子九拒 之。公输盘之攻械尽，子墨子之守 围有余。公输盘诎，而曰“吾知所 以距子矣，吾不言。” 子墨子亦曰 “吾知子之所以距我，我不 言。 ” … 从成本角度看当前攻防态势 攻 击 成 本 Web和网 络入侵 传统病毒/一 般网络攻击 BYOD 的出现 下一代安 全技术 APT 高级持续威 胁 防护成本 APT攻防之九龙治“水” WAF Anti-DDoS Forensics AV Advanced Persistent Threats Advanced Targeted Threats HoneyNet NGFW NGIPS SIEM Cloud-Based DAST/SAST MSS/SecaaS/Big Data 挑战 思路 攻击者总是在创造新 的“未知”攻击 未知的未知 出于成本，攻击者 “复用”“已知” 已知的未知 在受控成本下，从 “已知”检测/判定 “未知”威胁，并能 持续改进 已知 为什么可以检测“未知”? 投掷部分可以通过：  Email  大型网站  黑客入侵  “处理过”的硬件、 软件、或某些电子元 器件 漏洞，漏洞，漏洞… 网络安全武器三大组件 1 投掷部分 2 导航部分 RAT，… 网络战，百度百科，http://baike.baidu.com/view/54823.htm 3 载荷 已知 未知 ? ? ? 从已知求未知 IP | 域名 | URL | 文件 | 用户 | 行为模式 ... 已知 已 未知 未 已 未 未 未 “信誉库”是从“已知”到“未知”的关键 信誉库 是“历 史” 信誉库 帮助推 导 信誉库 需要更 新和衰 减 “云” 是信誉 库的最 佳形态 APT攻防之九龙治“水”(again) WAF Anti-DDoS Forensics AV 安全协同 Advanced Persistent Threats 闭环运营 Advanced Targeted Threats HoneyNet NGFW NGIPS SIEM Cloud-Based DAST/SAST MSS/SecaaS/BigData 检测手段的丰富 我们还需要加强什么？ 我们已有什么？ 网络 检测 IDS 内容 检测 Anti-Virus 关联 分析 SIEM 响应手段的丰富 现在还有什么？ • 进一步诊断类 – Diagnoses 原来我们有什么？ 网络隔离 文件隔离 • Style i += Style j • 补充类检测手段 • 高仿真Honeypot • 记录取证 Forensics • 记录所有流信息 • 记录所有流量 • 处理类 Remedy • 隔离 • Shutdown 攻防状态空间 处置状态 诊治中 监视其所有 网络和系统 行为  深度 监视  一般性 监视  发现内网 探测行为 C 经过“深 度”分析 确认入侵 并清除 B A D 受侵害状态   Clear Cleared    疑似Attacked/Attacker Controlled 云中的“信誉库”成为网络对抗的关键 IP信誉/文件信誉/域 名信誉/URL信誉/恶 意行为/安全漏洞/攻 击手法/… 服务 集群 计算 集群 页面爬取集群，页 面内容分析集群， 恶意代码分析集群， 漏洞扫描集群 智能挖掘集群 安全专家 团队 业务识别能力 信息获取能力 处理逻辑和规则分离 快速升级能力 灵活部署能力 漏洞挖掘分析/样本 分析/拒绝服务分析 /数据分析/算法设 计应用能力/安全设 备策略调优/… 下一代安全的七个关键特性 案例：协同的力量 - “云管端”的WEB解决方案 • 安全扫描，发现 安全隐患 • 更新安全防护规 则，防御新兴安 全威胁 • 24小时实时安全 监控 • WEB专项安全防 护，DDoS流量 综合清洗 案例：提供商和用户之间、不同设备之间的安全协同 NSFOCUS Security Cloud 发现异常特征: <%execute(requ est(“a”))%>… 用户 A 用户 C 用户 B 结论  在高级持续威胁的上下文里，威胁方相对于 防护方处于暂时成本优势区域。  有效消除“攻方成本优势”的重要途径包括 威胁感知（了解敌情、知己知彼）、提高协 同能力（见招拆招，九攻九距）、闭环运营 （及时评价防护效果，优化防护措施）等  云中的“信誉库”将成为网络对抗的关键。 使用云、保护云。 谢 谢！