網(wǎng)絡(luò)安全產(chǎn)品價值的重定義-探索基于防御動作框架的關(guān)鍵安全能力拆解與整合

突破“賽道”的禁錮網(wǎng)絡(luò)安全產(chǎn)品價值的重定義——探索基于防御動作框架的關(guān)鍵安全能力拆解與整合威脅框架：細粒度對抗威脅框架：細粒度對抗CONTENTS從安天自己的“產(chǎn)品矩陣”說起從安全產(chǎn)品演進看“賽道”是怎從威脅框架改善產(chǎn)品能力的視角看對傳統(tǒng)賽道的突破從現(xiàn)有網(wǎng)絡(luò)安全框架看對安全產(chǎn)從關(guān)鍵安全能力視角重新梳理能威脅框架：細粒度對抗威脅框架：細粒度對抗從安天自己的“標品矩陣”Page4威脅框架：細粒度對抗威脅框架：細粒度對抗Page5威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗Page6威脅框架：細粒度對抗Page7威脅框架：細粒度對抗威脅框架：細粒度對抗有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有威脅框架TTPs有有有有有細粒度防御》?郵件作為常見的攻擊入口，需要在多個環(huán)節(jié)進行對抗，?產(chǎn)品需要強有力的共性內(nèi)核和運營支持《威脅情報和檢測引擎結(jié)合,有效提升安全防護能力》?欺騙防御不在是蜜罐產(chǎn)品的專利，而正在成為一種普遍性的產(chǎn)品特性，參見報告《從蜜Page9威脅框架：細粒度對抗威脅框架：細粒度對抗?我們還應(yīng)該用“賽道”衡量安全產(chǎn)品么？Page10威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗從安全產(chǎn)品演進看“賽道”是怎樣形成的I從Gartner技術(shù)成熟度曲線看安全產(chǎn)品賽道現(xiàn)狀Page12威脅框架：細粒度對抗威脅框架：細粒度對抗Page13 安全產(chǎn)品和其他產(chǎn)品的關(guān)鍵特性。帶有確保產(chǎn)品達到底線要求的導(dǎo)向，通常是導(dǎo)致 安全產(chǎn)品和其他產(chǎn)品的關(guān)鍵特性。帶有確保產(chǎn)品達到底線要求的導(dǎo)向，通常是導(dǎo)致產(chǎn)為保護對象、以信息化設(shè)施為運行載體、也是信息化創(chuàng)新技術(shù)的優(yōu)先應(yīng)用場景。這是網(wǎng)絡(luò)安全威脅框架：細粒度對抗Page14威脅框架：細粒度對抗Page15Page15IT場景變化驅(qū)動：新的風(fēng)險機會帶來的影響威脅框架：細粒度對抗威脅框架：細粒度對抗Page16IT場景變化驅(qū)動：算力、帶寬和復(fù)雜度同步增長操作系統(tǒng)具體年份CPU主頻CPU位數(shù)制造工藝具體年份針腳單條容量運行頻率具體年份代碼行數(shù)4.77MHz-8MHZWin1.0Win2.00.6微米-1微米0.6微米Win3.0220萬Win4.0450萬0.35微米750萬Win95450MHz-1.4GMHz950萬Win98微米.65納米400MHzWin2000WinXP4000萬2.8GHz-3.2GHzWin7第二代處理器（Sandy2.4GHz-3.8GHz2.6GHz-3.9GHzWin82.8GHz-4.0GHz4G、8G、16第五代處理器（Broadwell架Win102.8GHz-4.0GHz第七代處理器（KabyLake、第八代處理器（CoffeeLake2.8GHz-4.0GHz 算力、帶寬等資源提升同時提升了攻防雙方的系統(tǒng)復(fù)雜為攻擊帶來更多的窗口和機會?安天的工程師在這里只列舉了惡意代碼的加載操作系統(tǒng)的代碼不只必然帶來更多的漏洞攻擊來了大量可以被非法利用的“合法”入口。而可用性和可靠性。?信息化建設(shè)是由大量的充滿了“不確定性”和“隱形質(zhì)量”的復(fù)雜端點系統(tǒng)和連接關(guān)系組成Page17威脅框架：細粒度對抗威脅框架：細粒度對抗Page1800002015-2018惡意代碼的變種總量統(tǒng)計2015-2018惡意代碼的變種總量統(tǒng)計 分類分類/日期0 Page19威脅驅(qū)動：載荷的復(fù)雜度帶來的影響Windows平臺無無無無短無無無I威脅驅(qū)動：威脅的高級化帶來的影響 Page20威脅框架：細粒度對抗威脅框架：細粒度對抗Page21安全產(chǎn)品的演進：差異化、重定義帶來的驅(qū)動廠商NetscreenFortinetPaloaltoNetworkFireeye創(chuàng)建時間核心概念核心概念提出時間核心技術(shù)方法合基于多核體制和專有實別別核心軟肋線I場景環(huán)境約束與變化對技術(shù)路徑的影響別別核心軟肋線以黑名單為起點是反病毒技術(shù)的唯一可行選擇測結(jié)合階段數(shù)量接近Page22威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗賽道分支的形成：技術(shù)積累差異驅(qū)動(以EDRvsEPP為例)威脅框架：細粒度對抗Page23威脅框架：細粒度對抗I雨傘專利對技術(shù)路線選擇的影響威脅框架：細粒度對抗Page24?關(guān)于安全產(chǎn)品的要素規(guī)律特點，還有很多沒有總結(jié)。?現(xiàn)有的產(chǎn)品賽道產(chǎn)生是場景變遷演化、威脅演進驅(qū)動、商業(yè)競爭等要素的綜合結(jié)果，有其起點的合理性，但并不代表其可以成為禁錮創(chuàng)新和業(yè)務(wù)價值達成的“藩籬”。?網(wǎng)絡(luò)安全產(chǎn)品需要更要的在客戶場景下對抗威脅而，創(chuàng)造有效安全價值，這是一個“初心”。?那么，我們又能從威脅對抗上帶來哪些啟示？Page25威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗從威脅框架改善產(chǎn)品能力的Page27威脅框架：細粒度對抗威脅框架：細粒度對抗Page28 安天資產(chǎn)安全運維平臺可以削弱的攻擊Page29威脅框架：細粒度對抗威脅框架：細粒度對抗基于端點側(cè)部署的安天智甲終端防御系統(tǒng)的檢測?通過兩者的對比，可見大部分攻擊動作是基于系統(tǒng)實施和完成的。?同時各種安全能力環(huán)節(jié)有不同的價值和互補作用。基于流量側(cè)部署的安天探海威脅監(jiān)測系統(tǒng)的可輸出的攻擊Page30威脅框架：細粒度對抗威脅框架：細粒度對抗?通過這一對比，可以看到蜜罐和沙箱雖然?部分同構(gòu)，但兩者依然有加大的差異?蜜罐立足于欺騙、攻擊發(fā)現(xiàn)、捕獲和輕量級分析。?而沙箱立足于觸發(fā)漏洞、細粒度揭示行為和?威脅情報生產(chǎn) 安天追影威脅分析系統(tǒng)可以輸出的分析對象攻擊技術(shù)動作標簽Page31威脅框架：細粒度對抗威脅框架：細粒度對抗安天AVLSDK支持的攻擊載荷TTPs標簽輸出Page32威脅框架：細粒度對抗威脅框架：細粒度對抗Page33威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗從現(xiàn)有網(wǎng)絡(luò)安全框架看對安全產(chǎn)品的能力需求MITRE公司提出的Shield積極防御框架MITRE公司是美國一家非盈利性研究機構(gòu)，成立于延伸到網(wǎng)絡(luò)空間安全領(lǐng)域，其使命是“解決問題，MITRE公司于2013年開始開發(fā)創(chuàng)造更安全的世界”。ATT&CK威脅框架，2015年5月正式發(fā)布，之后ATT&CK知識庫通常每季度更新一次，持TREIshiedMITREShield知識庫，其結(jié)構(gòu)威脅框架：細粒度對抗威脅框架：細粒度對抗MITREShield知識庫——Shield險或風(fēng)險；也是名詞，意思是保能夠依據(jù)實際需求以多種方式使MITRE公司認為攻擊技術(shù)超出典型組織的工作范圍，因此也不在MITREShield的關(guān)注范圍內(nèi)。御意識，激發(fā)防御者更積極的思維方式與對手進行對抗。充分利用防御者的優(yōu)勢贏得與對手對抗的最終勝 MITREShield知識庫（安天中譯版）Page38MITREShield知識庫分類聚合分析MITREShield知識庫（安天中譯版）DTA0001引導(dǎo)（18）DTA0002收集（18）DTA0003約束（11）DTA0004檢測（20）DTA0005干擾（16）DTA0006促進（16）DTA0007合法化（12）DTA0008測試（19）技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文MITREShield知識庫與ATT&CK威脅框架關(guān)系術(shù)之間的映射關(guān)系MITREShield知識庫與ATT&CK威脅框架相互映射MITREShield知識庫對ATT&CK威脅框架的覆蓋率威脅框架：細粒度對抗威脅框架：細粒度對抗MITREShield知識庫的應(yīng)用案例加利福尼亞州弗里蒙特的網(wǎng)絡(luò)提供的解決方案覆蓋MITER主動防御技術(shù)中27項，覆蓋范圍達到82%，該公司還表示未覆蓋領(lǐng)域主要是備份、硬件管理、培訓(xùn)以及其他與檢測ThreatDefend平臺與MITREShield知識庫映射關(guān)系威脅框架：細粒度對抗威脅框架：細粒度對抗MITREShield知識庫的價值與不足?防御者利用ATT&CK威脅框架分析已知對手戰(zhàn)術(shù)、技術(shù)和信息等，同時利用MITREShield知識庫部署網(wǎng)絡(luò)防御措施計劃以及捕獲對下一步網(wǎng)絡(luò)防御工作有用的信息，兩者配合應(yīng)用有利于加強組織防御能力。?與ATT&CK威脅框架中攻擊技術(shù)映射關(guān)系較粗；?其主要與ATT&CK威脅框架進行映射，但ATT&CK威脅框架尚無法枚舉全部攻擊方法，因此Shield?Shield中提及到的積極防御技術(shù)更多得在于通過誘騙捕獲攻擊行為，與積極防御的概念還存在一威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗NIST網(wǎng)絡(luò)安全框架回顧威脅框架：細粒度對抗是企業(yè)的要求、目標、風(fēng)險偏好、資源與框架Page42NIST網(wǎng)絡(luò)安全框架核心要素?功能：基本的網(wǎng)絡(luò)安全活動?類別：功能進一步細分?子類別：進一步將類別分為技術(shù)和/或管理活動的具體結(jié)果。?參考性文獻：通用的標準、指南和實Page43威脅框架：細粒度對抗威脅框架：細粒度對抗Page44?5個功能?23個類別??5個功能?23個類別?108個子類別功能唯一識別標識功能類別唯一識別標識類別識別ID.AM資產(chǎn)管理業(yè)務(wù)環(huán)境治理風(fēng)險評估風(fēng)險管理策略供應(yīng)鏈風(fēng)險管理保護PR.AC身份管理和訪問控制PR.AT意識和培訓(xùn)數(shù)據(jù)安全信息保護流程與程序維護保護性技術(shù)檢測DE.AE異常和事件DE.CM安全持續(xù)監(jiān)控檢測流程響應(yīng)響應(yīng)計劃RS.CO溝通RS.AN分析緩解改進恢復(fù)恢復(fù)計劃改進RC.CO溝通Page45NIST網(wǎng)絡(luò)安全框架實踐?框架輪廓是將功能、類別和子類別與組織業(yè)務(wù)需求、風(fēng)險承受能力和資源相匹配的結(jié)果。?在與組織和部門目標高度一致的前提下，同時考慮法律法規(guī)要求和行業(yè)最佳實踐，并反映風(fēng)險管理一切正常需要工作需分析和校正沿襲傳統(tǒng)事前、事中、事后的認知痕跡，試圖一個完整的安全行為閉環(huán)，而S?如果說殺傷鏈模型是攻擊活動OODA循進一步多維化的細化展開。而NIST和Shield展示了共性特點是，防御同樣存在著類似鏈到威脅框架的戰(zhàn)術(shù)階段和技術(shù)動作。能有效應(yīng)對確定性威脅動作和技術(shù)利用的關(guān)鍵Page46威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗從關(guān)鍵安全能力視角重新梳理能力性產(chǎn)品框架Page48Page49檢測是發(fā)現(xiàn)、定位和定性網(wǎng)絡(luò)安全威脅的方法風(fēng)險等，旨在避免網(wǎng)絡(luò)安全事件的發(fā)生。施，使組織具備限制或控制潛在網(wǎng)絡(luò)在提升組織對自身的認知。I核心要素——作用對象集合網(wǎng)絡(luò)類對象用戶類對象?用戶、帳戶、身份、權(quán)限應(yīng)用類對象網(wǎng)盤、視頻會議……信息類對象作用承載類對象?文件、載荷、進程、內(nèi)存、服務(wù)……作用位置屬性類對象?主機、邊界、流量、應(yīng)用系統(tǒng)、供應(yīng)鏈……Page50威脅框架：細粒度對抗威脅框架：細粒度對抗Page51身份認證、權(quán)限控制、配置基線建立、網(wǎng)絡(luò)域真資產(chǎn)構(gòu)造、主機行為管控……行為檢測）、流量環(huán)