7月25日,2019網(wǎng)絡安全分析與情報大會在北京舉辦�����,作為中國威脅情報領(lǐng)域規(guī)模最大的的行業(yè)盛會����,大會吸引了來自政府機關(guān)、金融����、互聯(lián)網(wǎng)、安全等各個領(lǐng)域的一線安全專家�����,分享企業(yè)信息安全和威脅分析研究成果和落地實戰(zhàn)案例����。
7月25日,2019網(wǎng)絡安全分析與情報大會在北京舉辦����,作為中國威脅情報領(lǐng)域規(guī)模最大的的行業(yè)盛會�,大會吸引了來自政府機關(guān)�����、金融�����、互聯(lián)網(wǎng)��、安全等各個領(lǐng)域的一線安全專家��,分享企業(yè)信息安全和威脅分析研究成果和落地實戰(zhàn)案例�。金山云安全負責人孟偉受邀出席,發(fā)表了《情報的協(xié)同應用及情報使用的創(chuàng)新方法》的主題演講����。
金山云安全負責人孟偉在大會上發(fā)表演講
在演講中,孟偉表示�����,云環(huán)境下���,用戶業(yè)務形態(tài)愈發(fā)多樣化��,造成攻擊的形式也更加多元化�����,傳統(tǒng)的規(guī)則匹配��、統(tǒng)計分析及機器學習的方式已經(jīng)越來越難適應新時期業(yè)務需要����,金山云通過將威脅情報能力集成到現(xiàn)有的安全產(chǎn)品(高防����、WAF、主機安全�����、威脅感知等)中�����,與現(xiàn)有的檢測防御機制協(xié)同工作�,消除誤報,從而盡可能降低漏報����、減少安全的運營成本���,為用戶提供更加高效、精確的安全防護���。
情報協(xié)同來高效保障云平臺安全
隨著信息技術(shù)的高速發(fā)展����,業(yè)務上云已經(jīng)成為產(chǎn)業(yè)發(fā)展的必然趨勢�,與此同時,業(yè)務威脅���、網(wǎng)絡攻擊和數(shù)據(jù)泄露等安全事件��,對企業(yè)安全能力提出了更加嚴峻的挑戰(zhàn)���。高效利用多維度情報信息,構(gòu)建更加穩(wěn)固的安全能力��,成為新時期安全能力的提升方向�����。在利用情報保障云平臺安全的產(chǎn)業(yè)實踐上,孟偉分別從入侵檢測���、風控���、DDoS防護三個維度進行介紹。
在利用情報進行入侵檢測方面��,“傳統(tǒng)的入侵檢測方式是將收集到的數(shù)據(jù)經(jīng)過規(guī)則匹配����、統(tǒng)計分析,甚至是機器學習的方式來檢測是否被入侵,
這種方式策略太嚴格漏報會增多�����,策略寬松誤報會很多����,”孟偉講到��,“金山云通過將經(jīng)檢測后的數(shù)據(jù)��,再進行一次情報查詢,能夠大幅提升報警準確率���,同時可以聯(lián)動資產(chǎn)系統(tǒng)自動給資產(chǎn)負責人告警�����?!?/p>
在利用情報進行風控方面�����,面對一些利用云計算資源進行灰黑產(chǎn)等行為���,通過將風控系統(tǒng)與Passport進行聯(lián)動�����,Passport將用戶注冊信息的如源IP�、用戶名統(tǒng)一進行威脅識別后返回風險級別����,根據(jù)不同的風險級別來做不同的舉措,從而實現(xiàn)風控效率的最大化�。
在利用情報做針對CDN節(jié)點的DDoS防護方面���,傳統(tǒng)的做法是采用二分法的方式,需要多次調(diào)度����,效率較低;通過結(jié)合情報信息,分析7層請求日志�,對來源IP用情報判斷,優(yōu)先調(diào)度���、二分法調(diào)度同時進行��,極大地降低了調(diào)度次數(shù)�,提升業(yè)務敏捷性���。
綜合情報信息構(gòu)建立體化云安全體系
云安全作為一套復雜的系統(tǒng)����,威脅情報在其中提供了一項非常有價值的判斷維度����,讓之前需要投入大量資源或者無法有效解決的場景�,實現(xiàn)在輕資源投入的情況下達成業(yè)務目標。在保障業(yè)務安全上,金山云通過將情報集成到WAF��、云主機等產(chǎn)品中��,為云上用戶輸出安全能力���,提前發(fā)現(xiàn)合規(guī)風險��。
在WAF方面���,面向惡意網(wǎng)絡攻擊,金山云通過將WAF聯(lián)動情報API����,對來源IP進行風險判斷,依據(jù)風險大小來直接阻斷來源IP或者限制對某個具體URL的訪問�,根據(jù)客戶運營反饋的誤殺率調(diào)節(jié)阻斷的風險值,多次調(diào)節(jié)后��,實現(xiàn)服務恢復正常并且誤殺率處于可接受范圍�����。
在主機安全方面�����,通過將netstat的遠端地址用情報庫來判斷是否為遠控地址,講變更文件的hash值采集上來利用情報判斷是否正常文件被替換成了惡意文件等措施���,大幅降低了誤報率���,提高了報警的準確率。
此外���,面向日益嚴峻的合規(guī)性問題�����,妥善利用情報����,能夠盡早發(fā)現(xiàn)合規(guī)風險�����。對于發(fā)垃圾郵件被封�、爬蟲業(yè)務被封����、接入未備案域名被封等風險問題�,通過將情報作為重要維度來識別云上用戶的業(yè)務是否合法合規(guī)��,提前預防����,保障云上資源的純凈性。
“威脅情報只是給我們提供了一個判斷的維度��,怎么在復雜的場景中將情報利用起來��,通過技術(shù)分析對業(yè)務風險進行識別��,讓情報成為我們做出決策的依據(jù)�����,這才是最終目的���,”孟偉講到�����,“通過綜合運用情報資源���,將業(yè)務場景與情報進行有機結(jié)合�,讓情報為業(yè)務所用�����,可以實現(xiàn)事半功倍的效果����。”
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺��。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無意�。如您是字體廠商、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們����,本站核實后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟賠償����!敬請諒解!
粵公網(wǎng)安備 44030402000264號