数据泄露时代的 网络边界防御实践 熊瑛 @ 网康科技 2016.7 回顾：2015十大信息泄漏事件 十大酒店泄露大 量房客开房信息 汇丰银行 3万重要帐户信息 2015.02 2015.02 2015.03 社保系统漏洞涉及 大麦网安全漏洞 5000余万个人信息 600余万个人信息 2015.04 2015.07 2015.08 2015.08 Anthem HackTeam Ashley Madison 8000万个人信息 400G“互联网军火” 3700万名用户资料 某电信系统漏洞 上亿用户信息 2015.10 2015.10 2015.11 益百利 Experian 1500万名用户资料 伟易达 Vtech 500万客户资料 谁动了我的数据？ 2016 Verizon Data Breach Investigations Report (DBIR) 数据窃取者绝 大部分来自于 企业外部 常用手段 89% 的 数 据 泄 露 事 件 以 经济利益或间谍活动为动机 • • • 黑客攻击 恶意软件 社工攻击 为什么难以防范？ • • 攻入系统往往只需要几分钟时间 但完成数据窃取则一般需要几天 • • 几天内完成攻陷的比例大幅提升 几天内被发现的事件未明显变化 数据窃取中的“关键三步” ① 投送 ② 植入 • Step1： 发送网络钓鱼电 子邮件，内含指向恶意网站 的链接，或恶意附件； • Step2： 下载恶意软件到 ③ 窃取 目标PC，建立突破桥头堡， 为后续针对敏感信息的进一 步恶意软件植入铺路； • Step3： 利用窃取的凭证 进行进一步攻击，挖掘有价 值的数据。 数据泄漏的纵深防御体系 • 网络边界 • 应用系统 • 用户鉴别 • 主机终端 • 物理设施 网络边界是执行控制的绝佳位置，但是…… 机会 • • • 第一道也是最后一道防线 有机会“看到”所有流量 有条件执行全局主动控制 挑战 • • • 海量、不确定，真的能看清吗？ 业务高度依赖，真的能阻断吗？ 从“应用本身即是威胁”到“应 用携带威胁”，真的安全吗？ 网络边界防御的使命 • 应用的深度识别 • 用户和内容识别 • 建立在可视化基础 上的统一控制 • 应用风险视角 • 由应用风险驱动持 由可视化驱动 执行精细控制 • 执行深度检查 • 引入检测、分析、 感知所需的手段 续的策略调优 面向新型威胁 可视化（Visibility）-“看得见”的能力 Visualization 600 Visibility “可视化”不是简单的将数据图形化呈现，不是 日志信息的简单分类和归集，而是深度挖掘这些原始 数据素材之后的内在关联。 400 200 “可视化”提供了 发现风险、确定风险、减缓 风险 所需的可见性，是保障边界防御有效性的基石。 0 IRC DNS HTTPS HTTP SMTP POP3 • 用户能了解到的 • “可视化”的关键 • IRC流量最大 • 对网络流量充分认知 • DNS流量也很大 • 对异常情况敏锐洞察 • 用户所不知道的 • IRC属高风险应用，常被僵尸网络用于信令传输 • 最近一小时DNS流量是昨天同时间段的 300 倍 • 对多个事件建立关联 如何在海量应用中执行精细化控制 应用识别 应用控制 深度检测 可视分析 • 应用识别是边界控制的基 本条件 • 业务执行所必须的应用应 被放行 • 实时检测并阻断流量中携 带的威胁 • 对于不确定的应用，应引 入风险视角，通过持续分 析决定处理方法 对“灰色”流量的处理 风险指标 发现风险 APP1 APP2 App3 …… APPn 安全属性 访问用户 地理位置 访问时间 传输内容 异常变化 …… 访问终端 确认风险 持续运行闭环式管理 存在漏洞 IPS 文件传输 Data Filter 远程控制 Deny User1 Allow User2 Allow User3 Deny …… 带宽激增 QoS 新增会话 Session Limit 系统更新 Allow 安全软件 Allow 未打补丁 Deny 减缓风险 基于大数据进行检测、分析、溯源 大数据智能安全 异常行为 建模、纠正与预防、防御 安全信息 行为模式 上下文信息 大数据分析 威胁情报 安全策略 多个维度的信息可依赖关联 语义级表达信息 网络 威胁 内容 应用 人 依赖关联信息 应用日志 用户日志 威胁日志 流量日志 C&C通信 DoS攻击 恶意扫描 垃圾邮件 暴力破解 异常隧道 漏洞攻击 数据外传 异常行为检测 - 数据泄露的感知、预知 智能协同的边界防御解决方案 下一代防火墙 慧眼云 通过应用精细控制和深度 检测，实现威胁侵入和数 据泄露通道的控制 通过异常行为分析，感知、 预知数据泄露风险，并提 供分析溯源所需的可见性 第三方 威胁情报 办公网 用户日志 DMZ 应用日志 威胁日志 流量日志 NGFW-可视驱动可控 慧眼云-失陷主机检测 情境感知 关联分析 日志搜索 安全报告 小结 Step1：投送 可 视 化 应用控制 阻断高危应用 内容控制 阻断恶意网址 用户控制 威胁检测 Step2：植入 Step3：窃取 阻断业务需求外的 应用访问 拦截非法下载 访问行为实名审计 拦截恶意网址和非 法动态域名访问 拦截恶意文件 阻断跨域的渗透及 恶意软件植入 Prevention：执行精细化访问控制，收缩威胁入口和泄露通道 Detection ：进行多维的行为检测，及时发现失陷和泄漏风险 Response ：关联分析、高效回溯，为响应措施提供决策依据 检 测 分 析 取 证 谢谢！