問題一:傳統(tǒng)信息安全建設(shè),以事中防御為主�。缺乏事前的風(fēng)險預(yù)知,事后的持續(xù)檢測及響應(yīng)能力
傳統(tǒng)意義上的安全建設(shè)無論采用的是多安全產(chǎn)品疊加方案還是采用UTM/NGFW+WAF的整合類產(chǎn)品解決方案,關(guān)注的重點都在于如何防護資產(chǎn)在被攻擊過程中不被攻擊入侵成功�����,但是并不具備對于資產(chǎn)的事前風(fēng)險預(yù)知和事后檢測響應(yīng)的能力�����,從業(yè)務(wù)風(fēng)險的生命周期來看���,**具備事中的防護是不完整的,如果能在事前做好預(yù)防措施以及在事后提高檢測和響應(yīng)的能力����,安全事件發(fā)生產(chǎn)生的不良影響會大幅度降低,所以未來�,融合安全將是安全建設(shè)發(fā)展的趨勢。
可以主動分析經(jīng)過設(shè)備的業(yè)務(wù)流量中存在的風(fēng)險并實時展示出來����。松江區(qū)常規(guī)下一代防火墻互惠互利
事中攻擊防御**準(zhǔn)確-下一代WAF引擎
流量優(yōu)化層面:基于應(yīng)用層交互內(nèi)容進行深度學(xué)*,在該層次上建立深入的流量學(xué)*模型���,對各種網(wǎng)頁元素����、參數(shù)進行監(jiān)測、學(xué)*�����、對比�����,整個過程由設(shè)備的自學(xué)*功能完成�,無需人工干預(yù),同時可以根據(jù)web流量的變化進行自適應(yīng)調(diào)整��,建立白流量過濾能力���,如果有明顯偏離正常流量模式的惡意流量�����,則需要到后續(xù)的安全檢測流程中�����;
該白流量基線可以讓合法流量快速通行���,提升應(yīng)用層處理效率���;
內(nèi)容還原層面:通過廣泛的業(yè)務(wù)分析以及安全**持續(xù)投入與研究,知曉各業(yè)務(wù)的響應(yīng)的方式��,通過業(yè)務(wù)組件模型可以有效的從流量中還原業(yè)務(wù)組件�����;
安全檢測層面:基于大量的應(yīng)用層流量����,采取無監(jiān)督學(xué)*的 AI 模型���,根據(jù)特定維度對惡意流量做概率統(tǒng)計聚類����,識別出攻擊特征�;采用有監(jiān)督成長的 AI 模型,從剩余流量中識別出攻擊特征�����,并標(biāo)簽攻擊行為,構(gòu)建攻擊特征基線��,有效識別誤判����、漏判;
合法業(yè)務(wù)基線:每個用戶的業(yè)務(wù)邏輯各不相同��,表達方式各異�,傳統(tǒng) WAF 對所有用戶采用通用的威脅檢測方法,難以幫助業(yè)務(wù)各異的用戶有效防護攻擊風(fēng)險��,更無法基于業(yè)務(wù)進行自適應(yīng)��;
閔行區(qū)原則下一代防火墻誠信服務(wù)客戶業(yè)務(wù)安全狀況可視�����。
一��、安全能力的持續(xù)增強
1)通過安全規(guī)則的持續(xù)更新���,應(yīng)對企業(yè)內(nèi)部常規(guī)及熱門的威脅����,增強防火墻對熱門威脅的檢測能力;
2)結(jié)合大數(shù)據(jù)�、AI、多引擎構(gòu)建的全局性安全能力中心會提煉算法�,導(dǎo)入到下一代防火墻中,下一代防火墻會基于精簡算法有效應(yīng)對0day攻擊����;
3)全球熱門事件庫,讓用戶足不出戶了解全球威脅態(tài)勢資訊���,并為用戶提供對應(yīng)的安全規(guī)則�����,用戶提前為應(yīng)對熱門威脅排兵布陣,多方位增強企業(yè)應(yīng)對全球熱門威脅的能力�����;
二����、響應(yīng)速度變快
1)熱門威脅10分鐘響應(yīng):對于現(xiàn)網(wǎng)的威脅我們能做到威脅**快的10分鐘響應(yīng),從威脅樣本獲取����、樣本分析��、全網(wǎng)下發(fā)���,實現(xiàn)威脅10分鐘響應(yīng)的能力。
2)全球熱點事件1小時響應(yīng):對于全球熱點事件����,如wannacry,從熱點事前全球爆發(fā)��、云端樣本捕獲��、樣本分析�、全網(wǎng)下發(fā)、事件庫更新�����,實現(xiàn)熱點事件1小時響應(yīng)��,并深度分析熱點事件的前世今生����,讓用戶充分了解熱點事前的多方位信息��,如威脅所屬家族����、威脅發(fā)起源��、輻射面積����、利用漏洞、應(yīng)對措施等�����;
3)安全能力高頻更新:下一代防火墻和云端具有極為健壯的交互能力��,當(dāng)高危威脅發(fā)生的時候�����,借助邊界+云端的聯(lián)動能力��,可以展開高頻次的規(guī)則更新�,使設(shè)備能夠**快時間應(yīng)對高危威脅�����,為業(yè)務(wù)保駕護航;
事中攻擊防御**準(zhǔn)確-SAVE安全智能檢測引擎
在惡意攻擊防治層面���,深信服**性的推出了自己的安全檢測引擎�����,基于人工智能的無特征技術(shù)���,傳統(tǒng)的殺毒軟件依賴于非常厚重的攻擊庫,只有完全匹配攻擊特征后才能將其查殺����,但是這種手段的泛化能力為0,也就是說對于未知及新型的惡意勒索攻擊無法有效應(yīng)對�����;深信服通過多方位應(yīng)用AI技術(shù)�,通過攻擊特征的聚類分析,基于已知的離散特征�,基于數(shù)據(jù)泛化技術(shù),可以準(zhǔn)確檢測未知/新型勒索攻擊;
其中Bad Rabbit就是我們通過原有的攻擊查殺模型發(fā)現(xiàn)的新型勒索攻擊���,并且將其有效查殺�;
右側(cè)是我們和其他廠商或者開源的殺毒引擎做的對比��,我們的攻擊檢出率是比較高的�����,誤報率在同級別檢出率的情況下是比較低的���;
如何能夠搭建和利用大數(shù)據(jù)分析平臺來幫助用戶預(yù)測和發(fā)現(xiàn)未知威脅.
AF對主要的服務(wù)器(WEB服務(wù)器����、FTP服務(wù)器�����、郵件服務(wù)器等)反饋信息進行了有效的隱藏���。防止攻擊者利用服務(wù)器返回信息進行有針對性的攻擊�����。如:
HTTP出錯頁面隱藏:用于屏蔽Web服務(wù)器出錯的頁面����,防止web服務(wù)器版本信息泄露�����、數(shù)據(jù)庫版本信息泄露��、網(wǎng)站路徑暴露����,應(yīng)使用自定義頁面返回。
HTTP(S)響應(yīng)報文頭隱藏:用于屏蔽HTTP(S)響應(yīng)報文頭中特定的字段信息����。
FTP信息隱藏:用于隱藏通過正常FTP命令反饋出的FTP服務(wù)器信息,防止攻擊者利用FTP軟件版本信息采取有針對性的漏洞攻擊���。
是企業(yè)安全建設(shè)更高的一個層次的需求���。閔行區(qū)原則下一代防火墻誠信服務(wù)
存在短板必然容易被繞過,原有安全設(shè)備就形同虛設(shè).松江區(qū)常規(guī)下一代防火墻互惠互利
事中攻擊防御**準(zhǔn)確-SAVE殺毒引擎
下圖是深信服的SAVE安全智能檢測引擎與傳統(tǒng)防攻擊引擎在算法�����、特征及安***果維度的對比:
首先傳統(tǒng)的防攻擊引擎是采用固定的特征識別與匹配的算法,同時依賴于靜態(tài)特征庫���,通常特征的提取需要安全**進行人工研判����,效率低下���,面對業(yè)界越來越多的惡意攻擊����,應(yīng)對乏力�;SAVE安全智能檢測引擎采用人工智能的算法,結(jié)合深信服云端的大量質(zhì)量樣本進行深度分析���,自適應(yīng)調(diào)整攻擊防治模型�;從特征自動提取到算法的自我優(yōu)化實現(xiàn)自動化、自適應(yīng)的攻擊防治;
在安***果層面�����,傳統(tǒng)引擎對于未知及勒索攻擊無法有效防護�,但是基于深信服SAVE引擎可通過數(shù)據(jù)泛化技術(shù),基于已知的知識維度來預(yù)測未知及勒索攻擊�����,有效提升攻擊防治的安***果�����;
松江區(qū)常規(guī)下一代防火墻互惠互利
上海黑象信息科技有限公司屬于商務(wù)服務(wù)的高新企業(yè)����,技術(shù)力量雄厚�����。是一家有限責(zé)任公司(自然)企業(yè)�����,隨著市場的發(fā)展和生產(chǎn)的需求��,與多家企業(yè)合作研究�,在原有產(chǎn)品的基礎(chǔ)上經(jīng)過不斷改進,追求新型�,在強化內(nèi)部管理�����,完善結(jié)構(gòu)調(diào)整的同時�����,良好的質(zhì)量�、合理的價格��、完善的服務(wù)�,在業(yè)界受到寬泛好評。公司始終堅持客戶需求優(yōu)先的原則����,致力于提供高質(zhì)量的技術(shù)開發(fā),技術(shù)轉(zhuǎn)讓�,技術(shù)咨詢����,技術(shù)服務(wù)。黑象以創(chuàng)造***產(chǎn)品及服務(wù)的理念����,打造高指標(biāo)的服務(wù)����,引導(dǎo)行業(yè)的發(fā)展���。