1、基于威胁情报的云安全检测技术 演讲人:王亮 攻防实战能力在云安全重要性逐步提高攻防实战能力在云安全重要性逐步提高 检测响应已经从传统企业环境转向云计算环 境。 云厂商的安全体系已覆盖事前管理、准备, 事中检测响应,事后恢复的闭环。安全团队 已经不止关注传统的清理和被动防护的工作, 开始向主动防御的工作转移; 威胁情报作为有效的威胁检测机制被广泛应 用于云计算场景 合规实战 安全基线 国家法律 行业规范 企业规章 实时检测 准确检出 及时响应 威胁情报的定义威胁情报的定义 Gartner的定义 威胁情报是某种基于证据的知识, 包括上下文、机制、标记、含义与 可行的建议,这些知识与资产所面 临已有
2、的或酝酿中的威胁或危害相 关,可用于对这些威胁或危害进行 响应的相关决策提供信息支持。 一个泛化的定义 信息安全的语境下,一切与威胁相 关的数据、信息以及知识。 网络安全威胁信息模型网络安全威胁信息模型 对象域-威胁主体和攻击目标构成攻 击者与受害者的关系; 事件域-攻击活动、安全事件、攻击 指标和可观测数据则构成了完整的 攻击事件流程;即有特定的经济或 政治目的、对信息系统进行渗透入 侵,实现攻击活动、造成安全事件; 而防御方则使用网络中可以观测或 测量到的数据或事件作为攻击指标, 识别出特定攻击方法; 方法域-在攻击事件中,攻击方所使 用的方法、技术和过程(TTP)构成 攻击方法,而防御方
3、所采取的防护、 检测、响应、回复等行动构成了应 对措施; 可机读威胁情报 - 失陷威胁数据 IOC(Indicator Of Compromise,失陷检测指标) 主要类型:IP、域名、文件Hash、邮箱、数字证书等 最基础最具可用性的威胁情报类型,标示已成功的攻击, 少量,精准 指示被僵尸网络、网络蠕虫、木马后门、APT攻击所控 制的系统 威胁覆盖全面 多维度来源安全基础数据 开源及商业情报数据应收尽收 强运营动静态自动化处理工具和平台 可指导行动的上下文 专业团队整合攻击组织来源、目的、具体危害、所使用 资源等判断处置所需的信息 Hypervisor vSwitch VMVMVM Hypervisor vSwitch VMVM Hypervisor vSwitch VM VM VMVM VM FW 典型的攻击方式: 黑客通过正常登录方式登录到云内某台虚拟机,期间由于是正常登录流量,防火
1、下载报告失败解决办法 2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。 3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。 4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
2020BCS-北京网络安全大会:威胁情报与主动防御.pdf
2020BCS-北京网络安全大会:威胁情报生态联盟介绍.pdf
2020BCS-北京网络安全大会:威胁情报下资产测绘的 关键行业分析.pdf
2020BCS-北京网络安全大会:信创云安全建设实践.pdf
2020BCS-北京网络安全大会:特权访问的安全威胁与解决之道.pdf
2020BCS-北京网络安全大会:基于内生安全的信创安全体系.pdf
2020BCS-北京网络安全大会:LEAF:基于同态加密的高效密文检索技术.pdf
2020BCS-北京网络安全大会:“新基建”加速安全技术创新.pdf
2020BCS-北京网络安全大会:医院网络安全管理模式的思考.pdf
2020BCS-北京网络安全大会:PKS体系架构.pdf
三个皮匠报告专业的行业报告下载站,每日更新,欢迎大家关注!
copyright@2008-2013 长沙景略智创信息技术有限公司版权所有 网站备案/许可证号:湘B2-20190120
专属顾问
机构入驻、侵权投诉、商务合作
三个皮匠报告官方公众号
验证即登录,未注册将自动创建三个皮匠报告账号
使用 微信 扫一扫登陆