数字化安全呈现无边界的趋势分析

1、数字化安全呈现无边界的趋势分析威胁情报与主动防御专注、专业、持续Wannacry/notpetya网络规模快速扩大面向关键基础设施APT攻击常态化攻击门槛 日益降低5G带来的新风险钓鱼欺诈攻击加剧2全球安全现状数字化进程带来的挑战企业信息安全不仅仅是关注企业网络边界路由器内的安全，更多的分布在管理权限外的潜在威胁使得数字风险的边界越来越模糊，响应和处置越来越困难网 站 钓 鱼（仿 冒）App钓 鱼（仿 冒）电社子交邮媒件体钓钓鱼鱼品数牌据侵泄权露异常检测3访问控制防病毒补丁管理漏洞扫描行为审计管 理 边 界纵深防御数字化暴露面数威供字胁应版误链权报威胁情报为何可以用于主动防御威胁溯源风险资产

2、监测失陷主机检测资产发现漏洞监测漏洞修补态势感知自动化响应调查取证威胁反制威胁行为检测漏洞验证业务风控通报预警样本分析威胁情报资产情报漏洞情报事件情报威胁源画像所属组织或团体拥有的攻击资源过往的攻击行为使用的恶意软件使用的合法工具采用的攻击模式观测的行为特征APTXX安全公司黑产境外羊毛党IP漏洞域名社工数据设备指纹事件1事件2邮件系统FTP勒索软件木马软件鱼叉攻击撞库水坑攻击DDoSSQL注入访问C2节点扫描行为尝试上传Webshell当前攻击阶段发送钓鱼邮件4威胁情报应用的关键在于分享ISACSTIX/GBT36643-2018TAXII组织A组织N安全设备综合安全平台安全设备综合安全平台

3、防火墙NGFW IPS EDRSIEMSOC态势感知 SRCOpenC2基于“烽火”的思想，威胁情报才能够在主动防御中发挥更大价值防火墙NGFW IPS EDRSIEMSOC态势感知 SRC5应对安全 运营挑战1超负荷告警主动防御5行动协同知识协同4减少误报2减少误报利用现有的案例管理工具或SIEM（安全信息和 事件管理）来自动共享相关的优先级威胁情报， 这些系统可以更高效、更有效地执行优先级事 项，并减少误报。3主动防御将整合的威胁情报直接导出到传感器网络（防火墙、防病毒软件、 IPS / IDS、网络和电子邮件安全、端点检测和响应以及NetFlow 等），允许这些工具生成并应用更新的策略以

4、降低风险。知识协同团队成员在单一环境中工作，共享同 一组威胁数据和证据存储关于对手及 其战术、技术和程序（TTP）的调查 记录，以便于未来的调查。超负荷告警通过环境内部的事件和相关指标来自动增加和 丰富外部数据，洞悉事件发生的细节，使用威 胁评分来进一步缩小数据集规模，例如：何人 于何时、何地、攻击了什么，为什么以及如何 进行的攻击等信息。行动协同单一的共享环境，所有安全团队的成员 都可以看到分析结果的展开，威胁情报 分析人员、安全操作中心（SOC）和事 件响应人员可以协同工作，更快地采取 正确行动，缩短响应和补救的时间。以情报应对安全运营的挑战6威胁情报& 主动防御- SOAR 架构流 程

5、管 控 平 台TI InsideH-安全装置N-安全装置Tor节点 僵尸网络 C&C节点 扫描器节点恶意攻击威胁恶意软件威胁木马软件 蠕虫软件 病毒软件 勒索软件其他恶意软件黑客团伙威胁恶意站点威胁钓鱼网站 色情站点 赌博站点 DGA域名APT攻击 被黑网站 垃圾邮件 恶意邮件恶意威胁 敏捷情报选用按威胁类型按信誉评价 值范围按行业划分按地域划分xxxx 流程xxxxxxxxxxxx xxxx xxxxSIEM0级阻断（立即执行）IP DOMAIN URL HASHEMAIL网关SOAR1级 阻 断网关 探针情报 检索安全 剧本私有情报私有情报7时间- 主动防御的关键指标“一步之差，天壤之别”

6、“情报嵌入”模式，威胁直接被阻断，避 免了后续的潜在风险“查询-反馈”模式，时延是痛点，面临对手横向移动的风险威胁情报2查询InternetIntranet3反馈1查询5策略下发TI Inside 防火墙4判决TI Inside 防火墙威胁情报InternetIntranet8情报共享与 协同应用 安全终端 安全数据安全网络 安全事件 处置风险管理犯罪 防止数据分析NGFWIDS/IPS流量分析上网行为管理抗DDoSWAF网站安全监测EDR防病毒DLP隐私保护SOC/iSOC态势感知SOAPA安全通报应急响应/SRC资产管理漏洞管理品牌保护业务风控 调查取证9以情报共享促智能协同下行流量 情报

7、输出1、实现外部情报与本地上/下行流量日志的命中匹配；2、根据命中匹配结果，自动过滤恶意的访问和外联行为。上行流量 钓鱼、色情、赌博等站点的违规外联与C&C、TOR、僵尸网络等相关的可疑外联过滤恶意、垃圾邮件阻断外部扫描行为切断恶意软件、勒索软件检测/ 防护类安全设备情报数据与安全设备的联动应用安全厂商更新源/用户情报平台10情报输出方式一：根据定制化情报直接形成事件告警， 并依此为线索进行进一步的事件分析与处置。SOC/SIEM等平台类产品定制化情报（国标格式）资产信誉安全漏洞病毒木马资产发现数据泄露可机读威胁情报（MRTI）C&C节点垃圾邮件木马软件勒索软件僵尸网络方式二：将可机读威胁情报

8、（MRTI）入库，完 善事件检测与告警规则库，并根据命中匹配结 果进行基于情报的分类事件告警和分析。方式三：通过溯源接口，借 助云端的海量历史情报数据 库进行威胁溯源和线索扩展。上传溯源请求&返回溯源结果S I E M 、态势感知等平台类产品11情报数据与安全管理平台的联动应用威胁情报& 主动防御- 虽远必诛暴露数字风险管理监控引擎进度跟踪（KSIT）业务关系沟通（BRC）钓鱼仿冒品牌侵权 威胁误报数据泄露风险处置处置跟踪威胁情报数据接口VPS提供商 域名注册商 网络提供商 各国CERTAppStore管理者 社交媒体平台管理者面对外部风险，主动防御是企业品牌维护的重要手段12可用于主动防御的

9、指导框架IPDRR（识别，保护，检测，响应，恢复）资产监测钓鱼网站威胁监测威胁处置保护策略敏感信 息监测漏洞监测资产发现持续监测威胁溯源暗链发现篡改发现挂马发现13迄今， 天际友盟所处置的风险事件对象， 遍布全球1 0 0 多个国家和地区风险事件处置对象所在的国家与地区排名（截至2019年底的服务事件数量统计）1美国16罗马尼亚2中国香港17伊朗3南非18马来西亚4中国大陆19土耳其5新加坡20印度尼西亚6德国21西班牙7荷兰22中国台湾8英国23波兰9印度24越南10巴西25日本11加拿大26瑞士12澳大利亚27意大利13俄罗斯28乌克兰14法国29孟加拉15韩国30爱尔兰14全球处置能力数字化转型，使企业业务面临复杂多变的外部安全