潜伏威胁检测解决方案

当前安全建设面临的挑战

l  边界防御存在短板，仅靠防御不足以应对高级威胁

        当前防御体系侧重于互联网出口和边界防护，防御一旦绕过，攻击者将一马平川，黑客内网恶意行为无法被边界设备检测到，黑客能够长期潜伏，窃取大量机密信息数据。

l  高级威胁使传统检测机制失效

        随着0day漏洞、社工攻击、变种或新型恶意软件等高级威胁层出不穷，由于当前安全设备检测方式主要是基于特征检测，没有已知的特征所以这些攻击很难被传统检测手段发现，导致大量用户即使部署了安全设备还是出现页面被黑、信息泄露、业务系统中断等事件。

l  碎片化安全防护，无法使安全真正落地

当前安全设备存在日志信息量庞大、面对大量涌来的分散的安全信息，各种安全产品不同的界面和告警窗口，即便是专业的信息安全管理人员也往往束手无策,难以发现真正的安全隐患、有效判断攻击行为，洞察潜伏威胁以及威胁影响范围。

深信服潜伏威胁检测方案

        深信服潜伏威胁检测方案以全流量分析为核心，结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化平台等技术，对全网的流量实现业务可视化，威胁可视化，攻击与可疑流量可视化，定位异常与违规行为，发现潜伏威胁，解决安全黑洞与安全洼地的问题。

l  更广泛的数据采集来源

外部数据来源

Ø  国内外数十个知名的安全机构，如： CNVD、 CNNVD、 Virustotal、 Threatcloud 、 Malware 、 Abuse 等；

Ø  深信服在线的近万台安全设备上报的安全威胁情报；

Ø  深信服安全云检测平台、安全服务团队监测获得的海量威胁情报；

内部数据来源

Ø  出口与边界深信服安全设备数据、包括NGAF、AC、VPN等设备，终端EDR检测数据；

Ø  探针通过镜像交换机流量采集的全流量数据；

Ø  第三方安全设备通过标准的SYSLOG采集的日志信息；

l  更全面智能的分析检测技术

基础安全检测

检测技术有基础和高级之分，但对于检测黑客入侵而言，基础检测能力同样是至关重要。基础检测能力是指针对那些传统的、常见的异常流量进行检测的能力，主要包括异常会话检测、敏感数据泄密检测、漏洞利用攻击检测、Web应用攻击检测、僵尸网络检测、业务弱点发现等多位的威胁检测能力。

高级威胁检测

安全感知平台内建的算法能够对病毒行为、异常外联行为、黑客常用攻击行为等特征进行分析，该算法融合了fast-flux识别、iForest、主机网络流量模型、协议模型学习，同时结合大数据关联分析引擎提供的联动分析以及DGA域名判别构建融合检测模型，从而从及时发现失陷主机与潜伏威胁。

访问异常检测和UEBA

基于用户历史行为和用户之间的行为相似性，相似性作统计分析，利用机器学习进行建模，从而对用户和主机等实体进行分析（UEBA）、识别出用户对业务系统的异常访问，进而发现客户凭据被盗、用户主机失陷等潜在威胁。

l  更清晰易懂的可视化呈现

洞悉网络行为，看清资产间的异常访问关系

通过潜伏威胁黄金眼视图，以不同安全视角了解威胁影响面

基于安全事件视角，第一时间确定内部网络是否有感染热点事件

基于安全事件信息，给出详细的举证内容

基于业务和资产感知威胁，并给出相应的处置建议

方案优势