問題一:傳統(tǒng)信息安全建設��,以事中防御為主��。缺乏事前的風險預知����,事后的持續(xù)檢測及響應能力
傳統(tǒng)意義上的安全建設無論采用的是多安全產品疊加方案還是采用UTM/NGFW+WAF的整合類產品解決方案�,關注的重點都在于如何防護資產在被攻擊過程中不被攻擊入侵成功��,但是并不具備對于資產的事前風險預知和事后檢測響應的能力,從業(yè)務風險的生命周期來看�,**具備事中的防護是不完整的,如果能在事前做好預防措施以及在事后提高檢測和響應的能力�,安全事件發(fā)生產生的不良影響會大幅度降低,所以未來����,融合安全將是安全建設發(fā)展的趨勢。
可以主動分析經過設備的業(yè)務流量中存在的風險并實時展示出來�。松江區(qū)常規(guī)下一代防火墻互惠互利
事中攻擊防御**準確-下一代WAF引擎
流量優(yōu)化層面:基于應用層交互內容進行深度學*,在該層次上建立深入的流量學*模型�,對各種網頁元素、參數(shù)進行監(jiān)測�、學*、對比����,整個過程由設備的自學*功能完成,無需人工干預��,同時可以根據(jù)web流量的變化進行自適應調整��,建立白流量過濾能力��,如果有明顯偏離正常流量模式的惡意流量��,則需要到后續(xù)的安全檢測流程中����;
該白流量基線可以讓合法流量快速通行,提升應用層處理效率��;
內容還原層面:通過廣泛的業(yè)務分析以及安全**持續(xù)投入與研究����,知曉各業(yè)務的響應的方式,通過業(yè)務組件模型可以有效的從流量中還原業(yè)務組件��;
安全檢測層面:基于大量的應用層流量����,采取無監(jiān)督學*的 AI 模型,根據(jù)特定維度對惡意流量做概率統(tǒng)計聚類�,識別出攻擊特征;采用有監(jiān)督成長的 AI 模型��,從剩余流量中識別出攻擊特征����,并標簽攻擊行為,構建攻擊特征基線����,有效識別誤判�、漏判��;
合法業(yè)務基線:每個用戶的業(yè)務邏輯各不相同��,表達方式各異��,傳統(tǒng) WAF 對所有用戶采用通用的威脅檢測方法��,難以幫助業(yè)務各異的用戶有效防護攻擊風險����,更無法基于業(yè)務進行自適應;
閔行區(qū)原則下一代防火墻誠信服務客戶業(yè)務安全狀況可視�。
一、安全能力的持續(xù)增強
1)通過安全規(guī)則的持續(xù)更新�,應對企業(yè)內部常規(guī)及熱門的威脅��,增強防火墻對熱門威脅的檢測能力�;
2)結合大數(shù)據(jù)、AI��、多引擎構建的全局性安全能力中心會提煉算法�,導入到下一代防火墻中,下一代防火墻會基于精簡算法有效應對0day攻擊�;
3)全球熱門事件庫,讓用戶足不出戶了解全球威脅態(tài)勢資訊����,并為用戶提供對應的安全規(guī)則,用戶提前為應對熱門威脅排兵布陣����,多方位增強企業(yè)應對全球熱門威脅的能力;
二��、響應速度變快
1)熱門威脅10分鐘響應:對于現(xiàn)網的威脅我們能做到威脅**快的10分鐘響應����,從威脅樣本獲取、樣本分析��、全網下發(fā)��,實現(xiàn)威脅10分鐘響應的能力�。
2)全球熱點事件1小時響應:對于全球熱點事件,如wannacry����,從熱點事前全球爆發(fā)��、云端樣本捕獲�、樣本分析����、全網下發(fā)、事件庫更新�,實現(xiàn)熱點事件1小時響應,并深度分析熱點事件的前世今生����,讓用戶充分了解熱點事前的多方位信息,如威脅所屬家族����、威脅發(fā)起源、輻射面積����、利用漏洞、應對措施等�;
3)安全能力高頻更新:下一代防火墻和云端具有極為健壯的交互能力,當高危威脅發(fā)生的時候��,借助邊界+云端的聯(lián)動能力�,可以展開高頻次的規(guī)則更新��,使設備能夠**快時間應對高危威脅,為業(yè)務保駕護航�;
事中攻擊防御**準確-SAVE安全智能檢測引擎
在惡意攻擊防治層面,深信服**性的推出了自己的安全檢測引擎��,基于人工智能的無特征技術�,傳統(tǒng)的殺毒軟件依賴于非常厚重的攻擊庫,只有完全匹配攻擊特征后才能將其查殺��,但是這種手段的泛化能力為0��,也就是說對于未知及新型的惡意勒索攻擊無法有效應對�;深信服通過多方位應用AI技術�,通過攻擊特征的聚類分析,基于已知的離散特征��,基于數(shù)據(jù)泛化技術�,可以準確檢測未知/新型勒索攻擊;
其中Bad Rabbit就是我們通過原有的攻擊查殺模型發(fā)現(xiàn)的新型勒索攻擊��,并且將其有效查殺��;
右側是我們和其他廠商或者開源的殺毒引擎做的對比����,我們的攻擊檢出率是比較高的�,誤報率在同級別檢出率的情況下是比較低的�;
如何能夠搭建和利用大數(shù)據(jù)分析平臺來幫助用戶預測和發(fā)現(xiàn)未知威脅.
AF對主要的服務器(WEB服務器、FTP服務器��、郵件服務器等)反饋信息進行了有效的隱藏����。防止攻擊者利用服務器返回信息進行有針對性的攻擊。如:
HTTP出錯頁面隱藏:用于屏蔽Web服務器出錯的頁面�,防止web服務器版本信息泄露��、數(shù)據(jù)庫版本信息泄露�、網站路徑暴露,應使用自定義頁面返回����。
HTTP(S)響應報文頭隱藏:用于屏蔽HTTP(S)響應報文頭中特定的字段信息。
FTP信息隱藏:用于隱藏通過正常FTP命令反饋出的FTP服務器信息�,防止攻擊者利用FTP軟件版本信息采取有針對性的漏洞攻擊。
是企業(yè)安全建設更高的一個層次的需求�。閔行區(qū)原則下一代防火墻誠信服務
存在短板必然容易被繞過,原有安全設備就形同虛設.松江區(qū)常規(guī)下一代防火墻互惠互利
事中攻擊防御**準確-SAVE殺毒引擎
下圖是深信服的SAVE安全智能檢測引擎與傳統(tǒng)防攻擊引擎在算法、特征及安***果維度的對比:
首先傳統(tǒng)的防攻擊引擎是采用固定的特征識別與匹配的算法��,同時依賴于靜態(tài)特征庫��,通常特征的提取需要安全**進行人工研判��,效率低下��,面對業(yè)界越來越多的惡意攻擊,應對乏力����;SAVE安全智能檢測引擎采用人工智能的算法,結合深信服云端的大量質量樣本進行深度分析�,自適應調整攻擊防治模型;從特征自動提取到算法的自我優(yōu)化實現(xiàn)自動化��、自適應的攻擊防治����;
在安***果層面,傳統(tǒng)引擎對于未知及勒索攻擊無法有效防護����,但是基于深信服SAVE引擎可通過數(shù)據(jù)泛化技術,基于已知的知識維度來預測未知及勒索攻擊,有效提升攻擊防治的安***果����;
松江區(qū)常規(guī)下一代防火墻互惠互利
上海黑象信息科技有限公司屬于商務服務的高新企業(yè),技術力量雄厚�。是一家有限責任公司(自然)企業(yè),隨著市場的發(fā)展和生產的需求����,與多家企業(yè)合作研究,在原有產品的基礎上經過不斷改進����,追求新型,在強化內部管理��,完善結構調整的同時��,良好的質量��、合理的價格�、完善的服務��,在業(yè)界受到寬泛好評�。公司始終堅持客戶需求優(yōu)先的原則����,致力于提供高質量的技術開發(fā)�,技術轉讓,技術咨詢����,技術服務。黑象以創(chuàng)造***產品及服務的理念�,打造高指標的服務�,引導行業(yè)的發(fā)展�。