1. 首頁 > 生活百科 >

2019中國金融科技產業峰會丨亞信科技汪晨:威脅可感知、安全可運維

2019(第二屆)中國金融科技產業峰會于10月31日11月1日在北京國際會議中心隆重召開 。11月1日下午舉辦的金融業網絡信息安全分論壇上,亞信科技成都有限公司產品管理部總經理王晨帶來了威脅感知、安全運輸的主題演講 。

我來自亞信安全 。今天與大家共享的主題是威脅感知、安全運輸,這是亞信安全設計的產品理念,更快更早地識別威脅,幫助用戶減少運輸投入 。

一、網絡安全發展態勢

據目前統計,2019年第二季度,中國恐嚇軟件感染量躍居首位,占世界總數的20%,恐嚇病毒在我們周圍越來越激烈 。第二,網絡攻擊的挑戰越來越多 。最近5年安全泄露事件增加67%,2018年網絡犯罪攻擊造成的損失有1300億 。大家記得Facebook泄露后,當日股價暴跌虧損360億,大家可以想象暴跌股價能買多少網絡安全公司 。第三,平均攻擊識別時間增加到197天,攻擊后恢復時間平均達到69天 。

在護網過程中大量報警,數據顯示,每天的安全運輸人員每天面對大量的安全警報,超過50%的企業使用各種獨立的安全技術,大量警報難以向未知的威脅 。目前,據數據統計,有2900萬安全人員的差距 。護欄期間,我們公司和朋友公司的辦公室幾乎空著,跑過去幫助用戶護欄 。

二、用什么技巧做這件事?

今天談EDR 。EDR是從國外引進的名詞,2013年的業務量在博文中有EDR詞匯,為了定義什么?定義的是,有些工具有助于今后早期發現線跡,進行相應的調查 。EDR在誕生之初就是為了早日的感知威脅 。比較形象,我經常和同事說EDR實際上解決了一些問題,就像我們生病一樣,第一,解決了我是否生病,第二,我的病不嚴重嗎?第三,我的病該怎么治?EDR是同樣的道理 。我的企業受到攻擊了嗎?我的攻擊嚴重不嚴重?我如何恢復受損的攻擊?

如果EDR能夠達到剛才提到的一些目的,首先要做的是記錄,在主機上記錄相應的記錄,但這是技術性的工作,記錄越多,系統越重,必須正確記錄,這有一定的門檻 。第二,進行調查,我們可以比喻調查,到醫院后,醫生第一件事就是讓你做一系列的檢查,做出相應的報告 。調查報告書也一樣,今天的調查必須向客戶發行相應的報告書 。這個威脅是否是威脅,是如何進入的,和醫生收到的報告書一樣,各項指標是什么樣的,醫生知道你是否生病,疾病是否嚴重,接下來該怎么辦 。

治療方面有兩個環節,一個是抑制,一個是修復,抑制是你招募的,我需要隔離你,修復意味著你要做很多記錄,為什么?你要知道黑客是怎么攻擊的,它是今天修改了你的注冊表?還是埋了啟動項去做壞事?只有得到這樣的正確信息,才能幫助顧客做出優秀的動作 。

三、XDR解決方案

這個表第一次映入眼簾的是SOAR,2017年Gartner提出的是對接制造商的很多產品,需要自動化 。亞信安全怎么做?讓我們看看它構成的三個維度 。例如,我經常聽交響樂團,有拉小提琴、彈鋼琴的人,重要的是有樂譜,有預先編制的預案,聽指揮 。否則,就不能輕易享受演奏了 。

XDR解決方案有專業的排查工具、標準的工作手冊、安全響應專業 。

這是目前向客戶提供的XDR解決方案,我們的網絡同情有網關型檢查產品,有郵件安全產品,同情有網關側安全產品,云主機側也有產品,云、管、網關產品線比較整齊 。同時,通過威脅區別庫識別已知的威脅和未知的威脅,同時還提供運輸管理的服務 。EDR的技術和機械學習的技術都強調灰色的檢查,但網絡安全中沒有萬能丹,阻止很重要,云管方面的產品線必須有相應的產品來阻止 。因為毫秒級就能解決問題 。

4、現在的實踐

剛才介紹了技術和方案,可以看到現在的實踐:

實戰案例1:10自動截斷最新的恐嚇病毒變種 。讓我們看看這個編輯是怎么編輯的 。首先,DDEI郵件方面的網絡管理發現有郵件附件的嫌疑的情況下,根據事先編輯發送給我們的郵件沙箱,用沙箱檢測是否受到威脅 。如果是威脅,我們將威脅信息發送給云管設備,形成攔截 。讓我們看看這個效果 。這也是眾所周知的案例,我們在銀行2019年3月11日6點9分DDEI發現了可疑的病毒釣魚郵件,預先配置后送到沙箱,6點17分5秒完成樣品分析,10分鐘內數十萬臺終端更新了當地的威脅信息,有效地阻止了病毒的最新變種 。大家可以看到這個效率在10分鐘之內,如果靠人工或者靠原來手工提交給病毒中心去驗證,這個周期是超長的 。

實戰案例2:重保期間聯動封鎖攻擊IP 。重保期證期間有很多IP攻擊,如果我們發現網絡設備攻擊1億2千萬IP,就會對威脅管理中心的UAP進行相應的分析,分析后會自動給管道側的網絡設備進行相應的阻斷 。讓我們看看實際效果如何 。某大型銀行TDA重新保證期間,每天警告量達到80萬人以上,通過UAP平臺進行警告的總結和過濾,通過APT接口發送堵塞配置,無需人工干預就進行了相應的處理,大幅度節省了時間 。

實戰案例3:重保期間成功檢測和追蹤零日漏洞攻擊 。你為什么被稱為威脅?該案例是在EDR模塊發現疑似跡象的情況下沒有威脅信息的茶 。通過終端可追溯性側和網絡可追溯性側分析,確定該物是否攻擊,如何攻擊 。這是2019年6月26日某能源客戶EDR設備IOA規則警告,檢測到異常過程制作事件,如果有異常怎么辦?我們通過威脅信息進行相應的關聯,最終形成調查報告,就像醫生可以得到檢查報告和體檢報告一樣,通過報告發現這是利用零日的脆弱性進行相應的攻擊,當時我們的EDR可以追溯到黑客利用零日的脆弱性進行攻擊的全過程 。并且,我們之后確認了零日的脆弱性軟件提供商,確實是沒有發現的零日的脆弱性 。通過這個案例,我們的解決方案可以幫助用戶提前感受到恐嚇事件的嫌疑,幫助用戶提前阻止恐嚇 。

【2019中國金融科技產業峰會丨亞信科技汪晨:威脅可感知、安全可運維】時間關系,在此暫時共享,非常感謝

    推薦閱讀