師資培訓課件一天思考安全

思考安全

TheChangeChallengesToday'sSecurityThinkingAgenda政策上的利好與技術上的挑戰(zhàn)安全的本質防御思想從五元組到大數據其他問題政策上的利好2月8月9月10月中央網絡安全和信息化領導小組成立，國家主席習近平任組長工信部發(fā)布《加強電信和互聯(lián)網行業(yè)網絡安全工作指導意見》中央軍委印發(fā)《關于進一步加強軍隊信息安全工作的意見》銀監(jiān)會發(fā)布《關于應用安全可控信息技術加強銀行業(yè)網絡安全和信息化建設的指導意見》

2014年重點行業(yè)政策加速出臺2015年是信息安全政策的落地的一年1月?月?月?月銀監(jiān)會印發(fā)《銀行業(yè)應用安全可控信息技術推進指南（2014-2015）年度》，電話會議推動信息安全的落地有望發(fā)布國家網絡安全戰(zhàn)略，整合各行各業(yè)合力維護國家信息安全有望推出網絡安全審查制度，審查重點為該產品安全性和可控性有望國家網絡安全及個人信息保護立法，促使各行各業(yè)加大信息安全投入13年1月成立合資公司，思科占股43%，銷售思科低端產品；14年6月OEM戰(zhàn)略合作協(xié)議普天-瞻博聯(lián)合品牌14年10月華信2.02億歐收購ALU-E85%股權外企急找出路：通過合資模式，避免外資廠商資質限制，保證中國市場銷售不受影響；打擊中國設備商在中國市場利潤，以保護其他市場。充滿變化的安全市場隨著網絡結構、應用模式、區(qū)域戰(zhàn)略的劇烈變化，安全問題趨于個人化、社會化、全球化，各層次安全消費被不斷激發(fā)，安全市場存在從全面“紅海”轉為局部“藍?！钡目赡苄?。安全市場空間潛力巨大，存在“井噴”可能：

國際信息系統(tǒng)審計協(xié)會《2015年全球網絡安全狀況報告》顯示，在受訪的3400個成員機構中，83%表示網絡襲擊是其面臨的最大威脅之一，86%認為自身存在網絡安全技術缺口，92%計劃招聘更多網絡安全專業(yè)人士。2014年，摩根大通將網絡安全開支提高到約25億美元，并宣布配備1000名專業(yè)員工。美銀美林CEO莫伊尼漢表示，網絡安全是該公司唯一沒有預算限制的領域。

據專家預測，2015年中國網絡安全產業(yè)規(guī)模將達到約700億元水平。Gartner數據顯示，2016年全球安全技術和服務市場到2016年將增至860億美元。紅海紅海藍海技術上的挑戰(zhàn)傳統(tǒng)安全失效了嗎？技術上的挑戰(zhàn)防御系統(tǒng)弱點風險FW大量攻擊都是通過合法的訪問控制策略進出，mail與web是兩大入口對APT攻擊無能為力IPS-特征庫只能覆蓋當前已知漏洞或弱點列表的子集，大量黑市0day漏洞無法覆蓋-180種以上逃避檢測手法，從URL變形到大量的編碼相關變形，全面覆蓋的成本非常高-安全產品在某些特殊場景下，會啟用bypass策略，特定時間窗內會透傳流量給APT攻擊留出非常多的機會。針對bypass，只要攻擊持續(xù)發(fā)生，就有機會滲入主機AV-功能使用不當；-特征庫更新不及時；-檢測最新3天的病毒樣本檢測率在30-40%未知病毒無法檢測，容易被繞過主機IPS并不比IPS與主機AV高明未知攻擊無法檢測，容易被繞過審計系統(tǒng)依賴于安全系統(tǒng)的輸出，自身無增強功能；對于偽裝進程檢測能力弱容易被欺騙DLP功能很不完善，各家產品有自己側重點，不是完整的數據防竊取作用有很大局限性軟件連通性；復雜性；擴展性研發(fā)過程的安全亟待加強人-安全意識差，慣性、惰性-工作過程中追求方便不斷降低安全標準、破壞安全狀態(tài)、破壞攻防平衡-利益驅動；防不勝防Agenda政策上的利好與技術上的挑戰(zhàn)安全的本質防御思想從五元組到大數據其他問題從機場安全檢說起…NGFW中的安檢流程IPS

AntiVirusSandbox網絡中總存在“白/灰/黑

”這三種流量。第1步，流量被IP/DNS/Web信譽庫與ACL快速過濾。這就是所謂的快通道。第2步，根據流量數據，DPI與URL分類引擎識別應用類型

。第3步，IPS與AntiVirus深入檢測網絡數據報文內容與還原的文件。第4步，對于難于判斷的可疑文件，繼續(xù)送到APT沙箱進行深度分析。這是威脅檢測的慢通道。IP/DNS//Web安全信譽,ACLDPIURL分類攻防對抗的格局攻擊者防御者(我在這里)攻擊目標國安局匿名者組織競爭對手黑客政府行業(yè)監(jiān)管用戶員工攻防失衡的原因原罪利潤思維技術攻防態(tài)勢失衡1、原罪：（系統(tǒng)&人）的脆弱性；2、利益：預期收益vs預期風險；3、思維：主動與被動；4、技術：宏觀策略、擁有信息、攻守界面、微觀技術；5、失衡：攻防態(tài)勢的不對稱性安全原罪與汽車加塞兒Becausethereisnopatchtohumanstupidity…眼耳鼻舌身意色聲香味觸法Desire,

Anger,

Ignorance,

Jealousy,Pride安全的挑戰(zhàn)：黑客思維求異思維：尋求否定之否定迷宮模式：入口_@$%&*出口實用主義：“意有定向，招無定式”反功能：misuse,abuse隱藏與混淆擬人與擬態(tài)社會工程學編程大師說：“任何一個程序，無論它多么小，總存在著錯誤。”初學者不相信大師的話，他問：“如果一個程序小得只執(zhí)行一個簡單的功能，那會怎樣?”“這樣的一個程序沒有意義，”大師說，“但如果這樣的程序存在的話，操作系統(tǒng)最后將失效，產生一個錯誤?！钡鯇W者不滿足，他問：“如果操作系統(tǒng)不失效，那么會怎樣?”“沒有不失效的操作系統(tǒng)，”大師說，“但如果這樣的操作系統(tǒng)存在的話，硬件最后將失效，產生一個錯誤?！背鯇W者仍不滿足，再問：“如果硬件不失效，那么會怎樣?”大師長嘆一聲道：“沒有不失效的硬件。但如果這樣的硬件存在的話，用戶就會想讓那個程序做一件不同的事，這件事也是一個錯誤?！睕]有錯誤的程序世間難求。[GeoffreyJames1999《編程之道》]安全的獨特魅力4、大數據改變了安全知識挖掘的方式，從實驗模擬發(fā)展到密集計算，進一步完善了安全知識的積累手段，是安全智能化的基礎。1、安全的服務對象是“被攻擊者”，安全能力的服務對象是“攻擊者”。服務的內容是提供知識與防護手段。2、安全的價值在于迅速將不安全的狀態(tài)轉換為安全，并盡量提高攻擊成本。對已知威脅根據風險與成本取舍。對未知威脅提升免疫力降低風險。3、安全是模式的科學，其核心工作是構建安全知識系統(tǒng)。安全技術通過模式的挖掘，把潛在的威脅呈現出來。安全威脅攻擊模式庫IPS簽名庫漏洞庫病毒庫應用特征庫信譽庫安全知識庫信譽評估機器學習人工分析大數據分析行為分析安全信譽應急響應郵件IP文件URLAV特征庫漏洞數據庫IPS特征庫URL分類庫應用識別威脅建模安全特征庫威脅分析文件/流量，樣本收集現場服務遠程服務安全信譽威脅模型無限的知識熵IPURLDNS用戶域名服務器解析頻度位置信息軟件開發(fā)工具附件郵件端口漏洞信息原始流量網頁模板MTA瀏覽器行為序列趨勢日志流量采樣MTU內部鏈接外部鏈接社會事件網站排名病毒樣本網絡拓撲安全設備域名注冊者郵箱注冊者注冊表項大數據的威力FlowProcessStorm/Truviso/SparkSteamingInteractiveSQLImpala/Drill/SpliceMachineGraphiLab/GraphX(GraphAnalysis)Titan/Gremlin(GraphDB&traversal)Mahout/0xdata(BatchingML)Spark(Fastmemory-optimizedexecutionengine)MapReduceYARN/Mesos(Multi-memoryResourceManagement)MapR-FS/MapRTable實時檢測模型驗證圖計算機器學習人工調查模型升級已知模型+新模型安全知識的生產方式正在改變！Agenda政策上的利好與技術上的挑戰(zhàn)安全的本質防御思想從五元組到大數據其他問題攻擊鏈與防御矩陣應用管控信譽過濾入侵防御木馬檢測病毒檢測數據防泄漏沙箱分析大數據分析阻斷高危應用阻斷已知惡意網址阻斷已知漏洞利用發(fā)現未知惡意流量阻斷已知惡意軟件阻斷秘密下載檢測未知惡意軟件檢測未知惡意軟件阻斷C&C通道阻斷惡意軟件與惡意網址阻斷間諜軟件C&C通道阻斷異常外發(fā)鏈接阻斷未知C&C流量

引誘|滲入|建立后門|隱秘通道|竊取機密情報共享異常檢測信譽過濾阻斷風險活動攻擊鏈與防御矩陣監(jiān)控實施特征更新基線學習行為/意圖內容過濾異常/基線調查分析審計信譽更新終端報文流量實體事前事中事后信譽篩查評估模型的演進安全狀態(tài)恢復響應無反饋機制安全引擎檢測發(fā)生攻擊無信譽預判安全狀態(tài)恢復響應信譽反饋安全引擎檢測過濾后的攻擊信譽預判M’#信譽模型特征庫模型時間成本低。依據訪問對象的可信程度進行預判，在檢測鏈上的最前端起作用。高。根據數據內部特征進行檢測。在檢測鏈上的中段起作用。資源成本低?；谧钌俚男畔⒘孔鳑Q策，資源最節(jié)約?？商幚泶蟛糠殖Ｒ姷目尚排c不可信鏈接。高。需要解析報文內容，需要大量的CPU與內存。較難適應流量模型的變化。智能協(xié)同好。檢測結果通過信譽反饋對防御能力形成貢獻。差。缺少信譽反饋，防御能力無法閉環(huán)提升。M知白守黑Agenda政策上的利好與技術上的挑戰(zhàn)安全的本質防御思想從五元組到大數據其他問題安全技術的演進應用安全技術生命周期基礎設施防護技術生命周期安全技術的演進風險與合規(guī)管理技術生命周期數據和協(xié)同安全技術生命周期安全技術的演進高級分析與數據科學技術生命周期大數據技術生命周期安全技術的演進1、面向網絡 --面向應用2、面向機器 --以人為本3、被動安全 --主動安全4、局部安全 --全網協(xié)同5、基于特征檢測--基于數據分析6、固定策略 --動態(tài)適應7、手工配置 --自動維護8、單一產品 --豐富形態(tài)9、Applicance --Service10、重視樣本 --關注威脅情報11、攻防不對稱 --攻防均衡12、事 --勢(事后-事中-事前)大數據安全產品的界定BigDataSecuritySOCSecurityOperationCentreSIEMSecurityInformationandEventsManagement日志環(huán)境數據樣本威脅情報大數據安全產品的技術路線廠商方向終端安全網絡安全安全管理安全服務大數據威脅檢測大數據安全調查大數據事件分析大數據異常分析為什么大數據？已知威脅未知威脅有明確的特征新型行為特點可快速提取行為特征行為特征隱秘復雜，不易定義在非法場景內出現在合法場景內發(fā)生表現出非授權使用表現出授權使用常發(fā)生在基線之外常發(fā)生在基線之內在監(jiān)控能力之內在監(jiān)控能力之外樣本精確分析大數據持續(xù)分析為什么大數據？社交庫密碼字典攻擊對象網絡拓撲攻擊對象應用環(huán)境攻擊對象組織結構可能的存儲位置目標資產信息安全設施A公司絕密資料接觸資料人員信息生產環(huán)境…花大量時間工具攻擊手法收集信息供應鏈需要什么數據威脅源于未知安全源于感知背景數據前提、假設、條件等來源數據攻擊者、誤用者、故障源對象數據環(huán)境數據攻防所處的計算環(huán)境、網絡環(huán)境、物理環(huán)境、地理環(huán)境內因數據脆弱性/安全漏洞/配置錯誤模式和方法攻擊路徑時序：人/網絡/主機結果數據威脅的可能性威脅的程度與范圍被攻擊者/攻擊目標/破壞對象偽裝特征、代碼特征、躲避特征、主機行為、網絡行為、傳播模式攻擊流量網頁文本常用軟件安裝包手機軟件電子郵件操作系統(tǒng)文件DNS數據系統(tǒng)日志漏洞庫病毒樣本社會工程學檔案Netflow日志安全報告軟件缺陷掃描報告熱點應用網站排名IP-地理位置庫安全特征庫過程數據能力要求安全分析數據科學攻防思維流量學習DPI應用識別IPS/IDS入侵檢測AV/沙箱分析訪問控制/認證審計內容過濾安全信譽威脅情報智能大數據技術數據規(guī)劃與管理數據可視化統(tǒng)計分析關聯(lián)分析機器學習算法模型學習型組織黑客思維創(chuàng)新能力分析能力紅藍對抗演練能力要求主機數據AntiVirusHIDS/HFWDLP主機AAA終端探針人工分析喜歡模式，設定規(guī)則，善于啟發(fā)，創(chuàng)造性好，發(fā)現銀彈，易出錯，連續(xù)性不好機器分析可訓練的，復雜度高，大計算量，容易擴展，高精度，連續(xù)性好網絡數據Firewall/IPS/IDSAntiSpam/AntiPhishingContentFiltering沙箱分析流量審計流探針環(huán)境數據弱點掃描器網管/控制器網絡爬蟲/虛擬蜜網人工采集漏洞庫社區(qū)反饋關鍵技術采集全網數據匯總檢測結果多維分析對照調用云端分析能力攻擊鏈跟蹤圍繞核心資產做全量分析構建可視化建模工具，根據分析任務，進行數據預處理，基于更小的數據集與數據維度進行分析算法設計利用機器學習與可視化技術，將數據中隱藏的異常狀態(tài)呈現出來，便于機器與人工進行威脅挖掘與風險判定基于大數據智能搜索技術，針對上報的異常或威脅事件，在海量數據中進行高性能安全調查，實現快速判定與響應全攻擊鏈持續(xù)分析可視化威脅建模威脅可視化大數據安全調查技術架構檢測模塊安裝和注入采集模塊數據采集數據源系統(tǒng)·南向第三方數據接口系統(tǒng)滲透呈現模塊角色儀表盤常規(guī)信息呈現&安全態(tài)勢預測黑名單過濾事件關聯(lián)數據索引分析模塊數據去重數據標準化數據聚合數據處理數據預處理白名單過濾數據篩選采集數據規(guī)格化數據建模命令和控制郵件釣魚網頁掛馬網絡滲透Email外發(fā)終端外聯(lián)網絡外聯(lián)服務器外聯(lián)進程隱藏釋放進程代碼注入后門安裝數據透傳修改配置橫向滲透行動告警&工單北向數據接口Agenda政策上的利好與技術上的挑戰(zhàn)安全的本質防御思想從五元組到大數據其他問題安全生態(tài)環(huán)境VS1．創(chuàng)業(yè)文化和專利保護。2.密切的產學研合作。3.完善的金融資本服務。4．豐富充足的中介服務資源。5．寬松的政府扶持政策。安全企業(yè)的差距（億美元）我們的問題：數量多，體量??；重市場，輕技術；逐近利，非共贏。人才量少：總量少，具備實際操作能力的人少，高端安全人才數量更少。分布不均：-地域上集中分布在北京、上海、杭州、武漢、成都等少量大城市。-行業(yè)上向BTA3等互聯(lián)網企業(yè)流動趨勢明顯。結構失衡：滲透攻擊者多，安全防御者少。工具使用者多，工具研發(fā)人少。漏洞利用者多，漏洞挖掘者少。利益驅動者多，理念驅動者少。機制落后：缺乏成熟的專業(yè)培養(yǎng)機制，崗位摸索與社區(qū)學習為主。缺乏有效的技能鑒定機制，江湖口碑為主。當前安全人才突出問題亟待解決信任1、未能解釋公司與中國政府的關系，公司總部在中國。2、未能解釋公司與中國共產黨的關系，公司設置了黨委。3、未能解釋公司與中國軍方的關系，公司創(chuàng)始人有參軍歷史。信任文化信任安全信任商業(yè)信任社交信任產品信任自主可控商品技術人才資本文化國產化自主化國際化知識產權市場化①②③④如何走上快速發(fā)展之路200519951997199820002012201120092007201320152014$30M收購NetworkTranslation獲得Firewall產品$$40M收購GlobalInternetSoftwareGroup，獲得Fi