新一代主机安全专家青藤Threat Hunting Platform 产品介绍 连续3年入围 Gartner CWPP 全球安全指南1 2 3 攻防现状及威胁捕获介绍… 青藤THP产品介绍…CONTENTS 应用场景及实践攻击驻留时间 VS防御发现时间 数据来源：报告“ M-Trends Report" 数据来源：报告 "State of Malware Detection and Prevention".⚫网络攻击者平均可在 99天内不被发现 ⚫攻击者不超过 3天就能获得管理员凭证 ⚫超过53%受害者是在外部通知后才知道被攻击⚫平均需要 170天才能检测到一个高级威胁 ⚫平均需要 39天的时间来缓解攻击 ⚫平均需要 43天的时间来恢复107 8099170 39 43被动防御 VS主动防御 主动安全检测技术 被动安全检测技术 ⚫Firewall 防火墙 ⚫IPDS 入侵检测系统 ⚫AV杀毒软件 ⚫Sandbox 沙箱 ⚫SIEM◼已存在威胁 ◼基于报警◼依托细粒度数据 ◼基于假设 -分析验证⚫Threat Hunting 威胁捕获 VSSIEM 为什么要和 Threat Hunting 配合使用 SIEM ⚫日志归集 ⚫日志管理 ⚫存储管理 ⚫事件归一化 ⚫降低误报 ⚫减少噪音数据 ⚫仅处理安全数据Threat Hunting Platform ⚫需要更多数据 ⚫提供早期精确的检测 ⚫可以更快的响应威胁 ⚫更了解企业的威胁弱点SIEM 、SOC、TH（Threat Hunting ）该如何选择 如何甄别隐藏在海量数 据中心不法行为数据 SIEM ： 基本安全控制 SOC： 最大化安全控制 TH： 处理高级威胁•开箱即用 •自动化日志收集 •适合一般性或非针对性威胁 •较合理的安装成本和较少执行操作 •事件的实时响应 •较大的安全投入 •比较适合通过外包服务进行建设 •更深入分析 •适合那些比较容易遭受严重攻击组织 •银行、政府等机构比较适合 威胁捕获过程及方式 创建假设 调研所需工具 与技术 发现新模式与 TTPs 通知并丰富完 事分析结果威胁 狩猎 威胁狩猎是一个循坏迭代过程，来寻找隐藏在数字资产中攻击。威胁狩猎从“假设”开始。例如： ⚫“是否有一个攻击者隐藏在这里” ⚫“如果我是一个攻击者，我将这样工作” ⚫“核实一下攻击者是否已经在自己内网站稳了脚跟。”基于分析 •机器学习和 UEBA •自动分析细粒度数 据发现威胁基于重点 •皇冠珍珠分析 •企业风险分析 •公司及员工级趋势基于情报 •威胁情报报告 •威胁情报源 •风险扫描威胁捕获三种方式威胁捕获成熟度 这个阶段组织，主要依 赖于自动化报告，很少 或不做常规数据收集。 包含了威胁情报指标搜 索。它具有中等或高水 平的常规数据收集。 采纳其他人分析过程。 它具有高水平或非常高 水平的常规数据收集。 可以创建新的数据分析 过程。它具有高水平或 非常高水平的常规数据 收集。 能够自动化处理大多数 成功的数据分析过程。 它具有高水平或非常高 水平的常规数据收集。 Level0 ：初级Level1 ：入门Level2 ：成熟Level3 ：创新Level4 ：领导 数据丰富度分 析 复 杂 度