网络安全的巷战时代 吕颖轩 山石网科 • • • 1942年7月～1943年2月，斯大林格勒保卫战 第二次世界大战的关键转折点，法西斯德国从此一败涂地； 14万的德军葬身于城内； 巷战起到了关键作用！ 如果城墙失守，我们该如何保卫我们的城池？ 内网失陷，企业将会怎样？ 1 2 3 4 5 内网主机失陷 扫描/扩散 提权 数据窃取 钓鱼 水坑攻击 U盘带入 渗透 案例1： 某办公网 • 某员工访问 网站，被钓 鱼 • 利用过期或 伪造的杀软 签名，植入 恶意代码 • • 病毒软件放 过，并执行 恶意代码 病毒软件成 为帮凶 • • C&C，下 载恶意的 PE文件 黑客完全控 制主机 • 3天后，数 据库服务器 被“内部人 员”拖库 案例2： 某园区网 • 某员工访问 网站，被钓 鱼 • • C&C 主机被黑客 远程控制 • • 通过伪造内 部邮件和附 件 控制了内网 更多主机 • 失陷主机， 由内到外发 起DDoS • 用于安全域 隔离和出口 的防火墙瘫 痪 边界防御的失效，是灾难的开始！ 那么，为什么边界的防御会失效？ 据统计： 82%的恶意程序活跃时间仅为1个小时 70%的病毒只出现一次 基于病毒特征的检测方法， 正在逐步失效。 内网安全，已经成为攻防对抗的关键举措 • • 内网失陷主机的感知 失陷主机威胁的清除 解决之道：新技术解决新问题 UBA 核心 价值 EDR MDR UBA • • 基于网络/应用行为，发现内网失陷主机； 可检测出变种软件等躲避技术； EDR • • PC端的威胁响应（隔离、清除）； USB威胁侦测； MDR • 移动端的威胁响应（应用删除、数据隔离、断网）； 山石网科内网安全解决方案 智.感 智.端 智.捷 “智.感”：基于UBA技术的内网失陷主机检测 流量解析 正常行为 流量学习 模型匹配 处理动作 异常行为 数学建模 防火墙策 略 威胁类别 判定 报文取证 攻击链展示 机器学习的目的：建立主机行为模型 100万种 恶意软件为样本 白名单 正反馈 负反馈 用户网络 流量学习 20种 恶意行为分类 50种 行为模型 正常行为 模型 异常行为 模型 行为模型的匹配，是为了感知内网失陷主机 数学建模 机器学习 行 为 族 1 行 为 族 n 行为归类 威胁判定 • 圆心：基于威胁情报收集并加工处 理的已知恶意行为； （预定义的 负反馈） • 恶意行为判定：越接近圆心，威胁 疑似度越高； • 行为族：分为20类行为族，以确 定不同的风险和危害等级； “智.端”：PC威胁响应 智.感 智.端 从智.感获取主机策略 恶意进程清除 恶意文件隔离/清除 “智.捷”：移动终端威胁响应 智.感 智.捷 从智.感获取主机策略 恶意 应用 删除 网络 切断 数据 隔离 恢复 出厂 设置 山石网科内网安全解决方案 智感 智.端 数据规整 机器学习 数学建模 关联分析 威胁响应 恶意文件隔 离/清除 USB威胁侦测 智.捷 威胁响应 恶意应用删 除 锁屏/断网/恢复出厂 攻 击 链 展 示 平 台 • 智.感：基于UBA技术，通过机器 学习、数学建模的网络行为分析， 有效的对内网失陷主机进行感知； • 智.端：端点进行威胁检测和响应 （隔离/清除）； • 智.捷：移动终端威胁响应（应用 删除、数据擦除、锁屏、断网）； 工欲善其事，必先利其器。 只要有了强大的武器，网络巷战必将取得必胜！ 谢 谢