親愛的用戶朋友們:
感謝大家在百忙之中來到深信服智安全2021年度技術(shù)匯報。
在準(zhǔn)備今天的匯報過程中,我們采訪了幾位老朋友,先來聽他們講講這一年與深信服安全產(chǎn)品發(fā)生的故事……
聽了大家的故事,我們很感動也很開心。深信服安全產(chǎn)品幫助用戶解決了這么多問題,這也讓我們更有動力去持續(xù)迭代技術(shù)能力,持續(xù)完善更簡單有效的安全產(chǎn)品和服務(wù),持續(xù)提供更省心可靠的解決方案。
這一年,不知道大家今年都關(guān)心哪些問題呢?都有哪些需求呢?你們應(yīng)該也思考過,這些問題和需求,可以如何通過技術(shù)創(chuàng)新去解決?
是的,你們的問題和需求,我們也在設(shè)身處地研究、思考過,并且給出了答案。
今年,我們統(tǒng)計了全網(wǎng)Web攻擊來源,發(fā)現(xiàn)80%以上來自于自動化威脅。我們和用戶達(dá)成了一個共識:傳統(tǒng)邊界防護(hù)在自動化威脅面前“脆如薄紙”,依靠現(xiàn)有的規(guī)則、引擎防護(hù)能力,注定只能被動挨打,需要研發(fā)主動防御的技術(shù)去解決這個問題。
主動防御技術(shù)不基于任何特征、規(guī)則及閾值的方式進(jìn)行防護(hù),跳出了傳統(tǒng)機(jī)制的局限。
依照攻擊過程來看,事前階段,攻擊者依賴于自動化工具,快速收集信息,發(fā)現(xiàn)系統(tǒng)漏洞;事中階段,為了滲透業(yè)務(wù)系統(tǒng),防止請求被安全設(shè)備攔截,攻擊者會頻繁更換IP;事后階段,攻擊者會大量掃描內(nèi)網(wǎng)資產(chǎn),快速橫向滲透。
對此,我們的主動防御體系采用了三層防護(hù):人機(jī)主動防御、設(shè)備指紋封堵、主動誘捕技術(shù)(云蜜罐),針對攻擊者的事前、事中、事后進(jìn)行全方位打擊,為用戶安全防護(hù)打造層層銅墻鐵壁。
我們的主動防御技術(shù)目前已應(yīng)用在Web應(yīng)用防火墻WAF、下一代防火墻AF產(chǎn)品中,覆蓋70%掃描器;其中下一代防火墻AF針對高級威脅行為攔截率提升47%,針對自動化攻擊的識別率高達(dá)80%,改變過去需要人工研判定位的方式,大幅度縮短威脅發(fā)現(xiàn)時間,幫助用戶提升運營效率。
2021年,0Day漏洞層出不窮,我們發(fā)現(xiàn),僅第一季度,74%的惡意文件為首次發(fā)現(xiàn)的0Day文件。針對近期披露的“史詩級”漏洞Apache Log4j2,深信服安全云腦數(shù)據(jù)顯示,截至目前利用該漏洞的攻擊已超千萬次,我們成功幫助6000多家用戶阻斷非法入侵,并捕獲Tellmeyoupass、mirai、z0miner、H2miner、BillGates等十幾個黑產(chǎn)組織。用戶對高級威脅檢測與舉證溯源的需求日益增加,對此我們不能視而不見。
針對傳統(tǒng)殺毒引擎無法檢測的高級威脅,我們研發(fā)了IoA(Indicator of Attack)高級威脅檢測系統(tǒng)。與傳統(tǒng)方法檢測攻擊工具不同,IoA高級威脅檢測系統(tǒng)著重檢測攻擊的技術(shù)、戰(zhàn)術(shù)和過程,了解攻擊者意圖,在終端上進(jìn)行攻擊階段的縱深檢測和防御。
攻擊者在終端上不同攻擊階段的全部行為都會被終端檢測響應(yīng)平臺EDR采集記錄,再基于用戶真實環(huán)境上下文關(guān)聯(lián),通過上下文聚合分析,檢測出攻擊事件或潛伏在內(nèi)網(wǎng)的攻擊,并可基于進(jìn)程鏈的形式還原攻擊路徑,幫助用戶可視化展現(xiàn)攻擊事件。
很開心地跟大家分享,深信服IoA高級威脅檢測系統(tǒng)從2021年11月開始試點,僅1個月已在8000+終端部署,檢測出1起利用Gitlab漏洞真實完整的惡意攻擊、200+黑灰產(chǎn)攻擊、20+紅隊攻擊(實現(xiàn)100%檢出率)。
今年,國家發(fā)改委重點提及虛擬貨幣挖礦的全鏈條治理工作。年底各級政府和相關(guān)行業(yè)紛紛響應(yīng),通報了多家單位。挖礦行為不僅僅會導(dǎo)致組織的電腦卡頓、CPU飚滿、運維成本暴漲,一些挖礦主機(jī)極有可能會被植入病毒,導(dǎo)致更嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件等。加密挖礦逐漸成為主流,明文的檢測規(guī)則已經(jīng)不再適用,我們急需解決用戶對加密挖礦的檢測需求。
于是,我們聚焦惡意加密流量的識別,前期通過跑沙箱樣本、執(zhí)行黑客工具等方式收集大量惡意加密流量,從加密前后的通信特征推演,研發(fā)了一套專門針對惡意流量的精準(zhǔn)識別模型。
深信服加密流量識別的核心算法目前已經(jīng)申請了20+項發(fā)明專利,涉及異常檢測、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等。
值得注意的是,我們的加密挖礦檢測有效檢出設(shè)備超過1000+,礦池IP超過50+,涉及多個挖礦家族(紫狐、雙槍、獨狼、貪狼等),覆蓋多個常見幣種(門羅幣、以太坊、奇亞幣等)。
隨著攻防技術(shù)的升級,黑客的攻擊手法也越來越隱蔽,大量使用加密技術(shù),將惡意流量隱藏在正常流量中,成功繞過防護(hù)設(shè)備。數(shù)據(jù)顯示,通過 Internet 與遠(yuǎn)程系統(tǒng)通信的惡意軟件中有近一半(46%)使用了 TLS加密通信。然而對于此類隱藏的高級威脅,用戶完全無感,極易造成數(shù)據(jù)泄露等重大安全事件。
對此,我們創(chuàng)新提出了“異常檢測+主動探測”的未知威脅檢測。在異常檢測階段,基于流量特征發(fā)現(xiàn)可疑行為,不放過任何一條蛛絲馬跡,實現(xiàn)低漏報、高檢出;而后在主動探測階段,進(jìn)行二次驗證,做到零誤報,保證推送事件的準(zhǔn)確性。
目前這種檢測技術(shù)已上線態(tài)勢感知SIP、NDR,以及托管式安全運營服務(wù)MSS,覆蓋60+用戶,報送高價值事件120+起,包括黑客攻擊、違規(guī)操作、攻防演練等多個場景。
隨著網(wǎng)絡(luò)安全的發(fā)展,用戶不斷增加在安全建設(shè)方面的投入、采購大量的安全設(shè)備,但依舊做不好安全運營,到底是為什么?我們發(fā)現(xiàn),用戶的不同安全設(shè)備會產(chǎn)生大量告警,而且運營人員缺乏豐富處置經(jīng)驗,人工處置往往不及時;同時,不同廠商的設(shè)備無法聯(lián)動,也給用戶帶來無法及時處置的工作負(fù)擔(dān),導(dǎo)致運營成本不斷增加,用戶深受困擾。
由此,我們構(gòu)建了深信服安全產(chǎn)品聯(lián)動能力體系,通過SOAR安全編排與自動化響應(yīng),使安全建設(shè)向“智能化、自動化、動態(tài)化”能力提升,實現(xiàn)“自動響應(yīng)閉環(huán),持續(xù)安全運營”。
到現(xiàn)在,我們的SOAR安全編排與自動化響應(yīng)能力已在30+種子用戶得到驗證,其中已將一家金融客戶的安全運營響應(yīng)處置標(biāo)準(zhǔn)化流程落地到SOAR的劇本中,測試通過9個場景化劇本。
安全問題變幻莫測、層出不窮,如何高效檢測、響應(yīng)和處置?基于人工智能和機(jī)器學(xué)習(xí)的飛速發(fā)展,我們充分利用AI的泛化和學(xué)習(xí)能力去應(yīng)對安全攻擊的變化,在AI賦能安全方面取得了明顯的突破,例如AISecOps多源日志分析系統(tǒng)、AI數(shù)字資產(chǎn)監(jiān)控、加密WebShell通信等。
截止2021年底,深信服托管式安全運營服務(wù)MSS在各行各業(yè)在線用戶數(shù)超1000家。僅從數(shù)據(jù)我們就可以看到,所有用戶每天產(chǎn)生幾億條安全日志,平均每個用戶每天需要面對約35萬條安全日志。
對此,我們研發(fā)了一套先進(jìn)的多源日志分析系統(tǒng),從MSS云端上海量的安全日志中,高效、自動化地挖掘出高價值的安全事件,幫助用戶快速處置威脅,優(yōu)化用戶的安全服務(wù)體驗。
除了多源日志分析系統(tǒng),我們還融合數(shù)字風(fēng)險防護(hù)(DRP)理念,推出AI數(shù)字資產(chǎn)監(jiān)控。
通過廣泛采集互聯(lián)網(wǎng)空間數(shù)據(jù)并結(jié)合深信服自有的威脅情報數(shù)據(jù),運用AI和大數(shù)據(jù)技術(shù),采用多種智能化內(nèi)容發(fā)現(xiàn)和分析算法,從海量多源異構(gòu)數(shù)據(jù)中,快速準(zhǔn)確地幫助用戶發(fā)現(xiàn)和處置數(shù)據(jù)泄露、品牌仿冒、資產(chǎn)失陷等外部風(fēng)險,幫助用戶提升安全運營效率。
大家都意識到,隨著企業(yè)數(shù)字轉(zhuǎn)型、業(yè)務(wù)云化、移動辦公興起,應(yīng)用程序、數(shù)據(jù)和用戶的位置分布都在悄然改變。用戶原來基于本地數(shù)據(jù)中心的業(yè)務(wù)訪問和防護(hù)方案,無法適配業(yè)務(wù)云化、SaaS化之后帶來的安全問題。
我們提出“在云端構(gòu)建安全防護(hù)體系”的思路,并通過“云化交付安全”模式的云原生SASE服務(wù)(云安全訪問服務(wù)),幫助用戶在云上構(gòu)建一個新的安全邊界。通過將現(xiàn)有最新的安全能力聚集在云上交付,如下一代防火墻、上網(wǎng)行為管理、終端檢測與響應(yīng)、零信任安全接入等,SASE能夠?qū)崿F(xiàn)安全能力的實時更新、彈性擴(kuò)展,大大降低安全建設(shè)成本,讓用戶有更多的時間和精力投入到業(yè)務(wù)創(chuàng)新中。
目前,深信服在中國區(qū)域和全球主要國家部署了超過25個POP節(jié)點,覆蓋了國內(nèi)大部分省份,用戶累計超4500家,在線保護(hù)終端超60萬個。
技術(shù)創(chuàng)新突破,是產(chǎn)品競爭力的根基,是產(chǎn)品質(zhì)量的保障。
站在幫助解決用戶問題的角度,我們一次次突破技術(shù),用硬核的實力在多個競技與峰會中披荊斬棘。
事實證明,這一年,我們的確付出了實際行動,用更加創(chuàng)新、更加硬核的技術(shù)實力,為你們的業(yè)務(wù)安全、乃至多個重要公共事務(wù)的安全保駕護(hù)航。
回歸用戶對安全建設(shè)最本質(zhì)的訴求,就是簡單、有效。我們相信,技術(shù)創(chuàng)新的浪潮奔涌向前,將為推動用戶更簡單、更有效的數(shù)字化建設(shè)持續(xù)輸出強(qiáng)勁動力。
來日方長,未來可期,新的一年,我們繼續(xù)攜手共進(jìn)!
