深信服|深信服2021年度安全技术盘点，解决了用户哪些需求呢？( 二 )

文章插图

今年，国家发改委重点提及虚拟货币挖矿的全链条治理工作。年底各级政府和相关行业纷纷响应，通报了多家单位。挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维成本暴涨，一些挖矿主机极有可能会被植入病毒，导致更严重的网络安全攻击事件等。加密挖矿逐渐成为主流，明文的检测规则已经不再适用，我们急需解决用户对加密挖矿的检测需求。
于是，我们聚焦恶意加密流量的识别，前期通过跑沙箱样本、执行黑客工具等方式收集大量恶意加密流量，从加密前后的通信特征推演，研发了一套专门针对恶意流量的精准识别模型。

文章插图

深信服加密流量识别的核心算法目前已经申请了20+项发明专利，涉及异常检测、机器学习、深度学习等。
值得注意的是，我们的加密挖矿检测有效检出设备超过1000+，矿池IP超过50+，涉及多个挖矿家族（紫狐、双枪、独狼、贪狼等），覆盖多个常见币种（门罗币、以太坊、奇亚币等）。

文章插图

随着攻防技术的升级，黑客的攻击手法也越来越隐蔽，大量使用加密技术，将恶意流量隐藏在正常流量中，成功绕过防护设备。数据显示，通过 Internet 与远程系统通信的恶意软件中有近一半（46%）使用了 TLS加密通信。然而对于此类隐藏的高级威胁，用户完全无感，极易造成数据泄露等重大安全事件。
对此，我们创新提出了“异常检测+主动探测”的未知威胁检测。在异常检测阶段，基于流量特征发现可疑行为，不放过任何一条蛛丝马迹，实现低漏报、高检出；而后在主动探测阶段，进行二次验证，做到零误报，保证推送事件的准确性。

文章插图

目前这种检测技术已上线态势感知SIP、NDR，以及托管式安全运营服务MSS，覆盖60+用户，报送高价值事件120+起，包括黑客攻击、违规操作、攻防演练等多个场景。

文章插图

随着网络安全的发展，用户不断增加在安全建设方面的投入、采购大量的安全设备，但依旧做不好安全运营，到底是为什么？我们发现，用户的不同安全设备会产生大量告警，而且运营人员缺乏丰富处置经验，人工处置往往不及时；同时，不同厂商的设备无法联动，也给用户带来无法及时处置的工作负担，导致运营成本不断增加，用户深受困扰。
由此，我们构建了深信服安全产品联动能力体系，通过SOAR安全编排与自动化响应，使安全建设向“智能化、自动化、动态化”能力提升，实现“自动响应闭环，持续安全运营”。

文章插图

到现在，我们的SOAR安全编排与自动化响应能力已在30+种子用户得到验证，其中已将一家金融客户的安全运营响应处置标准化流程落地到SOAR的剧本中，测试通过9个场景化剧本。

文章插图

安全问题变幻莫测、层出不穷，如何高效检测、响应和处置？基于人工智能和机器学习的飞速发展，我们充分利用AI的泛化和学习能力去应对安全攻击的变化，在AI赋能安全方面取得了明显的突破，例如AISecOps多源日志分析系统、AI数字资产监控、加密WebShell通信等。
截止2021年底，深信服托管式安全运营服务MSS在各行各业在线用户数超1000家。仅从数据我们就可以看到，所有用户每天产生几亿条安全日志，平均每个用户每天需要面对约35万条安全日志。
对此，我们研发了一套先进的多源日志分析系统，从MSS云端上海量的安全日志中，高效、自动化地挖掘出高价值的安全事件，帮助用户快速处置威胁，优化用户的安全服务体验。

文章插图

除了多源日志分析系统，我们还融合数字风险防护（DRP）理念，推出AI数字资产监控。

文章插图

【 深信服|深信服2021年度安全技术盘点，解决了用户哪些需求呢？】通过广泛采集互联网空间数据并结合深信服自有的威胁情报数据，运用AI和大数据技术，采用多种智能化内容发现和分析算法，从海量多源异构数据中，快速准确地帮助用户发现和处置数据泄露、品牌仿冒、资产失陷等外部风险，帮助用户提升安全运营效率。