师资培训课件一天思考安全

思考安全

TheChangeChallengesToday'sSecurityThinkingAgenda政策上的利好与技术上的挑战安全的本质防御思想从五元组到大数据其他问题政策上的利好2月8月9月10月中央网络安全和信息化领导小组成立，国家主席习近平任组长工信部发布《加强电信和互联网行业网络安全工作指导意见》中央军委印发《关于进一步加强军队信息安全工作的意见》银监会发布《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》

2014年重点行业政策加速出台2015年是信息安全政策的落地的一年1月?月?月?月银监会印发《银行业应用安全可控信息技术推进指南（2014-2015）年度》，电话会议推动信息安全的落地有望发布国家网络安全战略，整合各行各业合力维护国家信息安全有望推出网络安全审查制度，审查重点为该产品安全性和可控性有望国家网络安全及个人信息保护立法，促使各行各业加大信息安全投入13年1月成立合资公司，思科占股43%，销售思科低端产品；14年6月OEM战略合作协议普天-瞻博联合品牌14年10月华信2.02亿欧收购ALU-E85%股权外企急找出路：通过合资模式，避免外资厂商资质限制，保证中国市场销售不受影响；打击中国设备商在中国市场利润，以保护其他市场。充满变化的安全市场随着网络结构、应用模式、区域战略的剧烈变化，安全问题趋于个人化、社会化、全球化，各层次安全消费被不断激发，安全市场存在从全面“红海”转为局部“蓝海”的可能性。安全市场空间潜力巨大，存在“井喷”可能：

国际信息系统审计协会《2015年全球网络安全状况报告》显示，在受访的3400个成员机构中，83%表示网络袭击是其面临的最大威胁之一，86%认为自身存在网络安全技术缺口，92%计划招聘更多网络安全专业人士。2014年，摩根大通将网络安全开支提高到约25亿美元，并宣布配备1000名专业员工。美银美林CEO莫伊尼汉表示，网络安全是该公司唯一没有预算限制的领域。

据专家预测，2015年中国网络安全产业规模将达到约700亿元水平。Gartner数据显示，2016年全球安全技术和服务市场到2016年将增至860亿美元。红海红海蓝海技术上的挑战传统安全失效了吗？技术上的挑战防御系统弱点风险FW大量攻击都是通过合法的访问控制策略进出，mail与web是两大入口对APT攻击无能为力IPS-特征库只能覆盖当前已知漏洞或弱点列表的子集，大量黑市0day漏洞无法覆盖-180种以上逃避检测手法，从URL变形到大量的编码相关变形，全面覆盖的成本非常高-安全产品在某些特殊场景下，会启用bypass策略，特定时间窗内会透传流量给APT攻击留出非常多的机会。针对bypass，只要攻击持续发生，就有机会渗入主机AV-功能使用不当；-特征库更新不及时；-检测最新3天的病毒样本检测率在30-40%未知病毒无法检测，容易被绕过主机IPS并不比IPS与主机AV高明未知攻击无法检测，容易被绕过审计系统依赖于安全系统的输出，自身无增强功能；对于伪装进程检测能力弱容易被欺骗DLP功能很不完善，各家产品有自己侧重点，不是完整的数据防窃取作用有很大局限性软件连通性；复杂性；扩展性研发过程的安全亟待加强人-安全意识差，惯性、惰性-工作过程中追求方便不断降低安全标准、破坏安全状态、破坏攻防平衡-利益驱动；防不胜防Agenda政策上的利好与技术上的挑战安全的本质防御思想从五元组到大数据其他问题从机场安全检说起…NGFW中的安检流程IPS

AntiVirusSandbox网络中总存在“白/灰/黑

”这三种流量。第1步，流量被IP/DNS/Web信誉库与ACL快速过滤。这就是所谓的快通道。第2步，根据流量数据，DPI与URL分类引擎识别应用类型

。第3步，IPS与AntiVirus深入检测网络数据报文内容与还原的文件。第4步，对于难于判断的可疑文件，继续送到APT沙箱进行深度分析。这是威胁检测的慢通道。IP/DNS//Web安全信誉,ACLDPIURL分类攻防对抗的格局攻击者防御者(我在这里)攻击目标国安局匿名者组织竞争对手黑客政府行业监管用户员工攻防失衡的原因原罪利润思维技术攻防态势失衡1、原罪：（系统&人）的脆弱性；2、利益：预期收益vs预期风险；3、思维：主动与被动；4、技术：宏观策略、拥有信息、攻守界面、微观技术；5、失衡：攻防态势的不对称性安全原罪与汽车加塞儿Becausethereisnopatchtohumanstupidity…眼耳鼻舌身意色声香味触法Desire,

Anger,

Ignorance,

Jealousy,Pride安全的挑战：黑客思维求异思维：寻求否定之否定迷宫模式：入口_@$%&*出口实用主义：“意有定向，招无定式”反功能：misuse,abuse隐藏与混淆拟人与拟态社会工程学编程大师说：“任何一个程序，无论它多么小，总存在着错误。”初学者不相信大师的话，他问：“如果一个程序小得只执行一个简单的功能，那会怎样?”“这样的一个程序没有意义，”大师说，“但如果这样的程序存在的话，操作系统最后将失效，产生一个错误。”但初学者不满足，他问：“如果操作系统不失效，那么会怎样?”“没有不失效的操作系统，”大师说，“但如果这样的操作系统存在的话，硬件最后将失效，产生一个错误。”初学者仍不满足，再问：“如果硬件不失效，那么会怎样?”大师长叹一声道：“没有不失效的硬件。但如果这样的硬件存在的话，用户就会想让那个程序做一件不同的事，这件事也是一个错误。”没有错误的程序世间难求。[GeoffreyJames1999《编程之道》]安全的独特魅力4、大数据改变了安全知识挖掘的方式，从实验模拟发展到密集计算，进一步完善了安全知识的积累手段，是安全智能化的基础。1、安全的服务对象是“被攻击者”，安全能力的服务对象是“攻击者”。服务的内容是提供知识与防护手段。2、安全的价值在于迅速将不安全的状态转换为安全，并尽量提高攻击成本。对已知威胁根据风险与成本取舍。对未知威胁提升免疫力降低风险。3、安全是模式的科学，其核心工作是构建安全知识系统。安全技术通过模式的挖掘，把潜在的威胁呈现出来。安全威胁攻击模式库IPS签名库漏洞库病毒库应用特征库信誉库安全知识库信誉评估机器学习人工分析大数据分析行为分析安全信誉应急响应邮件IP文件URLAV特征库漏洞数据库IPS特征库URL分类库应用识别威胁建模安全特征库威胁分析文件/流量，样本收集现场服务远程服务安全信誉威胁模型无限的知识熵IPURLDNS用户域名服务器解析频度位置信息软件开发工具附件邮件端口漏洞信息原始流量网页模板MTA浏览器行为序列趋势日志流量采样MTU内部链接外部链接社会事件网站排名病毒样本网络拓扑安全设备域名注册者邮箱注册者注册表项大数据的威力FlowProcessStorm/Truviso/SparkSteamingInteractiveSQLImpala/Drill/SpliceMachineGraphiLab/GraphX(GraphAnalysis)Titan/Gremlin(GraphDB&traversal)Mahout/0xdata(BatchingML)Spark(Fastmemory-optimizedexecutionengine)MapReduceYARN/Mesos(Multi-memoryResourceManagement)MapR-FS/MapRTable实时检测模型验证图计算机器学习人工调查模型升级已知模型+新模型安全知识的生产方式正在改变！Agenda政策上的利好与技术上的挑战安全的本质防御思想从五元组到大数据其他问题攻击链与防御矩阵应用管控信誉过滤入侵防御木马检测病毒检测数据防泄漏沙箱分析大数据分析阻断高危应用阻断已知恶意网址阻断已知漏洞利用发现未知恶意流量阻断已知恶意软件阻断秘密下载检测未知恶意软件检测未知恶意软件阻断C&C通道阻断恶意软件与恶意网址阻断间谍软件C&C通道阻断异常外发链接阻断未知C&C流量

引诱|渗入|建立后门|隐秘通道|窃取机密情报共享异常检测信誉过滤阻断风险活动攻击链与防御矩阵监控实施特征更新基线学习行为/意图内容过滤异常/基线调查分析审计信誉更新终端报文流量实体事前事中事后信誉筛查评估模型的演进安全状态恢复响应无反馈机制安全引擎检测发生攻击无信誉预判安全状态恢复响应信誉反馈安全引擎检测过滤后的攻击信誉预判M’#信誉模型特征库模型时间成本低。依据访问对象的可信程度进行预判，在检测链上的最前端起作用。高。根据数据内部特征进行检测。在检测链上的中段起作用。资源成本低。基于最少的信息量作决策，资源最节约。可处理大部分常见的可信与不可信链接。高。需要解析报文内容，需要大量的CPU与内存。较难适应流量模型的变化。智能协同好。检测结果通过信誉反馈对防御能力形成贡献。差。缺少信誉反馈，防御能力无法闭环提升。M知白守黑Agenda政策上的利好与技术上的挑战安全的本质防御思想从五元组到大数据其他问题安全技术的演进应用安全技术生命周期基础设施防护技术生命周期安全技术的演进风险与合规管理技术生命周期数据和协同安全技术生命周期安全技术的演进高级分析与数据科学技术生命周期大数据技术生命周期安全技术的演进1、面向网络 --面向应用2、面向机器 --以人为本3、被动安全 --主动安全4、局部安全 --全网协同5、基于特征检测--基于数据分析6、固定策略 --动态适应7、手工配置 --自动维护8、单一产品 --丰富形态9、Applicance --Service10、重视样本 --关注威胁情报11、攻防不对称 --攻防均衡12、事 --势(事后-事中-事前)大数据安全产品的界定BigDataSecuritySOCSecurityOperationCentreSIEMSecurityInformationandEventsManagement日志环境数据样本威胁情报大数据安全产品的技术路线厂商方向终端安全网络安全安全管理安全服务大数据威胁检测大数据安全调查大数据事件分析大数据异常分析为什么大数据？已知威胁未知威胁有明确的特征新型行为特点可快速提取行为特征行为特征隐秘复杂，不易定义在非法场景内出现在合法场景内发生表现出非授权使用表现出授权使用常发生在基线之外常发生在基线之内在监控能力之内在监控能力之外样本精确分析大数据持续分析为什么大数据？社交库密码字典攻击对象网络拓扑攻击对象应用环境攻击对象组织结构可能的存储位置目标资产信息安全设施A公司绝密资料接触资料人员信息生产环境…花大量时间工具攻击手法收集信息供应链需要什么数据威胁源于未知安全源于感知背景数据前提、假设、条件等来源数据攻击者、误用者、故障源对象数据环境数据攻防所处的计算环境、网络环境、物理环境、地理环境内因数据脆弱性/安全漏洞/配置错误模式和方法攻击路径时序：人/网络/主机结果数据威胁的可能性威胁的程度与范围被攻击者/攻击目标/破坏对象伪装特征、代码特征、躲避特征、主机行为、网络行为、传播模式攻击流量网页文本常用软件安装包手机软件电子邮件操作系统文件DNS数据系统日志漏洞库病毒样本社会工程学档案Netflow日志安全报告软件缺陷扫描报告热点应用网站排名IP-地理位置库安全特征库过程数据能力要求安全分析数据科学攻防思维流量学习DPI应用识别IPS/IDS入侵检测AV/沙箱分析访问控制/认证审计内容过滤安全信誉威胁情报智能大数据技术数据规划与管理数据可视化统计分析关联分析机器学习算法模型学习型组织黑客思维创新能力分析能力红蓝对抗演练能力要求主机数据AntiVirusHIDS/HFWDLP主机AAA终端探针人工分析喜欢模式，设定规则，善于启发，创造性好，发现银弹，易出错，连续性不好机器分析可训练的，复杂度高，大计算量，容易扩展，高精度，连续性好网络数据Firewall/IPS/IDSAntiSpam/AntiPhishingContentFiltering沙箱分析流量审计流探针环境数据弱点扫描器网管/控制器网络爬虫/虚拟蜜网人工采集漏洞库社区反馈关键技术采集全网数据汇总检测结果多维分析对照调用云端分析能力攻击链跟踪围绕核心资产做全量分析构建可视化建模工具，根据分析任务，进行数据预处理，基于更小的数据集与数据维度进行分析算法设计利用机器学习与可视化技术，将数据中隐藏的异常状态呈现出来，便于机器与人工进行威胁挖掘与风险判定基于大数据智能搜索技术，针对上报的异常或威胁事件，在海量数据中进行高性能安全调查，实现快速判定与响应全攻击链持续分析可视化威胁建模威胁可视化大数据安全调查技术架构检测模块安装和注入采集模块数据采集数据源系统·南向第三方数据接口系统渗透呈现模块角色仪表盘常规信息呈现&安全态势预测黑名单过滤事件关联数据索引分析模块数据去重数据标准化数据聚合数据处理数据预处理白名单过滤数据筛选采集数据规格化数据建模命令和控制邮件钓鱼网页挂马网络渗透Email外发终端外联网络外联服务器外联进程隐藏释放进程代码注入后门安装数据透传修改配置横向渗透行动告警&工单北向数据接口Agenda政策上的利好与技术上的挑战安全的本质防御思想从五元组到大数据其他问题安全生态环境VS1．创业文化和专利保护。2.密切的产学研合作。3.完善的金融资本服务。4．丰富充足的中介服务资源。5．宽松的政府扶持政策。安全企业的差距（亿美元）我们的问题：数量多，体量小；重市场，轻技术；逐近利，非共赢。人才量少：总量少，具备实际操作能力的人少，高端安全人才数量更少。分布不均：-地域上集中分布在北京、上海、杭州、武汉、成都等少量大城市。-行业上向BTA3等互联网企业流动趋势明显。结构失衡：渗透攻击者多，安全防御者少。工具使用者多，工具研发人少。漏洞利用者多，漏洞挖掘者少。利益驱动者多，理念驱动者少。机制落后：缺乏成熟的专业培养机制，岗位摸索与社区学习为主。缺乏有效的技能鉴定机制，江湖口碑为主。当前安全人才突出问题亟待解决信任1、未能解释公司与中国政府的关系，公司总部在中国。2、未能解释公司与中国共产党的关系，公司设置了党委。3、未能解释公司与中国军方的关系，公司创始人有参军历史。信任文化信任安全信任商业信任社交信任产品信任自主可控商品技术人才资本文化国产化自主化国际化知识产权市场化①②③④如何走上快速发展之路200519951997199820002012201120092007201320152014$30M收购NetworkTranslation获得Firewall产品$$40M收购GlobalInternetSoftwareGroup，获得Fi