腾讯安全湖全流量解决方案
AI智能总结
腾讯安全湖全流量解决方案 腾讯安全运营中心总监齐恒主讲人: 网络安全实战攻防对抗下面临的新挑战 海量的数据规模、快速的数据流转、复杂多样的数据类型导致“安全数据价值难以发挥” 快速增长的数据规模 信息分散安全状况不可见 结构复杂数据分析难度大 持续增加的存储成本 网络安全实战攻防对抗下面临的新挑战 钓鱼攻击、0day漏洞、无文件攻击等攻击手段屡见不鲜,但仍然是最难以防御的攻击手段 每日爆出漏洞10+ 攻击手段种类20+ 关键漏洞平均修复时间6个月 攻击工具更新速度高频化 漏洞利用工具自动化 已知正在利用漏洞610+ 社工钓鱼攻击事件Phishing Attack 漏洞利用攻击事件Exploit vulnerability 供应链攻击Supply Chain Attack 2021年12月,某知名漏洞(CVE-2021-xxxxx)被发现,其严重危害影响至今。该漏洞允许攻击者通过特制的信息执行任意代码,且由于攻击特征的多样性和复杂性,检测和防御这种攻击变得非常困难。几乎所有使用该库的系统都可能受到影响。这也影响了大量的企业级用户 2020年,黑客入侵了国际某知名软件公司的开发环境,在合法更新包中植入了恶意代码,并成功入侵了多个更新此软件的企业公司。2023年,供应链攻击变成攻防演练活动中的加分项,可预见的是供应链攻击将变得愈发常见,如何轻量化的解决供应链的安全问题,成为了防守方需要重点关注的课题 经过多年发展,网络钓鱼已成为最常见、也最容易得逞的攻击手段之一。 随着网络技术的不断发展,钓鱼攻击的伪装手段也变得愈发狡诈,攻击频次不断提升,各种新奇的攻击方式层出不穷。 这对企业组织的业务安全开展和防护工作带来了巨大的风险。 如何更好的应对常态化网络安全攻防对抗? 腾讯安全湖全流量解决方案 腾讯安全湖全流量解决方案 腾讯安全湖结合全流量数据,可进行情报检测、漏洞检测,排查失陷和入侵风险;支持180天以上的全流量分析、调查取证、回溯和可视化。 腾讯安全湖全流量方案能力:NDR网络威胁检测与响应 NDR通过结合专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器等技术,对流量进行协议解析、文件还原和全量信息存储,发现恶意攻击和潜在威胁,对攻击事件进行分析、溯源和阻断。 通过专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器等技术,对流量进行协议解析、文件还原和全量信息存储,发现恶意攻击和潜在威胁,对攻击事件进行分析、溯源和阻断。 帮助企业建立网络防线,发现网络威胁、快速响应安全事件。 腾讯安全湖全流量方案能力:安全湖 腾讯基于云原生技术打造的高性能、低成本、纯自研、全栈国产化的PB级安全大数据分析平台,为安全数据分析提供高性能+一体化智能分析引擎 ◼安全数据规模:弹性扩容,近乎无限的存储量◼数据使用成本:成本降低,尽量减少成本损耗◼原始数据分析:回溯分析,可长周期数据查询◼数据分析效率:效率提升,极致提升查询效率 解决数据存储和使用成本问题,提高数据查询速度具备180天以上对原始数据的事件调查和威胁狩猎实现安全智能化转型 腾讯安全湖全流量解决方案架构 安全湖集成NDR网络流量数据,扩展流量检测能力并支持长周期的全流量数据存储与深度分析回溯 腾讯安全湖全流量核心价值 腾讯安全湖全流量解决方案核心价值一:全流量存储与分析 分析 “简易检索快速全文查询” “PB级海量数据秒级分析” 腾讯安全湖全流量解决方案核心价值二:长周期的威胁情报回溯 场景介绍:将每日新增情报进行全流量历史数据回溯,发现情报命中的风险问题 新增:自动化威胁回扫任务 威胁情报回扫 1内置腾讯威胁情报,实时更新最新高精准威胁情报 2API查询、Stix2、CSV等格式可对接第三方情报 3提取情报中的IOC和TTPs,形成自动化回扫任务 回扫3个月以上全量历史数据,产生对应报告 5根据命中的情报信息,进行情报扩线和威胁狩猎 腾讯安全湖全流量解决方案核心价值三:0day/1day漏洞应急处置 场景介绍:对突发的0day/1day信息回扫全流量历史数据,发现漏洞利用的历史情况并及时响应 0day/1day漏洞应急处置 1内置腾讯漏洞规则,获取漏洞信息 2NDR对网络攻击的payload全量提取 3安全湖对全流量数据存储和会话还原 40day/1day漏洞利用的攻击识别和响应 腾讯安全湖全流量解决方案核心价值四:基于全流量数据快速构建更多的安全场景 案例:某大型物流企业-PB级全流量数据存储与分析 背景概述: 该物流企业对互联网出口、外网业务区域(DMZ)的流量进行深度分析,平均流量7.4Gbps,每天新增的全流量原始数据为1.3TB/天。由于数据量较大,在全流量数据存储与分析方向待提升的内容: •每日产生大量安全原始数据,且数据规模不断增长,占用较多存储资源,亟需降低全流量数据存储成本•降低全流量数据检索和分析难度,实现对海量全流量数据的简易检索,以满足对全流量数据的灵活检索•提升全流量数据检索和分析效率,实现对海量全流量数据的快速检索,以满足对全流量数据的分析效率 方案效果: •安全湖对全流量数据的压缩比达到40倍,压缩后的数据存储量为原始数据的4%,通过三节点服务器可承载180天全流量数据 •安全湖对全流量数据的查询实现简易检索,仅需3个步骤的极简搜索操作,可针对设置的关键字进行全流量数据的模糊搜索•安全湖对长周期全流量数据可实现秒级查询,查询30天内流量日志,可秒级对网络攻击流量特征查询和取证 案例:某大型金融单位-全流量数据威胁回溯 背景概述: 重点关注APT潜伏攻击和新发现的0day/1day漏洞利用攻击,需要对全流量数据进行180天以上的长周期历史数据威胁回溯,在全流量数据威胁回溯方向待提升的内容: •利用多源威胁情报,提取威胁情报相关的IOC,对全流量数据进行情报回溯排查网络攻击隐患•根据新发现的0day/1day漏洞信息,根据漏洞攻击特征,对全流量数据进行漏洞回溯及时对漏洞进行应急响应和风险排查•充分发挥长周期历史数据价值,基于全流量数据梳理API接口、IP互访关系、数据传输记录等 方案效果: •自动化情报回扫,通过自动化情报回扫任务,针对威胁情报对应的IP、域名、文件hash等回扫全流量数据,发现近30天内209条APT入侵痕迹; •0day/1day漏洞响应,通过内置的漏洞规则,针对热点漏洞、突发漏洞、必修漏洞等查找漏洞攻击痕迹,发现3个通用组件漏洞攻击成功的特征;•业务全流量画像与行为监控,通过可视化BI能力,基于全流量数据直观的呈现100+应用访问情况,比如远程办公系统、互联网缴费系统;
