1、360网神天眼产品,CONTENTS / 目录,PART / 01,集团介绍,PART / 02,场景问题,PART / 03,功能价值,PART / 04,优势特点,PART / 05,形态部署,成功案例,PART / 06,PART / 01,集团介绍,360公司的创立与发展,1,2005-公司成立,2006-,2009-,2012-二次创业,搜索引擎、智能硬件、智能手机、企业安全,2016-业务重组,品牌、专利、数据,个人业务 互联网模式,政企业务 产品+服务模式,共享,360科技集团,360企业安全集团,全球唯一一家脱胎于互联网公司的专业安全公司,360 企业安全集团以“数据驱动安全”
2、的创新方法论为依托,建立了大数据时代的协同联动防御体系,全方位提升中国政企客户的安全防护能力和水平,与全社会一起构建安全命运共同体。,全方位保护政企级网络安全,PART / 02,场景问题,高级持续定向攻击,各类高级威胁的危害: 窃密机密、隐私泄露、关键设施破坏、敲诈勒索,APT攻击事件:摩诃草事件、蔓灵花行动 僵尸网络类、后门、间谍软件 窃密木马、勒索病毒 服务器高级漏洞攻击类,当前安全威胁处置的困局,检测 传统的检测手段使用基于签名的技术无法检测高级威胁 基于签名的检测会产生大量无用告警影响对于入侵攻击的判断 响应 发现威胁后,缺少有效的联动防御机制予以响应 缺少专业的安全人员提供针对安全
3、事件进行快速的调查分析与应急响应 溯源 缺少原始网络行为日志和原始主机行为日志,不利于安全溯源分析 海量日志存储和快速检索技术难度大 缺乏高价值的威胁情报,无法有效发现定向攻击并对网络攻击进行有效的背景分析,国家政策要求,等保2.0的网络安全等级保护基本要求 第1部分:安全通用要求的第七章“第三级安全要求”中明确提出了要具有检测和分析未知的新型网络攻击的技术措施。,网络安全等级保护测评要求 第1部分:安全通用要求中也明确提出了在等保三级评测时测评对象需具有抗APT攻击设备,PART / 03,功能价值,天眼TSS新一代威胁感知系统,天眼TSS定位:为客户提供针对网络高级威胁的检测、响应、溯源的
4、一体化解决方案。,APT,特种木马类,高级漏洞攻击类,可以通过特征检测的威胁,高级威胁,已知威胁,天眼检测能力,威胁金字塔,数据中心环境,办公网环境,天眼的检测能力,进入 网络,漏洞 利用,安装恶意软件,远程 通信,横向渗透/泄密,传感器捕获行为,传感器捕获行为,分析平台根据威胁情报发现,天擎捕获行为,传感器根据特征发现,文件威胁鉴定可以发现问题,传感器根据特征发现,威胁生命周期,天眼数据采集,天眼威胁检测,传感器多种引擎可以检测的入侵,传感器可以检测PHP脚本,覆盖威胁的全生命周期的本地检测能力,天眼功能介绍,响应,天眼体系架构,传感器1,传感器2,天擎终端,数据引擎,威胁感知系统,日志检索
5、,云端 威胁情报,分析平台,天擎,文件威胁鉴定器,流量传感器,静态检测,沙箱,数据引擎,分析平台扩展,域名解析 TCP/UDP流量 Web访问 文件传输 LDAP行为 登录动作 邮件行为 数据库操作 SSL加密协商,U盘日志 邮件日志 IM文件传输 进程网络行为 进程DNS,传感器n,威胁情报,威胁情报(Threat Intelligence)是一种基于证据的描述威胁的一组关联的信息,包括威胁相关的环境信息、采用的手法机制、指标、影响,以及行动建议等。与传统的单点的病毒或信誉等信息不同,这一系列对于攻击威胁的信息,可以让我们了解高级威胁的全貌,并可以被抽象成可机读威胁情报(MRTI),用来进行
6、应对决策,并对威胁进行响应。,发现高级网络攻击: 海莲花 摩诃草事件 蔓灵花行动 WannaCry勒索,分析平台,流量传感器,协议分析,检测引擎,流量采集,检测结果,文件威胁鉴定器,恶意行为分析,恶意文件,高危,中危,低危,高危事件,可疑事件,疑似事件,多种不同引擎,多维度检测威胁 已知检测与未知检测相互补充 静态检测与动态监测相辅相成 准确的评分机制降低误报与漏报,静态检测引擎,动态检测引擎,恶意代码检测 文件格式检测 启发式检测 人工智能引擎检测 云查检测,虚拟执行检测文件,价值,满足新等保的合规要求 提升用户对高级威胁发现能力 帮助安全团队提升重大安全事件的应急响应能力 提高安全事件的溯
7、源能力,PART / 04,优势特点,优势1国内首屈一指的威胁情报平台,每天从900万个新增样本、300万新增域名、上亿恶意URL,以及结合多方社区、组织、第三方报告等资源,进行情报搜集和挖掘,每天形成超过百份的威胁及漏洞情报,通过在线或离线方式推送到客户侧的产品、服务、平台,以及与第三方安全组织进行情报交换共享。,优势2精准的高级威胁发现能力,文件威胁鉴定器,优势3海量数据的运算和检索能力,ES,ES,高性能 为更广泛的监控能力提供支撑 为快速的响应分析提供保障 为更加复杂的分析提供可能 为不断发展的业务提供未来 高可用 不因为技术复杂而增加使用复杂度 不因为性能高而不考虑可扩展性 不因为技
8、术新而不考虑可靠性,mysql,360天眼,优势4完整的事件溯源能力,威胁生命周期,天眼数据采集,发现问题,回溯路径,回溯路径,天眼强大的数据采集能力可以保证在攻击链条任何一个地方发现威胁后,都可以完整回溯整个攻击发生全过程,PART / 05,形态部署,天眼典型部署,360云端大数据平台 威胁情报中心,威胁情报,终端日志,天眼 分析平台,天眼文件威胁鉴定,天眼 采集器,流量日志,样本日志,全面的采集网络及主机日志,完整还原文件并进行深度分析,引入360强大的威胁情报,通过轻量化的大数据平台分析威胁,准确的威胁检测告警,天眼组合方案,高级威胁检测方案,1.检测发现传统防护手段漏过的未知威胁 2
9、.有效发现未知恶意文件 3.对企业内的海量数据进行安全分析 4.对企业内已发现的问题进行攻击回溯,天眼传感器 天眼分析平台 天眼文件威胁鉴定器(可选),文件威胁检测方案,天眼传感器 天眼文件威胁鉴定器(可选),1.检测发现传统防护手段漏过的未知威胁 2.有效发现未知恶意文件,组件,方案说明,PART / 06,成功案例,天眼行业成功案例之能源/央企篇,国内某能源行业的巨头企业,通过部署360天眼新一代威胁感知系统采集全流量数据以及威胁情报,并结合360安全服务人员基于攻防思路构建的分析模型,为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务,提升了发现和防御未知威胁的能力。,需求,高级威胁自动化检测需求 安全问题追踪溯源需求 重大安全事件的响应和处置需求,解决方案,价值,解决APT检测难的问题 提升对于攻击者分析的视野和维度 解决安全事件难溯源的问题 提升应对高级威胁事件处置的综合能力,背景,典型用户,THANKS,,
