狠狠撸

狠狠撸Share a Scribd company logo

Rsa2012 下一代安全的战略思考-绿盟科技赵粮

?
?
NSFOCUS
NSFOCUS

Strategic Thinking on Next Generation Security in Cloud Era from NSFOCUS,CSO Richard.Zhao

1 of 20
Downloaded 11 times
专题会议主题: 请在此处插入演讲者公司标志 专题会议分类:
下一代安全的战略思考 – 应对下一代威胁 Strategic Thinking on Next Generation Security in Cloud Era 赵粮 richard.zhao@nsfocus.com 绿盟科技 专题会议主题: 请在此处插入演讲者公司标志 专题会议分类:
“下一代”威胁 ? 当前防御手段搞不定 (e.g 0-day) ? 持续性的 ? 多阶段、多波次、多角度 ? 带有“逃逸”和变形能力 ? 灵活运用社工和身份欺骗等 攻击团队 攻击个体 攻击群体 ? 动机和目标复杂 基于政治、意识形态或 ? …… 从追求技术突破到 黑客行动主义 商战目的的有组织团队 追逐经济利益为主 松散的黑客组织 ? 攻击目标更重要、更 明确 ? 研制更为先进的攻击 技术或工具 请在此处插入演讲者公司标志
“当代”安全设备力不从心 业务越来越复杂,新应用太多,用户位置多 变,终端BYOD多样化并且很难规范化 ? 端口失效 - > Applications ? IP地址失效 -> Users ? 数据包层面的检查失效 -> Content ? 攻击变化太快,现有的黑名单机制总是 更新不及时 ? Advanced Malware, ? Zero-Day, ? Targeted APT Attacks ? 病毒样本不胜其多,反病毒程序消耗计 算机资源不胜其负 ? 病毒样本库更新太慢 ? “特征”匹配很容易被“躲避” ? … 请在此处插入演讲者公司标志
针对下一代,千帆竞渡、各显神通 高级网络防护 高级终端防护 事件响应/取证分析 SIEM – APT 事件汇聚整合 传统网络防护 传统终端防护 请在此处插入演讲者公司标志 数据来源:RSA 2012文档 5
Early Intercept Calls For Kills At Extended Range http://defense-update.com/20101118_aegis_ng_early.html 请在此处插入演讲者公司标志
三个假设及其推论 假设1: 攻击者正在转向经济目的,攻击者和防守者之间的竞 争关键是成本。获得成本优势的一方将会获得“战场”上的优 势态势。 假设2:为了降低成本,攻击者必须尽可能地重复使用(Reuse) 其攻击代码、工具、僵尸、技术和手法等。 推论1:一般来说,一种威胁或攻击会出现在多个场合,在一些场合中检测出来并证明为 威胁或攻击的行为有非常大的概率在另外的场合下也是威胁或攻击。 推论2: 重用越少,意味着成本越高,越难以检测 假设3:为了降低成本,防守者必须重构防御体系,将部分密 集的、重复性的计算转移到“云”中进行,而将计算产生的 “智能”(Intelligence)推送到防御功能点(Defense Function Point)。 推论3: 覆盖越大的“云”检测能力相对更强 推论4: 生产成本相对固定,越能多次使用越能降低成本 请在此处插入演讲者公司标志
From SIEM to BIG DATA & Intelligence BIG DATA ANALYTICS, 也简称 BDA, 不仅仅是处理海量数据,还包含快速、甚至 实时的搜索功能、实时分析告警功能、数据 展现技术等内容在里面。 从手工到集中处理、走向分布式、并行处理 Data Source: RSA2012, Tech-303, by Zions 请在此处插入演讲者公司标志
大数据不仅仅是数据 定理1:大数据需要数据 定理2:大数据需要安全攻防知识 定理3:大数据需要抽象和数学建模能力 定理4:大数据需要长时间的、大范围的运营和积累 攻防 数据 BDA 智能 手法|模式|信誉|规则|态势|趋势… 深度分析 建模 请在此处插入演讲者公司标志
安全智能是下一代安全的关键能力 Signature Behavior Reputation Global & Cross Enterprise Intelligence Self-Healing More business Awareness Enterprise Device Session Packet Decision Making Data Action Engine 请在此处插入演讲者公司标志
智能驱动的下一代安全图像 请在此处插入演讲者公司标志
漏洞威胁指数曲线 ? 每个漏洞都有各自的生命周期 ? 生命周期的不同阶段,威胁大小不同。 ? 参考当前威胁指数及变化趋势,可以做出漏洞管理的决策 请在此处插入演讲者公司标志
漏洞威胁指数曲线 ? CERT 安全通告 ? 安全厂商 ? 政府机构 分析计算 IT (漏洞威胁指数) 漏洞库 ? 安全组织 补丁发布 工具出现 工具出现 补丁发布 利用事件 漏洞发布 公开披露 ? 每个漏洞生命周期里程碑事件影响威胁的大小 ? 不同的漏洞,里程碑事件的出现顺序不尽相同同 请在此处插入演讲者公司标志
Google Hacking, OSINT and … NSFOCUS WSM http://www.stachliu.com/resources/tools/google-hacking-diggity-project/attack-tools/ 请在此处插入演讲者公司标志
Maltego 请在此处插入演讲者公司标志
对于行为和行为异常发现 ? 什么是“行为”? ? 行为是分析目标和信息系统产生互 人 动、引起信息系统发生某些改变的 终端应用程序 过程。行为可以由一个或多个信息 系统应用程序 系统的记录来描述。 系统 配置 ? 什么是“异常”? 文件 信息 ? “当然了,不正常吗,就是异常 应用层协议 地址 进程 了”… 网络层协议 地址 ? 怎么发现“异常”? ? 把“正常”得拿出去了… 内存 硬盘 外设 网口 请在此处插入演讲者公司标志
建立行为模型 ? 移动硬盘 ? USB ? 蓝牙 ? WIFI ? LAN ? 红外 ? 本地硬盘 ? 临时目录 [动机] ? 安装目录 文件 进程 进程 主体 操作 客体 账号 账号 方式 硬件 配 ? 使用的协议 置 ? 读取内容 ? 读硬盘扇区 请在此处插入演讲者公司标志
网络层面的各种“信誉”体系 ? 对IP地址和URL建立信誉评价 ? IP地址及URL信誉 信誉服务器 第三方信誉 服务 ? 漏洞信息 ? 域名属性 ? IP地址类型 ? 恶意代码 1 外网访问 ? 互联网 4 根据信誉值确 主机(桌面 定是否允许访问 /服务器) 请在此处插入演讲者公司标志
针对下一代威胁,下一代安全需要… ? ? 前端地位将会下降,”云“端 前端地位将会下降,”云“端 重要性逐渐凸显 重要性逐渐凸显 ? ? 基于异常和信誉的检测和防护 基于异常和信誉的检测和防护 方法重要性凸显 方法重要性凸显 ? ? 攻防、数据、建模、实时响应、 攻防、数据、建模、实时响应、 持续运营五个因素缺一不可 持续运营五个因素缺一不可 请在此处插入演讲者公司标志
巨人背后的专家 谢谢 Richard.zhao@nsfocus.com 请在此处插入演讲者公司标志

More Related Content

Rsa2012 下一代安全的战略思考-绿盟科技赵粮