網(wǎng)絡(luò)安全產(chǎn)品價(jià)值的重定義-探索基于防御動(dòng)作框架的關(guān)鍵安全能力拆解與整合

突破“賽道”的禁錮網(wǎng)絡(luò)安全產(chǎn)品價(jià)值的重定義——探索基于防御動(dòng)作框架的關(guān)鍵安全能力拆解與整合威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗CONTENTS從安天自己的“產(chǎn)品矩陣”說起從安全產(chǎn)品演進(jìn)看“賽道”是怎從威脅框架改善產(chǎn)品能力的視角看對(duì)傳統(tǒng)賽道的突破從現(xiàn)有網(wǎng)絡(luò)安全框架看對(duì)安全產(chǎn)從關(guān)鍵安全能力視角重新梳理能威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗從安天自己的“標(biāo)品矩陣”Page4威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page5威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page6威脅框架：細(xì)粒度對(duì)抗Page7威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有有威脅框架TTPs有有有有有細(xì)粒度防御》?郵件作為常見的攻擊入口，需要在多個(gè)環(huán)節(jié)進(jìn)行對(duì)抗，?產(chǎn)品需要強(qiáng)有力的共性內(nèi)核和運(yùn)營支持《威脅情報(bào)和檢測引擎結(jié)合,有效提升安全防護(hù)能力》?欺騙防御不在是蜜罐產(chǎn)品的專利，而正在成為一種普遍性的產(chǎn)品特性，參見報(bào)告《從蜜Page9威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗?我們還應(yīng)該用“賽道”衡量安全產(chǎn)品么？Page10威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗從安全產(chǎn)品演進(jìn)看“賽道”是怎樣形成的I從Gartner技術(shù)成熟度曲線看安全產(chǎn)品賽道現(xiàn)狀Page12威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page13 安全產(chǎn)品和其他產(chǎn)品的關(guān)鍵特性。帶有確保產(chǎn)品達(dá)到底線要求的導(dǎo)向，通常是導(dǎo)致 安全產(chǎn)品和其他產(chǎn)品的關(guān)鍵特性。帶有確保產(chǎn)品達(dá)到底線要求的導(dǎo)向，通常是導(dǎo)致產(chǎn)為保護(hù)對(duì)象、以信息化設(shè)施為運(yùn)行載體、也是信息化創(chuàng)新技術(shù)的優(yōu)先應(yīng)用場景。這是網(wǎng)絡(luò)安全威脅框架：細(xì)粒度對(duì)抗Page14威脅框架：細(xì)粒度對(duì)抗Page15Page15IT場景變化驅(qū)動(dòng)：新的風(fēng)險(xiǎn)機(jī)會(huì)帶來的影響威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page16IT場景變化驅(qū)動(dòng)：算力、帶寬和復(fù)雜度同步增長操作系統(tǒng)具體年份CPU主頻CPU位數(shù)制造工藝具體年份針腳單條容量運(yùn)行頻率具體年份代碼行數(shù)4.77MHz-8MHZWin1.0Win2.00.6微米-1微米0.6微米Win3.0220萬Win4.0450萬0.35微米750萬Win95450MHz-1.4GMHz950萬Win98微米.65納米400MHzWin2000WinXP4000萬2.8GHz-3.2GHzWin7第二代處理器（Sandy2.4GHz-3.8GHz2.6GHz-3.9GHzWin82.8GHz-4.0GHz4G、8G、16第五代處理器（Broadwell架Win102.8GHz-4.0GHz第七代處理器（KabyLake、第八代處理器（CoffeeLake2.8GHz-4.0GHz 算力、帶寬等資源提升同時(shí)提升了攻防雙方的系統(tǒng)復(fù)雜為攻擊帶來更多的窗口和機(jī)會(huì)?安天的工程師在這里只列舉了惡意代碼的加載操作系統(tǒng)的代碼不只必然帶來更多的漏洞攻擊來了大量可以被非法利用的“合法”入口。而可用性和可靠性。?信息化建設(shè)是由大量的充滿了“不確定性”和“隱形質(zhì)量”的復(fù)雜端點(diǎn)系統(tǒng)和連接關(guān)系組成Page17威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page1800002015-2018惡意代碼的變種總量統(tǒng)計(jì)2015-2018惡意代碼的變種總量統(tǒng)計(jì) 分類分類/日期0 Page19威脅驅(qū)動(dòng)：載荷的復(fù)雜度帶來的影響Windows平臺(tái)無無無無短無無無I威脅驅(qū)動(dòng)：威脅的高級(jí)化帶來的影響 Page20威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page21安全產(chǎn)品的演進(jìn)：差異化、重定義帶來的驅(qū)動(dòng)廠商N(yùn)etscreenFortinetPaloaltoNetworkFireeye創(chuàng)建時(shí)間核心概念核心概念提出時(shí)間核心技術(shù)方法合基于多核體制和專有實(shí)別別核心軟肋線I場景環(huán)境約束與變化對(duì)技術(shù)路徑的影響別別核心軟肋線以黑名單為起點(diǎn)是反病毒技術(shù)的唯一可行選擇測結(jié)合階段數(shù)量接近Page22威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗賽道分支的形成：技術(shù)積累差異驅(qū)動(dòng)(以EDRvsEPP為例)威脅框架：細(xì)粒度對(duì)抗Page23威脅框架：細(xì)粒度對(duì)抗I雨傘專利對(duì)技術(shù)路線選擇的影響威脅框架：細(xì)粒度對(duì)抗Page24?關(guān)于安全產(chǎn)品的要素規(guī)律特點(diǎn)，還有很多沒有總結(jié)。?現(xiàn)有的產(chǎn)品賽道產(chǎn)生是場景變遷演化、威脅演進(jìn)驅(qū)動(dòng)、商業(yè)競爭等要素的綜合結(jié)果，有其起點(diǎn)的合理性，但并不代表其可以成為禁錮創(chuàng)新和業(yè)務(wù)價(jià)值達(dá)成的“藩籬”。?網(wǎng)絡(luò)安全產(chǎn)品需要更要的在客戶場景下對(duì)抗威脅而，創(chuàng)造有效安全價(jià)值，這是一個(gè)“初心”。?那么，我們又能從威脅對(duì)抗上帶來哪些啟示？Page25威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗從威脅框架改善產(chǎn)品能力的Page27威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page28 安天資產(chǎn)安全運(yùn)維平臺(tái)可以削弱的攻擊Page29威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗基于端點(diǎn)側(cè)部署的安天智甲終端防御系統(tǒng)的檢測?通過兩者的對(duì)比，可見大部分攻擊動(dòng)作是基于系統(tǒng)實(shí)施和完成的。?同時(shí)各種安全能力環(huán)節(jié)有不同的價(jià)值和互補(bǔ)作用?；诹髁總?cè)部署的安天探海威脅監(jiān)測系統(tǒng)的可輸出的攻擊Page30威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗?通過這一對(duì)比，可以看到蜜罐和沙箱雖然?部分同構(gòu)，但兩者依然有加大的差異?蜜罐立足于欺騙、攻擊發(fā)現(xiàn)、捕獲和輕量級(jí)分析。?而沙箱立足于觸發(fā)漏洞、細(xì)粒度揭示行為和?威脅情報(bào)生產(chǎn) 安天追影威脅分析系統(tǒng)可以輸出的分析對(duì)象攻擊技術(shù)動(dòng)作標(biāo)簽Page31威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗安天AVLSDK支持的攻擊載荷TTPs標(biāo)簽輸出Page32威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page33威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗從現(xiàn)有網(wǎng)絡(luò)安全框架看對(duì)安全產(chǎn)品的能力需求MITRE公司提出的Shield積極防御框架MITRE公司是美國一家非盈利性研究機(jī)構(gòu)，成立于延伸到網(wǎng)絡(luò)空間安全領(lǐng)域，其使命是“解決問題，MITRE公司于2013年開始開發(fā)創(chuàng)造更安全的世界”。ATT&CK威脅框架，2015年5月正式發(fā)布，之后ATT&CK知識(shí)庫通常每季度更新一次，持TREIshiedMITREShield知識(shí)庫，其結(jié)構(gòu)威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗MITREShield知識(shí)庫——Shield險(xiǎn)或風(fēng)險(xiǎn)；也是名詞，意思是保能夠依據(jù)實(shí)際需求以多種方式使MITRE公司認(rèn)為攻擊技術(shù)超出典型組織的工作范圍，因此也不在MITREShield的關(guān)注范圍內(nèi)。御意識(shí)，激發(fā)防御者更積極的思維方式與對(duì)手進(jìn)行對(duì)抗。充分利用防御者的優(yōu)勢贏得與對(duì)手對(duì)抗的最終勝 MITREShield知識(shí)庫（安天中譯版）Page38MITREShield知識(shí)庫分類聚合分析MITREShield知識(shí)庫（安天中譯版）DTA0001引導(dǎo)（18）DTA0002收集（18）DTA0003約束（11）DTA0004檢測（20）DTA0005干擾（16）DTA0006促進(jìn)（16）DTA0007合法化（12）DTA0008測試（19）技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文技術(shù)中文技術(shù)英文MITREShield知識(shí)庫與ATT&CK威脅框架關(guān)系術(shù)之間的映射關(guān)系MITREShield知識(shí)庫與ATT&CK威脅框架相互映射MITREShield知識(shí)庫對(duì)ATT&CK威脅框架的覆蓋率威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗MITREShield知識(shí)庫的應(yīng)用案例加利福尼亞州弗里蒙特的網(wǎng)絡(luò)提供的解決方案覆蓋MITER主動(dòng)防御技術(shù)中27項(xiàng)，覆蓋范圍達(dá)到82%，該公司還表示未覆蓋領(lǐng)域主要是備份、硬件管理、培訓(xùn)以及其他與檢測ThreatDefend平臺(tái)與MITREShield知識(shí)庫映射關(guān)系威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗MITREShield知識(shí)庫的價(jià)值與不足?防御者利用ATT&CK威脅框架分析已知對(duì)手戰(zhàn)術(shù)、技術(shù)和信息等，同時(shí)利用MITREShield知識(shí)庫部署網(wǎng)絡(luò)防御措施計(jì)劃以及捕獲對(duì)下一步網(wǎng)絡(luò)防御工作有用的信息，兩者配合應(yīng)用有利于加強(qiáng)組織防御能力。?與ATT&CK威脅框架中攻擊技術(shù)映射關(guān)系較粗；?其主要與ATT&CK威脅框架進(jìn)行映射，但ATT&CK威脅框架尚無法枚舉全部攻擊方法，因此Shield?Shield中提及到的積極防御技術(shù)更多得在于通過誘騙捕獲攻擊行為，與積極防御的概念還存在一威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗NIST網(wǎng)絡(luò)安全框架回顧威脅框架：細(xì)粒度對(duì)抗是企業(yè)的要求、目標(biāo)、風(fēng)險(xiǎn)偏好、資源與框架Page42NIST網(wǎng)絡(luò)安全框架核心要素?功能：基本的網(wǎng)絡(luò)安全活動(dòng)?類別：功能進(jìn)一步細(xì)分?子類別：進(jìn)一步將類別分為技術(shù)和/或管理活動(dòng)的具體結(jié)果。?參考性文獻(xiàn)：通用的標(biāo)準(zhǔn)、指南和實(shí)Page43威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page44?5個(gè)功能?23個(gè)類別??5個(gè)功能?23個(gè)類別?108個(gè)子類別功能唯一識(shí)別標(biāo)識(shí)功能類別唯一識(shí)別標(biāo)識(shí)類別識(shí)別ID.AM資產(chǎn)管理業(yè)務(wù)環(huán)境治理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理策略供應(yīng)鏈風(fēng)險(xiǎn)管理保護(hù)PR.AC身份管理和訪問控制PR.AT意識(shí)和培訓(xùn)數(shù)據(jù)安全信息保護(hù)流程與程序維護(hù)保護(hù)性技術(shù)檢測DE.AE異常和事件DE.CM安全持續(xù)監(jiān)控檢測流程響應(yīng)響應(yīng)計(jì)劃RS.CO溝通RS.AN分析緩解改進(jìn)恢復(fù)恢復(fù)計(jì)劃改進(jìn)RC.CO溝通Page45NIST網(wǎng)絡(luò)安全框架實(shí)踐?框架輪廓是將功能、類別和子類別與組織業(yè)務(wù)需求、風(fēng)險(xiǎn)承受能力和資源相匹配的結(jié)果。?在與組織和部門目標(biāo)高度一致的前提下，同時(shí)考慮法律法規(guī)要求和行業(yè)最佳實(shí)踐，并反映風(fēng)險(xiǎn)管理一切正常需要工作需分析和校正沿襲傳統(tǒng)事前、事中、事后的認(rèn)知痕跡，試圖一個(gè)完整的安全行為閉環(huán)，而S?如果說殺傷鏈模型是攻擊活動(dòng)OODA循進(jìn)一步多維化的細(xì)化展開。而NIST和Shield展示了共性特點(diǎn)是，防御同樣存在著類似鏈到威脅框架的戰(zhàn)術(shù)階段和技術(shù)動(dòng)作。能有效應(yīng)對(duì)確定性威脅動(dòng)作和技術(shù)利用的關(guān)鍵Page46威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗從關(guān)鍵安全能力視角重新梳理能力性產(chǎn)品框架Page48Page49檢測是發(fā)現(xiàn)、定位和定性網(wǎng)絡(luò)安全威脅的方法風(fēng)險(xiǎn)等，旨在避免網(wǎng)絡(luò)安全事件的發(fā)生。施，使組織具備限制或控制潛在網(wǎng)絡(luò)在提升組織對(duì)自身的認(rèn)知。I核心要素——作用對(duì)象集合網(wǎng)絡(luò)類對(duì)象用戶類對(duì)象?用戶、帳戶、身份、權(quán)限應(yīng)用類對(duì)象網(wǎng)盤、視頻會(huì)議……信息類對(duì)象作用承載類對(duì)象?文件、載荷、進(jìn)程、內(nèi)存、服務(wù)……作用位置屬性類對(duì)象?主機(jī)、邊界、流量、應(yīng)用系統(tǒng)、供應(yīng)鏈……Page50威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page51身份認(rèn)證、權(quán)限控制、配置基線建立、網(wǎng)絡(luò)域真資產(chǎn)構(gòu)造、主機(jī)行為管控……行為檢測）、流量環(huán)