360天眼產(chǎn)品課件

1、360網(wǎng)神天眼產(chǎn)品,1,PPT學(xué)習(xí)交流,CONTENTS / 目錄,PART / 01,集團(tuán)介紹,PART / 02,場(chǎng)景問題,PART / 03,功能價(jià)值,PART / 04,優(yōu)勢(shì)特點(diǎn),PART / 05,形態(tài)部署,成功案例,PART / 06,2,PPT學(xué)習(xí)交流,PART / 01,集團(tuán)介紹,3,PPT學(xué)習(xí)交流,360公司的創(chuàng)立與發(fā)展,1,2005-公司成立,2006-,2009-,2012-二次創(chuàng)業(yè),搜索引擎、智能硬件、智能手機(jī)、企業(yè)安全,2016-業(yè)務(wù)重組,品牌、專利、數(shù)據(jù),個(gè)人業(yè)務(wù) 互聯(lián)網(wǎng)模式,政企業(yè)務(wù) 產(chǎn)品+服務(wù)模式,共享,360科技集團(tuán),360企業(yè)安全集團(tuán),全球唯一一家脫胎于互聯(lián)

2、網(wǎng)公司的專業(yè)安全公司,4,PPT學(xué)習(xí)交流,360 企業(yè)安全集團(tuán)以“數(shù)據(jù)驅(qū)動(dòng)安全”的創(chuàng)新方法論為依托，建立了大數(shù)據(jù)時(shí)代的協(xié)同聯(lián)動(dòng)防御體系，全方位提升中國(guó)政企客戶的安全防護(hù)能力和水平，與全社會(huì)一起構(gòu)建安全命運(yùn)共同體。,全方位保護(hù)政企級(jí)網(wǎng)絡(luò)安全,5,PPT學(xué)習(xí)交流,PART / 02,場(chǎng)景問題,6,PPT學(xué)習(xí)交流,高級(jí)持續(xù)定向攻擊,各類高級(jí)威脅的危害： 竊密機(jī)密、隱私泄露、關(guān)鍵設(shè)施破壞、敲詐勒索,APT攻擊事件：摩訶草事件、蔓靈花行動(dòng) 僵尸網(wǎng)絡(luò)類、后門、間諜軟件 竊密木馬、勒索病毒 服務(wù)器高級(jí)漏洞攻擊類,7,PPT學(xué)習(xí)交流,當(dāng)前安全威脅處置的困局,檢測(cè) 傳統(tǒng)的檢測(cè)手段使用基于簽名的技術(shù)無(wú)法檢測(cè)高級(jí)威

3、脅 基于簽名的檢測(cè)會(huì)產(chǎn)生大量無(wú)用告警影響對(duì)于入侵攻擊的判斷 響應(yīng) 發(fā)現(xiàn)威脅后，缺少有效的聯(lián)動(dòng)防御機(jī)制予以響應(yīng) 缺少專業(yè)的安全人員提供針對(duì)安全事件進(jìn)行快速的調(diào)查分析與應(yīng)急響應(yīng) 溯源 缺少原始網(wǎng)絡(luò)行為日志和原始主機(jī)行為日志，不利于安全溯源分析 海量日志存儲(chǔ)和快速檢索技術(shù)難度大 缺乏高價(jià)值的威脅情報(bào)，無(wú)法有效發(fā)現(xiàn)定向攻擊并對(duì)網(wǎng)絡(luò)攻擊進(jìn)行有效的背景分析,8,PPT學(xué)習(xí)交流,國(guó)家政策要求,等保2.0的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分：安全通用要求的第七章“第三級(jí)安全要求”中明確提出了要具有檢測(cè)和分析未知的新型網(wǎng)絡(luò)攻擊的技術(shù)措施。,網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求 第1部分：安全通用要求中也明確提出了在等保三級(jí)

4、評(píng)測(cè)時(shí)測(cè)評(píng)對(duì)象需具有抗APT攻擊設(shè)備,9,PPT學(xué)習(xí)交流,PART / 03,功能價(jià)值,10,PPT學(xué)習(xí)交流,天眼TSS新一代威脅感知系統(tǒng),天眼TSS定位：為客戶提供針對(duì)網(wǎng)絡(luò)高級(jí)威脅的檢測(cè)、響應(yīng)、溯源的一體化解決方案。,APT,特種木馬類,高級(jí)漏洞攻擊類,可以通過特征檢測(cè)的威脅,高級(jí)威脅,已知威脅,天眼檢測(cè)能力,威脅金字塔,數(shù)據(jù)中心環(huán)境,辦公網(wǎng)環(huán)境,11,PPT學(xué)習(xí)交流,天眼的檢測(cè)能力,進(jìn)入 網(wǎng)絡(luò),漏洞 利用,安裝惡意軟件,遠(yuǎn)程 通信,橫向滲透/泄密,傳感器捕獲行為,傳感器捕獲行為,分析平臺(tái)根據(jù)威脅情報(bào)發(fā)現(xiàn),天擎捕獲行為,傳感器根據(jù)特征發(fā)現(xiàn),文件威脅鑒定可以發(fā)現(xiàn)問題,傳感器根據(jù)特征發(fā)現(xiàn),威脅生

5、命周期,天眼數(shù)據(jù)采集,天眼威脅檢測(cè),傳感器多種引擎可以檢測(cè)的入侵,傳感器可以檢測(cè)PHP腳本,覆蓋威脅的全生命周期的本地檢測(cè)能力,12,PPT學(xué)習(xí)交流,天眼功能介紹,響應(yīng),13,PPT學(xué)習(xí)交流,天眼體系架構(gòu),傳感器1,傳感器2,天擎終端,數(shù)據(jù)引擎,威脅感知系統(tǒng),日志檢索,云端 威脅情報(bào),分析平臺(tái),天擎,文件威脅鑒定器,流量傳感器,靜態(tài)檢測(cè),沙箱,數(shù)據(jù)引擎,分析平臺(tái)擴(kuò)展,域名解析 TCP/UDP流量 Web訪問 文件傳輸 LDAP行為 登錄動(dòng)作 郵件行為 數(shù)據(jù)庫(kù)操作 SSL加密協(xié)商,U盤日志 郵件日志 IM文件傳輸 進(jìn)程網(wǎng)絡(luò)行為 進(jìn)程DNS,傳感器n,14,PPT學(xué)習(xí)交流,威脅情報(bào),威脅情報(bào)（Th

6、reat Intelligence）是一種基于證據(jù)的描述威脅的一組關(guān)聯(lián)的信息，包括威脅相關(guān)的環(huán)境信息、采用的手法機(jī)制、指標(biāo)、影響，以及行動(dòng)建議等。與傳統(tǒng)的單點(diǎn)的病毒或信譽(yù)等信息不同，這一系列對(duì)于攻擊威脅的信息，可以讓我們了解高級(jí)威脅的全貌，并可以被抽象成可機(jī)讀威脅情報(bào)（MRTI），用來(lái)進(jìn)行應(yīng)對(duì)決策，并對(duì)威脅進(jìn)行響應(yīng)。,發(fā)現(xiàn)高級(jí)網(wǎng)絡(luò)攻擊： 海蓮花 摩訶草事件 蔓靈花行動(dòng) WannaCry勒索 ,15,PPT學(xué)習(xí)交流,分析平臺(tái),16,PPT學(xué)習(xí)交流,流量傳感器,協(xié)議分析,檢測(cè)引擎,流量采集,檢測(cè)結(jié)果,17,PPT學(xué)習(xí)交流,文件威脅鑒定器,惡意行為分析,惡意文件,高危,中危,低危,高危事件,可疑事件

7、,疑似事件,多種不同引擎，多維度檢測(cè)威脅 已知檢測(cè)與未知檢測(cè)相互補(bǔ)充 靜態(tài)檢測(cè)與動(dòng)態(tài)監(jiān)測(cè)相輔相成 準(zhǔn)確的評(píng)分機(jī)制降低誤報(bào)與漏報(bào),靜態(tài)檢測(cè)引擎,動(dòng)態(tài)檢測(cè)引擎,惡意代碼檢測(cè) 文件格式檢測(cè) 啟發(fā)式檢測(cè) 人工智能引擎檢測(cè) 云查檢測(cè),虛擬執(zhí)行檢測(cè)文件,18,PPT學(xué)習(xí)交流,價(jià)值,滿足新等保的合規(guī)要求 提升用戶對(duì)高級(jí)威脅發(fā)現(xiàn)能力 幫助安全團(tuán)隊(duì)提升重大安全事件的應(yīng)急響應(yīng)能力 提高安全事件的溯源能力,19,PPT學(xué)習(xí)交流,PART / 04,優(yōu)勢(shì)特點(diǎn),20,PPT學(xué)習(xí)交流,優(yōu)勢(shì)1國(guó)內(nèi)首屈一指的威脅情報(bào)平臺(tái),每天從900萬(wàn)個(gè)新增樣本、300萬(wàn)新增域名、上億惡意URL，以及結(jié)合多方社區(qū)、組織、第三方報(bào)告等資源，進(jìn)

8、行情報(bào)搜集和挖掘，每天形成超過百份的威脅及漏洞情報(bào)，通過在線或離線方式推送到客戶側(cè)的產(chǎn)品、服務(wù)、平臺(tái)，以及與第三方安全組織進(jìn)行情報(bào)交換共享。,21,PPT學(xué)習(xí)交流,優(yōu)勢(shì)2精準(zhǔn)的高級(jí)威脅發(fā)現(xiàn)能力,文件威脅鑒定器,22,PPT學(xué)習(xí)交流,優(yōu)勢(shì)3海量數(shù)據(jù)的運(yùn)算和檢索能力,ES,ES,高性能 為更廣泛的監(jiān)控能力提供支撐 為快速的響應(yīng)分析提供保障 為更加復(fù)雜的分析提供可能 為不斷發(fā)展的業(yè)務(wù)提供未來(lái) 高可用 不因?yàn)榧夹g(shù)復(fù)雜而增加使用復(fù)雜度 不因?yàn)樾阅芨叨豢紤]可擴(kuò)展性 不因?yàn)榧夹g(shù)新而不考慮可靠性,mysql,360天眼,23,PPT學(xué)習(xí)交流,優(yōu)勢(shì)4完整的事件溯源能力,威脅生命周期,天眼數(shù)據(jù)采集,發(fā)現(xiàn)問題,回

9、溯路徑,回溯路徑,天眼強(qiáng)大的數(shù)據(jù)采集能力可以保證在攻擊鏈條任何一個(gè)地方發(fā)現(xiàn)威脅后，都可以完整回溯整個(gè)攻擊發(fā)生全過程,24,PPT學(xué)習(xí)交流,PART / 05,形態(tài)部署,25,PPT學(xué)習(xí)交流,天眼典型部署,360云端大數(shù)據(jù)平臺(tái) 威脅情報(bào)中心,威脅情報(bào),天眼 分析平臺(tái),天眼文件威脅鑒定,天眼 采集器,流量日志,樣本日志,全面的采集網(wǎng)絡(luò)及主機(jī)日志,完整還原文件并進(jìn)行深度分析,引入360強(qiáng)大的威脅情報(bào),通過輕量化的大數(shù)據(jù)平臺(tái)分析威脅,準(zhǔn)確的威脅檢測(cè)告警,26,PPT學(xué)習(xí)交流,天眼組合方案,高級(jí)威脅檢測(cè)方案,1.檢測(cè)發(fā)現(xiàn)傳統(tǒng)防護(hù)手段漏過的未知威脅2.有效發(fā)現(xiàn)未知惡意文件3.對(duì)企業(yè)內(nèi)的海量數(shù)據(jù)進(jìn)行安全分析

10、4.對(duì)企業(yè)內(nèi)已發(fā)現(xiàn)的問題進(jìn)行攻擊回溯,天眼傳感器 天眼分析平臺(tái) 天眼文件威脅鑒定器（可選）,文件威脅檢測(cè)方案,天眼傳感器 天眼文件威脅鑒定器（可選）,1.檢測(cè)發(fā)現(xiàn)傳統(tǒng)防護(hù)手段漏過的未知威脅 2.有效發(fā)現(xiàn)未知惡意文件,組件,方案說(shuō)明,27,PPT學(xué)習(xí)交流,PART / 06,成功案例,28,PPT學(xué)習(xí)交流,天眼行業(yè)成功案例之能源/央企篇,國(guó)內(nèi)某能源行業(yè)的巨頭企業(yè)，通過部署360天眼新一代威脅感知系統(tǒng)采集全流量數(shù)據(jù)以及威脅情報(bào)，并結(jié)合360安全服務(wù)人員基于攻防思路構(gòu)建的分析模型，為用戶提供內(nèi)部失陷主機(jī)、外部攻擊、內(nèi)部違規(guī)和內(nèi)部風(fēng)險(xiǎn)等關(guān)鍵信息安全問題的周期性檢測(cè)、發(fā)現(xiàn)、響應(yīng)服務(wù)，提升了發(fā)現(xiàn)和防御未知威脅的能力