7月25日�,2019網(wǎng)絡(luò)安全分析與情報大會在北京舉辦����,作為中國威脅情報領(lǐng)域規(guī)模最大的的行業(yè)盛會�����,大會吸引了來自政府機關(guān)、金融��、互聯(lián)網(wǎng)�����、安全等各個領(lǐng)域的一線安全專家����,分享企業(yè)信息安全和威脅分析研究成果和落地實戰(zhàn)案例。
7月25日����,2019網(wǎng)絡(luò)安全分析與情報大會在北京舉辦���,作為中國威脅情報領(lǐng)域規(guī)模最大的的行業(yè)盛會,大會吸引了來自政府機關(guān)�����、金融���、互聯(lián)網(wǎng)、安全等各個領(lǐng)域的一線安全專家��,分享企業(yè)信息安全和威脅分析研究成果和落地實戰(zhàn)案例�����。金山云安全負責(zé)人孟偉受邀出席����,發(fā)表了《情報的協(xié)同應(yīng)用及情報使用的創(chuàng)新方法》的主題演講。
金山云安全負責(zé)人孟偉在大會上發(fā)表演講
在演講中���,孟偉表示����,云環(huán)境下,用戶業(yè)務(wù)形態(tài)愈發(fā)多樣化��,造成攻擊的形式也更加多元化���,傳統(tǒng)的規(guī)則匹配�����、統(tǒng)計分析及機器學(xué)習(xí)的方式已經(jīng)越來越難適應(yīng)新時期業(yè)務(wù)需要�����,金山云通過將威脅情報能力集成到現(xiàn)有的安全產(chǎn)品(高防����、WAF�、主機安全、威脅感知等)中���,與現(xiàn)有的檢測防御機制協(xié)同工作���,消除誤報,從而盡可能降低漏報、減少安全的運營成本���,為用戶提供更加高效�����、精確的安全防護��。
情報協(xié)同來高效保障云平臺安全
隨著信息技術(shù)的高速發(fā)展�,業(yè)務(wù)上云已經(jīng)成為產(chǎn)業(yè)發(fā)展的必然趨勢��,與此同時�,業(yè)務(wù)威脅、網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等安全事件�����,對企業(yè)安全能力提出了更加嚴(yán)峻的挑戰(zhàn)����。高效利用多維度情報信息��,構(gòu)建更加穩(wěn)固的安全能力�,成為新時期安全能力的提升方向。在利用情報保障云平臺安全的產(chǎn)業(yè)實踐上,孟偉分別從入侵檢測���、風(fēng)控�����、DDoS防護三個維度進行介紹��。
在利用情報進行入侵檢測方面���,“傳統(tǒng)的入侵檢測方式是將收集到的數(shù)據(jù)經(jīng)過規(guī)則匹配、統(tǒng)計分析����,甚至是機器學(xué)習(xí)的方式來檢測是否被入侵,
這種方式策略太嚴(yán)格漏報會增多,策略寬松誤報會很多�,”孟偉講到,“金山云通過將經(jīng)檢測后的數(shù)據(jù)�����,再進行一次情報查詢�,能夠大幅提升報警準(zhǔn)確率,同時可以聯(lián)動資產(chǎn)系統(tǒng)自動給資產(chǎn)負責(zé)人告警�����。”
在利用情報進行風(fēng)控方面�����,面對一些利用云計算資源進行灰黑產(chǎn)等行為�,通過將風(fēng)控系統(tǒng)與Passport進行聯(lián)動,Passport將用戶注冊信息的如源IP���、用戶名統(tǒng)一進行威脅識別后返回風(fēng)險級別���,根據(jù)不同的風(fēng)險級別來做不同的舉措,從而實現(xiàn)風(fēng)控效率的最大化�����。
在利用情報做針對CDN節(jié)點的DDoS防護方面����,傳統(tǒng)的做法是采用二分法的方式�����,需要多次調(diào)度,效率較低;通過結(jié)合情報信息����,分析7層請求日志,對來源IP用情報判斷�����,優(yōu)先調(diào)度�、二分法調(diào)度同時進行,極大地降低了調(diào)度次數(shù)��,提升業(yè)務(wù)敏捷性�����。
綜合情報信息構(gòu)建立體化云安全體系
云安全作為一套復(fù)雜的系統(tǒng)�����,威脅情報在其中提供了一項非常有價值的判斷維度�����,讓之前需要投入大量資源或者無法有效解決的場景�,實現(xiàn)在輕資源投入的情況下達成業(yè)務(wù)目標(biāo)����。在保障業(yè)務(wù)安全上����,金山云通過將情報集成到WAF、云主機等產(chǎn)品中�,為云上用戶輸出安全能力,提前發(fā)現(xiàn)合規(guī)風(fēng)險�。
在WAF方面,面向惡意網(wǎng)絡(luò)攻擊��,金山云通過將WAF聯(lián)動情報API���,對來源IP進行風(fēng)險判斷����,依據(jù)風(fēng)險大小來直接阻斷來源IP或者限制對某個具體URL的訪問���,根據(jù)客戶運營反饋的誤殺率調(diào)節(jié)阻斷的風(fēng)險值����,多次調(diào)節(jié)后�,實現(xiàn)服務(wù)恢復(fù)正常并且誤殺率處于可接受范圍。
在主機安全方面�,通過將netstat的遠端地址用情報庫來判斷是否為遠控地址,講變更文件的hash值采集上來利用情報判斷是否正常文件被替換成了惡意文件等措施����,大幅降低了誤報率,提高了報警的準(zhǔn)確率���。
此外���,面向日益嚴(yán)峻的合規(guī)性問題,妥善利用情報���,能夠盡早發(fā)現(xiàn)合規(guī)風(fēng)險��。對于發(fā)垃圾郵件被封���、爬蟲業(yè)務(wù)被封、接入未備案域名被封等風(fēng)險問題���,通過將情報作為重要維度來識別云上用戶的業(yè)務(wù)是否合法合規(guī)�����,提前預(yù)防�,保障云上資源的純凈性。
“威脅情報只是給我們提供了一個判斷的維度���,怎么在復(fù)雜的場景中將情報利用起來���,通過技術(shù)分析對業(yè)務(wù)風(fēng)險進行識別,讓情報成為我們做出決策的依據(jù)��,這才是最終目的��,”孟偉講到�,“通過綜合運用情報資源,將業(yè)務(wù)場景與情報進行有機結(jié)合����,讓情報為業(yè)務(wù)所用,可以實現(xiàn)事半功倍的效果���?����!?/p>
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺��。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無意�。如您是字體廠商���、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材�����,請聯(lián)系我們���,本站核實后將立即刪除�!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟賠償!敬請諒解�!
粵公網(wǎng)安備 44030402000264號