企业IT安全高效运营方案

1、技术创新，变革未来企业IT安全高效运营方案精密编排提升网络空 间恢复补救能力2安全从业者与网络攻击者的博弈将会一直随着技术发展而持 续下去，任何个体、企业或者国家都不可能保证绝对的安全。没有绝对的安全3当更多的零日漏洞和未知威胁穿透当前的安全防御体系后，如何尽快地做出响应，锁定攻击范围，最大程度地减少损失，将成为最有价值的创新从“想哭”蠕虫勒索病毒到“挖矿”蠕虫攻击4安全产 品割裂 无整体 能力安全运 维靠人 工较多安全专 家缺乏预算有 限新威胁 层出不 穷受攻击的界面扩大当前安全运维面临的挑战5基于本地威胁情报构建精密联动机制监控响应预测阻止分析基线系统 攻击预测主动探索分析调查取证 设计/

2、模式改变 修复和改善加固和隔离系统 转移攻击事故预防事故检测风险确认和排序 事故隔离提升高级威胁治理中的防御能力6针对APT攻击的精密联动APT攻击的6个阶段01/情报收集阶段深度威胁发现TDA通过可疑行为分析能力，实时通知安全运维人员02/单点突破阶段本地威胁情报中心获取APT的攻击手段，形成安全策略通过TMCM 自动下发到各类阻断设备终端安全Officescan实现恶意文件拦截03/命令与控制（C&C 通信）阶段深度威胁安全网关Deep Edge实现C&C 通信的阻断04/横向移动阶段 和 05/资产资料发掘服务器深度安全防护Deep Security实现恶意文件拦截和数据流阻断06/资料

3、窃取阶段深度威胁安全网关Deep Edge实现黑名单，从网络上拦截攻击者的 流量7全球SPN本地SPNDeep Security数据中心DDAN深度威胁分析Deep Edge TDA网络与网关监控DDEI邮件与通讯OSCE服务器与终端DS SaaS数据中心获取全球威胁特征 上传本地威胁特征 获取本地威胁情报 下发全球威胁特征威胁情报智能分析中心威胁情报本地新型威胁特征：文件Hash、 IP、URL 、 域以及 OpenIOC信息C&C黑名单本地新型威胁特征 可疑威胁对象 文件Mutex/Hash NSX TaggingTMCM基于本地威胁情报构建精密联动机制8本地威胁情报中心及时共享威胁情报，

4、自动下发策略至阻断设备，防止范围扩大策略自动下发实时的云端情报及分析系统为侦测的精确性及持续不断的引擎和规则库升级提供了强大的后台支持共享全球威胁情报定制化沙箱镜像可精确匹配您的桌面及服务器环境（语言，操作系统，配置，应用等），相对于普通沙箱而言， 这将大大提升针对您企业的定向威胁的侦测能力，减少威胁的沙箱逃逸。定制化沙箱多重侦测引擎及关联规则可针对多种文件类型及URL提供全面的威胁侦测，而不仅限于恶意程序多重分析引擎统一汇聚、分析云、管、端各层面的防护设备日志，避免信息孤岛多维度日志统一展现9亚信安全多层次联动产品电子邮件防护深度威胁邮件网关DDEI端点防护终端安全OfficeScanIDF

5、桌面虚拟补丁终端补丁分发云和服务器防护服务器深度安全防护Deep Security网络防护深度威胁发现TDA深度威胁安全网关Deep Edge10黑客恶意网站深度威胁分析设备DDAN深度威胁发现设备TDA进行网络活动 以及样本分析深度威胁安全网关DE进行沙盒分析 并产出黑名单中央管理TMCM黑名单联动防止 违规外连病毒特征提交到中 央管理中心 TMCM联动之黑名单包含文档哈希值（SHA1）IP 地址URL 网址域内网攻击试图感染 重要业务服务器透过使用受感染U盘或是造 访合法之互联网服务（如云 盘等）或其他方式导致感染情境：终端攻击之联动响应拦截策略自动下发 到数据中心防护解 决方案DS服务器

6、深度安全防 护Deep Security11精密编排的响应机制监控响应预测阻止分析基线系统 攻击预测主动探索分析调查取证 设计/模式改变 修复和改善加固和隔离系统 转移攻击事故预防事故检测风险确认和排序 事故隔离提升高级威胁治理中的恢复补救能力12政策法规的要求网络安全法的要求第三章 网络运行安全第二十一条，第三十一条，第三十四条，第三十八条，强调了 人员，制度，防治，容灾，应急预案，风险评估等要求第五章 监测预警与应急处置整章提出了对预警机制的建立要求，对应急处置，应急预案， 应急演练的要求。13国家网络安全事件应急预案的通知中，也给出了应急响应具体指导意见事件分级描述重大特别大面积瘫痪，丧

7、失业务 处理能力，特别严重威 胁，特别严重影响重大长时间中断或局部瘫痪， 严重威胁、严重影响较大系统中断，明显影响系 统效率，业务处理能力 受到影响，较严重威胁， 造成较严重影响一般一定威胁，造成一定影 响预警响应描述红色联系专家和有关机构， 跟踪研判，24小时值班， 队伍进入待命状态橙色组织开展预警响应工作， 密切关注事态发展，及 时通报，队伍保持联络 畅通黄色启动相应应急预案，指 导组织开展预警响应蓝色启动相应应急预案，指 导组织开展预警响应，应急处置描述级成立指挥部，统一领导，24小时值班，跟踪事态 检查影响范围，处置进 展汇报级进入应急状态，好应急 处置，通报事态发展， 应急技术支撑队

8、支持配 合级按相关预案进行应急响 应级按相关预案进行应急响 应政策法规的要求14标准的预案专业的调查工具事件 响应安全响应专家精密编排的事件响应15社交工程 邮件DDOS勒索病毒发现木马水坑攻击暴力破解密 码数据泄露零日漏洞攻 击病毒爆 发管理员帐户 泄露员工帐户 泄露非授权访问层级描述1准备2发现3分析4遏制5消除6恢复7优化标准的预案：各种威胁的预案16注册表 操作关联分析 和查询探针 管理硬件 一体机日志集 中存储TB级别 存储容量服务器端收集日志并进行关联分析轻量级客户端记录系统行为文件 操作进程 起停网络 连接系统 事件专业的调查工具：高级网络安全调查取证设备17服务背景入侵应急响应

9、是客户主机或网络在遭受黑客入侵之后，安全团队给客户提供的一系列安全服务，包括但不限于阻断入侵、确定影响范围、帮助恢复生产、调查取证和给出整改建议等。服务形式应急响应是在客户遭遇入侵后主动邀请和要求下，运维团队和攻防团队为阻断攻击，恢复业务甚至调查取证而提供的一次安全服务。服务准备利用取证产品和工具，了解黑客攻击过程和攻击路径，找到关键攻击线索。服务执行确定影响范围后，服务团队现场搜集数据，利用取证产品获取关键信息。并根据收集到的信息，找出完整的证据链。服务结束服务结束后，服务团队需告知客户，提供完整的黑客入侵报告。原始数据和取证数据留档保存。给出后续整改方案，防止再次出现同类攻击。安全响应专家

10、：网络安全事件应急响应IR服务18主机资源占用异常通过恶意进程名称 识别主机移除主机中的恶意 进程使用EDR工具或定制专杀工具 移除文件关闭提取数据：进程名 称、IP和URL连接、样本文件关闭是否 为挖矿 病毒？搜索访问恶意URL/IP地址的系统 的安全信息与事件 管理（SIEM）请求运行相同进程 名称系统中的终端 检测和响应（EDR） 查询EDR以提取负 责连接的进程的二 进制文件运行带有恶意 软件的电脑提交数据到本地威胁情报服务提交IP、URL和样 本文件到沙盒提交数据到云端威胁情报 验证服务是是否否1准备2发现3分析6恢复4遏制5消除7优化举例：处理挖矿病毒安全事件的预案19CTDI客户

11、端Web服务器CTDI客户端Email服务器CTDI客户端应用 服务器CTDI服务器端TDADMZ区核心交换机互联网区生产CTDICTDICTDICTDI客户端 客户端 客户端 客户端CTDI服务器端TDACTDI客户端文件 服务器CTDI客户端应用 服务器办公区CTDICTDI客户端 客户端CTDICTDI客户端 客户端CTDI客户端文件 服务器CTDI客户端应用 服务器CTDI服务器端TDA云端威胁情报平台管理区大数据存储服务器集群本地威胁情报平台沙箱系统源进程名称常L件主机资占 IPIP&用U异 R样本文1准备发现大数据采集服务器集群分析234遏制消除恢复 优化567精密编排的挖矿病毒攻

12、击应急响应示例20仪表盘调查监控管理XX公司XX服务器（高危）IP address：8可疑行为深入调查iSambaCry挖矿蠕虫进入点Smbd2018年5月7日Bash 创建执行脚本wget /mine.tar.gz下载脚本watch-smartd创建挖矿进程挖矿程序Miner HTTP Request/in/open? Hwid=xxx&s=10.xx1:445.xx.xxx:445SMB File name = “/mine.so” and operation = WRITE_ANDX RequestSMB 协议漏洞cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq -c查看CPU 信息内网