深信服2021年度安全技術(shù)盤點(diǎn)，解決了用戶哪些需求呢？

作者：佚名 2021-12-30 11:58:49

站在幫助解決用戶問題的角度，深信服一次次突破技術(shù)，用硬核的實(shí)力在多個(gè)競(jìng)技與峰會(huì)中披荊斬棘。

親愛的用戶朋友們：

感謝大家在百忙之中來到深信服智安全2021年度技術(shù)匯報(bào)。

在準(zhǔn)備今天的匯報(bào)過程中，我們采訪了幾位老朋友，先來聽他們講講這一年與深信服安全產(chǎn)品發(fā)生的故事……

、

聽了大家的故事，我們很感動(dòng)也很開心。深信服安全產(chǎn)品幫助用戶解決了這么多問題，這也讓我們更有動(dòng)力去持續(xù)迭代技術(shù)能力，持續(xù)完善更簡(jiǎn)單有效的安全產(chǎn)品和服務(wù)，持續(xù)提供更省心可靠的解決方案。

這一年，不知道大家今年都關(guān)心哪些問題呢？都有哪些需求呢？你們應(yīng)該也思考過，這些問題和需求，可以如何通過技術(shù)創(chuàng)新去解決？

是的，你們的問題和需求，我們也在設(shè)身處地研究、思考過，并且給出了答案。

今年，我們統(tǒng)計(jì)了全網(wǎng)Web攻擊來源，發(fā)現(xiàn)80%以上來自于自動(dòng)化威脅。我們和用戶達(dá)成了一個(gè)共識(shí)：傳統(tǒng)邊界防護(hù)在自動(dòng)化威脅面前“脆如薄紙”，依靠現(xiàn)有的規(guī)則、引擎防護(hù)能力，注定只能被動(dòng)挨打，需要研發(fā)主動(dòng)防御的技術(shù)去解決這個(gè)問題。

主動(dòng)防御技術(shù)不基于任何特征、規(guī)則及閾值的方式進(jìn)行防護(hù)，跳出了傳統(tǒng)機(jī)制的局限。

依照攻擊過程來看，事前階段，攻擊者依賴于自動(dòng)化工具，快速收集信息，發(fā)現(xiàn)系統(tǒng)漏洞；事中階段，為了滲透業(yè)務(wù)系統(tǒng)，防止請(qǐng)求被安全設(shè)備攔截，攻擊者會(huì)頻繁更換IP；事后階段，攻擊者會(huì)大量掃描內(nèi)網(wǎng)資產(chǎn)，快速橫向滲透。

對(duì)此，我們的主動(dòng)防御體系采用了三層防護(hù)：人機(jī)主動(dòng)防御、設(shè)備指紋封堵、主動(dòng)誘捕技術(shù)（云蜜罐），針對(duì)攻擊者的事前、事中、事后進(jìn)行全方位打擊，為用戶安全防護(hù)打造層層銅墻鐵壁。

我們的主動(dòng)防御技術(shù)目前已應(yīng)用在Web應(yīng)用防火墻WAF、下一代防火墻AF產(chǎn)品中，覆蓋70%掃描器；其中下一代防火墻AF針對(duì)高級(jí)威脅行為攔截率提升47%，針對(duì)自動(dòng)化攻擊的識(shí)別率高達(dá)80%，改變過去需要人工研判定位的方式，大幅度縮短威脅發(fā)現(xiàn)時(shí)間，幫助用戶提升運(yùn)營(yíng)效率。

2021年，0Day漏洞層出不窮，我們發(fā)現(xiàn)，僅第一季度，74%的惡意文件為首次發(fā)現(xiàn)的0Day文件。針對(duì)近期披露的“史詩級(jí)”漏洞Apache Log4j2，深信服安全云腦數(shù)據(jù)顯示，截至目前利用該漏洞的攻擊已超千萬次，我們成功幫助6000多家用戶阻斷非法入侵，并捕獲Tellmeyoupass、mirai、z0miner、H2miner、BillGates等十幾個(gè)黑產(chǎn)組織。用戶對(duì)高級(jí)威脅檢測(cè)與舉證溯源的需求日益增加，對(duì)此我們不能視而不見。

針對(duì)傳統(tǒng)殺毒引擎無法檢測(cè)的高級(jí)威脅，我們研發(fā)了IoA（Indicator of Attack）高級(jí)威脅檢測(cè)系統(tǒng)。與傳統(tǒng)方法檢測(cè)攻擊工具不同，IoA高級(jí)威脅檢測(cè)系統(tǒng)著重檢測(cè)攻擊的技術(shù)、戰(zhàn)術(shù)和過程，了解攻擊者意圖，在終端上進(jìn)行攻擊階段的縱深檢測(cè)和防御。

攻擊者在終端上不同攻擊階段的全部行為都會(huì)被終端檢測(cè)響應(yīng)平臺(tái)EDR采集記錄，再基于用戶真實(shí)環(huán)境上下文關(guān)聯(lián)，通過上下文聚合分析，檢測(cè)出攻擊事件或潛伏在內(nèi)網(wǎng)的攻擊，并可基于進(jìn)程鏈的形式還原攻擊路徑，幫助用戶可視化展現(xiàn)攻擊事件。

很開心地跟大家分享，深信服IoA高級(jí)威脅檢測(cè)系統(tǒng)從2021年11月開始試點(diǎn)，僅1個(gè)月已在8000+終端部署，檢測(cè)出1起利用Gitlab漏洞真實(shí)完整的惡意攻擊、200+黑灰產(chǎn)攻擊、20+紅隊(duì)攻擊（實(shí)現(xiàn)100%檢出率）。

今年，國(guó)家發(fā)改委重點(diǎn)提及虛擬貨幣挖礦的全鏈條治理工作。年底各級(jí)政府和相關(guān)行業(yè)紛紛響應(yīng)，通報(bào)了多家單位。挖礦行為不僅僅會(huì)導(dǎo)致組織的電腦卡頓、CPU飚滿、運(yùn)維成本暴漲，一些挖礦主機(jī)極有可能會(huì)被植入病毒，導(dǎo)致更嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件等。加密挖礦逐漸成為主流，明文的檢測(cè)規(guī)則已經(jīng)不再適用，我們急需解決用戶對(duì)加密挖礦的檢測(cè)需求。

于是，我們聚焦惡意加密流量的識(shí)別，前期通過跑沙箱樣本、執(zhí)行黑客工具等方式收集大量惡意加密流量，從加密前后的通信特征推演，研發(fā)了一套專門針對(duì)惡意流量的精準(zhǔn)識(shí)別模型。

深信服加密流量識(shí)別的核心算法目前已經(jīng)申請(qǐng)了20+項(xiàng)發(fā)明專利，涉及異常檢測(cè)、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等。

值得注意的是，我們的加密挖礦檢測(cè)有效檢出設(shè)備超過1000+，礦池IP超過50+，涉及多個(gè)挖礦家族（紫狐、雙槍、獨(dú)狼、貪狼等），覆蓋多個(gè)常見幣種（門羅幣、以太坊、奇亞幣等）。

隨著攻防技術(shù)的升級(jí)，黑客的攻擊手法也越來越隱蔽，大量使用加密技術(shù)，將惡意流量隱藏在正常流量中，成功繞過防護(hù)設(shè)備。數(shù)據(jù)顯示，通過 Internet 與遠(yuǎn)程系統(tǒng)通信的惡意軟件中有近一半（46%）使用了 TLS加密通信。然而對(duì)于此類隱藏的高級(jí)威脅，用戶完全無感，極易造成數(shù)據(jù)泄露等重大安全事件。

對(duì)此，我們創(chuàng)新提出了“異常檢測(cè)+主動(dòng)探測(cè)”的未知威脅檢測(cè)。在異常檢測(cè)階段，基于流量特征發(fā)現(xiàn)可疑行為，不放過任何一條蛛絲馬跡，實(shí)現(xiàn)低漏報(bào)、高檢出；而后在主動(dòng)探測(cè)階段，進(jìn)行二次驗(yàn)證，做到零誤報(bào)，保證推送事件的準(zhǔn)確性。

目前這種檢測(cè)技術(shù)已上線態(tài)勢(shì)感知SIP、NDR，以及托管式安全運(yùn)營(yíng)服務(wù)MSS，覆蓋60+用戶，報(bào)送高價(jià)值事件120+起，包括黑客攻擊、違規(guī)操作、攻防演練等多個(gè)場(chǎng)景。

隨著網(wǎng)絡(luò)安全的發(fā)展，用戶不斷增加在安全建設(shè)方面的投入、采購(gòu)大量的安全設(shè)備，但依舊做不好安全運(yùn)營(yíng)，到底是為什么？我們發(fā)現(xiàn)，用戶的不同安全設(shè)備會(huì)產(chǎn)生大量告警，而且運(yùn)營(yíng)人員缺乏豐富處置經(jīng)驗(yàn)，人工處置往往不及時(shí)；同時(shí)，不同廠商的設(shè)備無法聯(lián)動(dòng)，也給用戶帶來無法及時(shí)處置的工作負(fù)擔(dān)，導(dǎo)致運(yùn)營(yíng)成本不斷增加，用戶深受困擾。

由此，我們構(gòu)建了深信服安全產(chǎn)品聯(lián)動(dòng)能力體系，通過SOAR安全編排與自動(dòng)化響應(yīng)，使安全建設(shè)向“智能化、自動(dòng)化、動(dòng)態(tài)化”能力提升，實(shí)現(xiàn)“自動(dòng)響應(yīng)閉環(huán)，持續(xù)安全運(yùn)營(yíng)”。

到現(xiàn)在，我們的SOAR安全編排與自動(dòng)化響應(yīng)能力已在30+種子用戶得到驗(yàn)證，其中已將一家金融客戶的安全運(yùn)營(yíng)響應(yīng)處置標(biāo)準(zhǔn)化流程落地到SOAR的劇本中，測(cè)試通過9個(gè)場(chǎng)景化劇本。

安全問題變幻莫測(cè)、層出不窮，如何高效檢測(cè)、響應(yīng)和處置？基于人工智能和機(jī)器學(xué)習(xí)的飛速發(fā)展，我們充分利用AI的泛化和學(xué)習(xí)能力去應(yīng)對(duì)安全攻擊的變化，在AI賦能安全方面取得了明顯的突破，例如AISecOps多源日志分析系統(tǒng)、AI數(shù)字資產(chǎn)監(jiān)控、加密WebShell通信等。

截止2021年底，深信服托管式安全運(yùn)營(yíng)服務(wù)MSS在各行各業(yè)在線用戶數(shù)超1000家。僅從數(shù)據(jù)我們就可以看到，所有用戶每天產(chǎn)生幾億條安全日志，平均每個(gè)用戶每天需要面對(duì)約35萬條安全日志。

對(duì)此，我們研發(fā)了一套先進(jìn)的多源日志分析系統(tǒng)，從MSS云端上海量的安全日志中，高效、自動(dòng)化地挖掘出高價(jià)值的安全事件，幫助用戶快速處置威脅，優(yōu)化用戶的安全服務(wù)體驗(yàn)。

除了多源日志分析系統(tǒng)，我們還融合數(shù)字風(fēng)險(xiǎn)防護(hù)（DRP）理念，推出AI數(shù)字資產(chǎn)監(jiān)控。

通過廣泛采集互聯(lián)網(wǎng)空間數(shù)據(jù)并結(jié)合深信服自有的威脅情報(bào)數(shù)據(jù)，運(yùn)用AI和大數(shù)據(jù)技術(shù)，采用多種智能化內(nèi)容發(fā)現(xiàn)和分析算法，從海量多源異構(gòu)數(shù)據(jù)中，快速準(zhǔn)確地幫助用戶發(fā)現(xiàn)和處置數(shù)據(jù)泄露、品牌仿冒、資產(chǎn)失陷等外部風(fēng)險(xiǎn)，幫助用戶提升安全運(yùn)營(yíng)效率。

大家都意識(shí)到，隨著企業(yè)數(shù)字轉(zhuǎn)型、業(yè)務(wù)云化、移動(dòng)辦公興起，應(yīng)用程序、數(shù)據(jù)和用戶的位置分布都在悄然改變。用戶原來基于本地?cái)?shù)據(jù)中心的業(yè)務(wù)訪問和防護(hù)方案，無法適配業(yè)務(wù)云化、SaaS化之后帶來的安全問題。

我們提出“在云端構(gòu)建安全防護(hù)體系”的思路，并通過“云化交付安全”模式的云原生SASE服務(wù)（云安全訪問服務(wù)），幫助用戶在云上構(gòu)建一個(gè)新的安全邊界。通過將現(xiàn)有最新的安全能力聚集在云上交付，如下一代防火墻、上網(wǎng)行為管理、終端檢測(cè)與響應(yīng)、零信任安全接入等，SASE能夠?qū)崿F(xiàn)安全能力的實(shí)時(shí)更新、彈性擴(kuò)展，大大降低安全建設(shè)成本，讓用戶有更多的時(shí)間和精力投入到業(yè)務(wù)創(chuàng)新中。