1、大安全生态海洋安全天空安全太空安全网络空间安全陆地安全国家安全从网络安全到“大安全”行业机构政府安全企业服务企业科研机构个人安全生态圈深度融合的安全安全能力输出132从“安全行业”到“全行业”覆盖政府、企业、个人、社会“全员参与”03社会一致行动02企业&科研合作共享01政府04个人风险意识共筑安全网顶层设计全方位、全要素、全流程安全闭环三全理念:全要素安全-全方位监管-全过程监控全要素:人-物-环境来源:生产安全闭环管理体系全方位:行业-单位-岗位全过程:生产前-中-停产后来源:生产安全管理案例:铁路运输安全人员:生产内人员(作业人员)、生产外人员(旅客)设备:基础设备、安全设备、灾害预报设
2、备、救援设备等环境:内部小环境(作业环境)、外部大环境(自然环境、社会环境)全要素:人员-设备-环境单个要素良好并不能保证系统的正常运转。全要素相互作用 合理管控资料来源:http:/ 行为建模 规则关联(实时)机器学习(发现)用户实体行为分析(UEBA)用户访问行为用户网络行为用户身份识别行为用户上下文环境上下文killchain全过程踩点踩点武装武装投送投送利用利用植入植入操控操控目标达成目标达成killchain全过程监控阶段阶段检测检测拒绝拒绝/隔离隔离中断中断恢复恢复踩点踩点网络分析,网络扫描活动报告,外部渗透测试,SIEM,DAST/SAST,威胁情报防火墙ACL,强化系统与服务,
3、网络迷惑技术,逻辑分片蜜罐SAST,DAST,强化,补丁武装武装情感分析,漏洞通知,VA,威胁情报强化,打补丁投送投送用户训练,安全分析,网络行为分析,威胁情报,NIPS,NGFW,WAF,DDoS,SSL 检测,TIPSWG,NGIPS,ATD,TIPEPP备份或EPP清理利用利用EPP,NIPS,SIEM,WAFEPP,NGIPS,ATD,WAFNIPS,NGFW,EPP,ATD从备份中恢复数据植入植入EPP,终端取证或ETDR,沙箱,FIMEPP,MDM,IAM,终端容器化,APP包装EPP,HIPS,事件取证工具,DNS过滤事件响应,ETDR操控操控NIPS,NBA,网络取证,SIEM
4、,DNS安全,TIPIP/DNS reputation blocking,DLP,ATADNS重置,DNS上的威胁情报,输出过滤,NIPS事件响应,系统恢复目标达成目标达成日志记录,SIEM,DLP,蜜罐,TIP,DAP,UEBA 输出过滤,SWG,信任区,DLPQoS,DNS,DLP,ATA事件响应踩点踩点武装武装投送投送利用利用植入植入操控操控目标达成目标达成全过程安全:内外情报源的综合架构图来源:Gartner 人发现的外部情报源内部情报源流程发现的安全设备技术发现的开源情报商业情报共享平台联网公开情报风险识别管控体系安全管理:从单点到全局SIEM/海量告警信息海量告警信息&大量误大量误
5、报报态势感知态势感知网络全息态势网络全息态势&实体画实体画像分析像分析单点防御单点防御孤立孤立&非联动非联动FW/NGFWIDS/IPSEDR日志分析日志分析威胁检测与响威胁检测与响应应安全应急团队安全应急团队机器学习机器学习威胁情报威胁情报APT追捕追捕Level 1 单点防御单点防御Level 2 数据收集数据收集Level 3 数据分析数据分析&预预测测高级威胁的全面响应实时/准实时事后发现(数日/数周)网络取证网络流量分析包分析终端行为分析终端取证网络包终端蓝盾智慧安全能力蓝盾智慧安全具有采用标准协议的威胁情报分享能力不断完善的自适应威胁处理能力针对0day、APT的沙箱适用于云环境安全策略攻防环境自适应威胁情报共享威胁自适应网络沙箱云安全策略自适应Extra Material共同构建全方位、全要素、全流程的安全闭环谢谢