2019中国金融科技产业峰会丨亚信科技汪晨:威胁可感知、安全可运维

2019(第二届)中国金融科技产业峰会于10月31日11月1日在北京国际会议中心隆重召开 。11月1日下午举办的金融业网络信息安全分论坛上,亚信科技成都有限公司产品管理部总经理王晨带来了威胁感知、安全运输的主题演讲 。

我来自亚信安全 。今天与大家共享的主题是威胁感知、安全运输,这是亚信安全设计的产品理念,更快更早地识别威胁,帮助用户减少运输投入 。

一、网络安全发展态势

据目前统计,2019年第二季度,中国恐吓软件感染量跃居首位,占世界总数的20%,恐吓病毒在我们周围越来越激烈 。第二,网络攻击的挑战越来越多 。最近5年安全泄露事件增加67%,2018年网络犯罪攻击造成的损失有1300亿 。大家记得Facebook泄露后,当日股价暴跌亏损360亿,大家可以想象暴跌股价能买多少网络安全公司 。第三,平均攻击识别时间增加到197天,攻击后恢复时间平均达到69天 。

在护网过程中大量报警,数据显示,每天的安全运输人员每天面对大量的安全警报,超过50%的企业使用各种独立的安全技术,大量警报难以向未知的威胁 。目前,据数据统计,有2900万安全人员的差距 。护栏期间,我们公司和朋友公司的办公室几乎空着,跑过去帮助用户护栏 。

二、用什么技巧做这件事?

今天谈EDR 。EDR是从国外引进的名词,2013年的业务量在博文中有EDR词汇,为了定义什么?定义的是,有些工具有助于今后早期发现线迹,进行相应的调查 。EDR在诞生之初就是为了早日的感知威胁 。比较形象,我经常和同事说EDR实际上解决了一些问题,就像我们生病一样,第一,解决了我是否生病,第二,我的病不严重吗?第三,我的病该怎么治?EDR是同样的道理 。我的企业受到攻击了吗?我的攻击严重不严重?我如何恢复受损的攻击?

如果EDR能够达到刚才提到的一些目的,首先要做的是记录,在主机上记录相应的记录,但这是技术性的工作,记录越多,系统越重,必须正确记录,这有一定的门槛 。第二,进行调查,我们可以比喻调查,到医院后,医生第一件事就是让你做一系列的检查,做出相应的报告 。调查报告书也一样,今天的调查必须向客户发行相应的报告书 。这个威胁是否是威胁,是如何进入的,和医生收到的报告书一样,各项指标是什么样的,医生知道你是否生病,疾病是否严重,接下来该怎么办 。

治疗方面有两个环节,一个是抑制,一个是修复,抑制是你招募的,我需要隔离你,修复意味着你要做很多记录,为什么?你要知道黑客是怎么攻击的,它是今天修改了你的注册表?还是埋了启动项去做坏事?只有得到这样的正确信息,才能帮助顾客做出优秀的动作 。

三、XDR解决方案

这个表第一次映入眼帘的是SOAR,2017年Gartner提出的是对接制造商的很多产品,需要自动化 。亚信安全怎么做?让我们看看它构成的三个维度 。例如,我经常听交响乐团,有拉小提琴、弹钢琴的人,重要的是有乐谱,有预先编制的预案,听指挥 。否则,就不能轻易享受演奏了 。

XDR解决方案有专业的排查工具、标准的工作手册、安全响应专业 。

这是目前向客户提供的XDR解决方案,我们的网络同情有网关型检查产品,有邮件安全产品,同情有网关侧安全产品,云主机侧也有产品,云、管、网关产品线比较整齐 。同时,通过威胁区别库识别已知的威胁和未知的威胁,同时还提供运输管理的服务 。EDR的技术和机械学习的技术都强调灰色的检查,但网络安全中没有万能丹,阻止很重要,云管方面的产品线必须有相应的产品来阻止 。因为毫秒级就能解决问题 。

4、现在的实践

刚才介绍了技术和方案,可以看到现在的实践:

实战案例1:10自动截断最新的恐吓病毒变种 。让我们看看这个编辑是怎么编辑的 。首先,DDEI邮件方面的网络管理发现有邮件附件的嫌疑的情况下,根据事先编辑发送给我们的邮件沙箱,用沙箱检测是否受到威胁 。如果是威胁,我们将威胁信息发送给云管设备,形成拦截 。让我们看看这个效果 。这也是众所周知的案例,我们在银行2019年3月11日6点9分DDEI发现了可疑的病毒钓鱼邮件,预先配置后送到沙箱,6点17分5秒完成样品分析,10分钟内数十万台终端更新了当地的威胁信息,有效地阻止了病毒的最新变种 。大家可以看到这个效率在10分钟之内,如果靠人工或者靠原来手工提交给病毒中心去验证,这个周期是超长的 。

实战案例2:重保期间联动封锁攻击IP 。重保期证期间有很多IP攻击,如果我们发现网络设备攻击1亿2千万IP,就会对威胁管理中心的UAP进行相应的分析,分析后会自动给管道侧的网络设备进行相应的阻断 。让我们看看实际效果如何 。某大型银行TDA重新保证期间,每天警告量达到80万人以上,通过UAP平台进行警告的总结和过滤,通过APT接口发送堵塞配置,无需人工干预就进行了相应的处理,大幅度节省了时间 。

实战案例3:重保期间成功检测和追踪零日漏洞攻击 。你为什么被称为威胁?该案例是在EDR模块发现疑似迹象的情况下没有威胁信息的茶 。通过终端可追溯性侧和网络可追溯性侧分析,确定该物是否攻击,如何攻击 。这是2019年6月26日某能源客户EDR设备IOA规则警告,检测到异常过程制作事件,如果有异常怎么办?我们通过威胁信息进行相应的关联,最终形成调查报告,就像医生可以得到检查报告和体检报告一样,通过报告发现这是利用零日的脆弱性进行相应的攻击,当时我们的EDR可以追溯到黑客利用零日的脆弱性进行攻击的全过程 。并且,我们之后确认了零日的脆弱性软件提供商,确实是没有发现的零日的脆弱性 。通过这个案例,我们的解决方案可以帮助用户提前感受到恐吓事件的嫌疑,帮助用户提前阻止恐吓 。

【2019中国金融科技产业峰会丨亚信科技汪晨:威胁可感知、安全可运维】时间关系,在此暂时共享,非常感谢

    推荐阅读