展开

关键词

腾讯主机安全(云镜)兵器库:透视安全事件的千里眼-云原生预警

之前我们讲到可以用“疫情防控思路来解决网络安全问题”,提到针对网络攻击的“攻击源、传播途径、易感”等三环节,分别采取相应措施,可最终解决安全风险。对网络发现越早,处置越快,防控效果也就越。 相反,如果速度不够快,势必造成扩散。这一节,就来讲讲腾讯主机安全(云镜)通过集成云原生预警,是如何做到又快又准发现、、响应、处置的。 云原生预警的工作流程腾讯安全技术中心深知企业客户面临的上述痛点,通过日常安全运营实践,推出云原生预警,帮助客户更快更准确实现响应和预防。 该的目标是->触达客户->指导处置的全自动化实现,在降低客户安全运营成本的同时,大幅提升安全运营的及时性、准确性和有效性。 Cyber-Holmes引擎是腾讯安全中台的基石,其能力已集成到腾讯主机安全(云镜)中,推动云原生预警的诞生,腾讯主机安全(云镜)的、响应、处置能力及效率随之大幅提升。

14850

企业安全 | ATT&CK框架概述

使用这是通过安装一实例达到的,可以理解为,情报中心会定期同步事件给每实例。每子节点的实例也可以创建新的事件,形成新的情报发送到情报中心。 如今,当前阶段与分析面临着诸多挑战:ü网络安全基础设备无法与时距进ü无法量化和响应结果ü没有工具用来分析情报、安全事件ü在策略和过程改进上花费时间不足构建基于ATT&CK的与分析不同于以往的方式 接下来将介绍一些公司利用ATT&CK模型进行和分析的构建流程:a)参考ATT&CK模型中攻击技术对应的数据源信息,针对当前目标可能发生的进行监控并记录,这样能够使防御者了解到发生了些变化 ),可以用来性能坏。 但是并无法很明确的了解自身防御和能力的差距,ATT&CK可以在覆盖度上(明确分析出些攻击技术在目前的安全体里无法覆盖),以及深度上(比如留后门一共有些姿势)提供一清晰的差距分析,指导企业加强入侵能力

59630
  • 广告
    关闭

    云产品限时秒杀

    云服务器1核2G首年38元,还有多款热门云产品满足您的上云需求

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    企业如何打造“秒级响应”的情报

    目前我们的情报,主要应用在企业办公安全、Web安全,以及集成在腾讯安全的产品中,包括腾讯安全御界高级、腾讯安全御知网络风险等,都集成了腾讯安全情报能力。 Q7:在企业安全防御体中,情报扮演了怎样的角色?给企业带来了处? Q8:跟传的安全业务能力对比,情报能更地解决些实际问题?谭昱:因为其实情报它不是一单独存在的东西,必须跟我们现有的传的安全防护手段结合在一起,才能产生更大的价值。 就是如果说不应用情报的话,那么我们只应用传的安全防护体,会存在些问题,现在很多企业都会碰到:第一告警过载或者说是误报的问题。这是两问题,但它产生的原因是差不多的。 那么我们可以找到我们之前的这种安全体的漏洞,那么我们也可以有针对性的去针对这一块做防护的调整和升级,就让整的体更加安全。Q9:企业打造情报的难点在里?腾讯安全是如何解决的?

    30320

    情报的现在与未来:赋能、深入、全面应用

    Gartner指出, 情报通常是安全产品的差异化因素和能力核心,例如防火墙和管理(UTM)、入侵和防御(IDP)、SWG和安全电子邮件网关(SEG)、端点保护(EPP)、Web应用防火墙 SANS的数据也显示有82%的企业会把SIEM情报一起用,77%的企业会用情报赋能网络流量。国内比较常见的用法是情报+网络流量情报+态势感知、情报+SOC等。 这些团伙还注册了些域名?还有其他恶意活动和这些域名相关吗?这应该怎么处置?现在爆发出了些新的?这些会通过些端口进行传播?企业应该如何应急处理?企业是否正在被撞库? Gartner在《市场指南》中总结了情报的10余种使用场景,如情报赋能、钓鱼、暗网监控、与响应、黑客画像与黑客追踪、情报共享、高级应急响应(MDR)服务等12场景,我们筛选了几在国内较常见的场景 而SANS的调查中体现了用户对情报功能的满意度,根据图表显示,用户对于情报的上下文、覆盖度、情报与响应的集成、基于位置的可见性、情报衰变、机器学习等方面的满意度仍能够进一步提升。

    50030

    浅析PRODIGAL:真实企业中的内部

    0x00 写在前面2013年2月份美国白宫发布了一份总备忘录,专门就当前面临的内部(Insider Threats)进行了分析,并且督促行政部门紧急出台一份应对内部的解决方案。 目前PRODIGAL已经在美国的部分涉密企业实际部署,结果得到部署企业的一致评。因此今天我们来了解下PRODIGAL,希望从中可以为我们研发自主可控的内部带来借鉴。 由于试图用一稳定的算法来所有的异常,必然导致极高的误报率,这也是以往所有主动在实际中部署较少的原因。PRODIGAL之所以能够在实际企业环境中表现良,缘于其使用的动态架构。 PRODIGAL不再试图用一固定的分类器使用架构来异常,而是根据不同的类型建立灵活的架构。 PRODIGAL已经在美国的部分涉密企业中部署,在运行中不断改进优化和丰富攻击特征语言数据库,相信PRODIGAL会成为将来第一款部署的强大内部

    365100

    2017企业安全技术热词有些?

    2017年中对于企业而言,最大的安全些?安全事件发生之前,企业如何预防和应对?安全事件发生之时,企业的当务之急又是什么?纵观繁杂的安全产品,有些值得关注?? MDR管理和响应(MDR)是一种可管理的网路安全服务,可以帮助企业提高,事件响应以及持续服务,成本比用户自建运营相关安全团队要低很多,尤其受到中小企业的欢迎。 EPP 是一套完整的安全解决方案,它结合了杀毒,反间谍软件,入侵预防,人防火墙,数据保护加密和其他端点保护解决方案。 Adaptive Security自适应安全是一种保护安全的新手段,它对的定义不仅仅局限于感染病毒的文件和代码,而是中存在的有性的行为。 而且它还可以主动预,识别,处理恶意软件和黑客行为。跟踪应用程序和行为,并识别出其中不正常的行为,追踪这些行为的源头。自适应安全可以帮助企业更地应对日益增强的企业

    266100

    大数据安全分析

    这是一切的基础,如果没有这一步,后续的和响应也就缺少了根基,在现实中无法实施。 从这点上说,人也不赞成将某些针对特定组织的攻击都归属于APT范围,如果它是一些传的安全措施就可以防范的。 但当基于已知的签名机制不能针对其的高级别时,我们就需要转化思路,因此积极的和响应则是以为中心,它不再强调单点的,也不再单纯的追求告警的精确性,它促使你从面上去着手,将若干的点关联起来 在整过程中(数据收集、、分析)都需要以为中心,如果丢掉这中心点,单纯的追求数据的大而全,则必然达不到效果。以为中心,用数据来驱动安全,是APT类型的有效手段。 3.确定数据源:在这阶段确定可以提供和分析价值的主要数据元,从具有最高风险权重的技术开始,考虑可以从里看到相应的线索、证据。 七、基于情报和攻击链的方法 ACF虽然是一经过实践验证的方法,但是也有自身的不足,特别是缺乏实践经验情况下,往往集中在入侵的后期阶段相关数据收集,存在纵深不足,缺少冗余的响应时间等风险。

    30860

    原创 | ICS网络符合CMMC模型的几注意点

    准备CMMC评估的供应商必须考虑其 ICS网络环境,没有制造厂商不使用ICS,现代的攻击通常会跨越IT OT边界, 另外,有部分CMMC能力要求不适用于 ICS网络环境。 在ICS网络环境中的资产发现,,事件响应等都和IT网络同等重要。尽管CMMC有许多特殊的要求,但就大部分要求而言可以归纳为通用的考虑因素。 ( 3 ) 了解些漏洞可能是面临风险CMMC的许多要求都集中在识别和解决或者设备漏洞上。对于 ICS网络,这可能意味着未修补的CVE,设备故障或使用未经授权的端口访问等。 CMMC能力域中要求能够到此类漏洞并确定其优先级,以便持续管理和解决面临的风险。( 4 ) 是否能够ICS面临的与IT相比,ICS是一种截然不同的方式。 IT通常由端点和软件和阻止为主,但大部分嵌入式 ICS设备不支持该种方法,而且IT团队不具备管理权限。因此, ICS方法需要结合ICS的行为分析和流量分析等方法。

    26620

    腾讯主机安全(云镜)兵器库:分析的福尔摩斯-Cyber Holmes引擎

    就像福尔摩斯探案一样,安全研究人员首先面对的是不完整的事件告警片断,腾讯安全部署在云端的流量或行为探针、蜜罐每天获取的各类事件告警信息数千万条,可疑样本文件上百万。 Cyber-Holmes引擎将分析能力输出给腾讯安全全列产品使用。 当前武器攻击规则命中某可疑事件时,就可判断该事件疑似具备某种攻击能力。结合其他方法的结果,综合评价某告警或样本文件的最终性质。(例如:远控等具有已知攻击武器特征的。) (例如:成功预警YAPI远程代码执行-0DAY在野利用) 模块包含三种技术2.分析模块主要利用情报与图谱关联定性技术、入侵路径分析技术、入侵行为画像技术覆盖攻击溯源的三阶段,分别是溯源遭遇何种攻击被谁攻击 入侵行为画像技术将事件中各行为归类并自动映射到MITRE ATT&CK 中的攻击者行为映射表,用以判断攻击者活动影响到些阶段,各阶段具体使用了什么攻击技巧。

    10440

    攻击推理-如何利用情报报告生成可用攻击子图

    一、摘要当前企业环境面临的攻击越来越趋于隐蔽、长期性,为了更的针对这些攻击进行有效的、溯源和响应,企业通常会部署大量的设备。 但该工作现在只处理起步阶段,还远没能应用到与攻击溯源上。主要面临如下挑战:1 在情报报告中,与攻击行为相关的描述可能只占很小一部分。报告中大量的描述信息与攻击行为没有直接关。 从情报中提取可用于与溯源的有效信息是一种可能。但其可行性是能够基于报告提取到可用于查与溯源的信息,这样可以第一时间对新攻击进行与溯源。 攻击子图构建是挖掘攻击行为的时序与因果关,并构建可用于的攻击子图。这些步骤需要一些包含与情报语言的相关的术语字典来辅助。EXTRACTOR一共使用了两词典。 一是调用同义词典,包含了表示调用(如写,读fork)的动词以及其同义词。这些同义词表示可能在情报报告中使用的表示调用的动词。

    8320

    如何构建云时代的云原生安全运营中心,看完你就明白了

    第三和第四比较类似,就是云上风险及新能力,之前也提到过云上“”的扩大,因此也需要相应的风险、能力。 而“事中监”方面我们会依托防火墙、主机安全等传的安全产品去做一些流量侧和主机侧的安全事件,同时我们也需要对一些云上也有的做一些,比如前面提到的APIK的泄露及内部用户的异常行为监控等 构建事前安全预防体目前事前安全预防是需要“安全左移”的,“安全左移”是将安全防护尽可能地移动到开发流程的早期,我们传安全往往是将IT部署、业务搭建之后进入到运维环节,交给安全运维人员去进行安全运营及管理 构建事中安全事件监那么在事中就需要构建一套完善的监了,例如云上安全产品和安全事件一收集,实现一监和全局管理。 同时除了传安全(主机、流量等),一些新型的如API异常调用、Key泄露等也是需要我们去纳管的。

    23931

    大数据安全分析(理念篇)

    这是一切的基础,如果没有这一步,后续的和响应也就缺少了根基,在现实中无法实施。从这点上说,人也不赞成将某些针对特定组织的攻击都归属于APT范围,如果它是一些传的安全措施就可以防范的。 但当基于已知的签名机制不能针对其的高级别时,我们就需要转化思路,因此积极的和响应则是以为中心,它不再强调单点的,也不再单纯的追求告警的精确性,它促使你从面上去着手,将若干的点关联起来 在整过程中(数据收集、、分析)都需要以为中心,如果丢掉这中心点,单纯的追求数据的大而全,则必然达不到效果。以为中心,用数据来驱动安全,是APT类型的有效手段。? 3.确定数据源:在这阶段确定可以提供和分析价值的主要数据元,从具有最高风险权重的技术开始,考虑可以从里看到相应的线索、证据。 这种方法大体步骤如下,对更详细内容感兴趣的可以去参考他的PPT及视频:1.以攻击链为横轴,指标(参考之前的《小议情报》)为纵轴,完成对应的表格,体现在攻击的各阶段可以利用的相关数据;2.基于不同指标对黑客攻击的影响程度

    79950

    大数据安全分析(理念篇)

    这是一切的基础,如果没有这一步,后续的和响应也就缺少了根基,在现实中无法实施。从这点上说,人也不赞成将某些针对特定组织的攻击都归属于APT范围,如果它是一些传的安全措施就可以防范的。 但当基于已知的签名机制不能针对其的高级别时,我们就需要转化思路,因此积极的和响应则是以为中心,它不再强调单点的,也不再单纯的追求告警的精确性,它促使你从面上去着手,将若干的点关联起来 在整过程中(数据收集、、分析)都需要以为中心,如果丢掉这中心点,单纯的追求数据的大而全,则必然达不到效果。以为中心,用数据来驱动安全,是APT类型的有效手段。? 3.确定数据源:在这阶段确定可以提供和分析价值的主要数据元,从具有最高风险权重的技术开始,考虑可以从里看到相应的线索、证据。 这种方法大体步骤如下,对更详细内容感兴趣的可以去参考他的PPT及视频:1.以攻击链为横轴,指标(参考之前的《小议情报》)为纵轴,完成对应的表格,体现在攻击的各阶段可以利用的相关数据;2.基于不同指标对黑客攻击的影响程度

    48570

    基于数据安全的风险评估(一):数据资产识别、脆弱性识别

    ● 数据资产识别现今信息的风险评估体已非常完善,但数据安全方面并没有形成相关评估内容,整中缺少数据安全相关的与评估项,所以近期一直思考数据安全风险评估应是如何,应该从些方面进行与评估 分类有些?脆弱性有些?如何与现有评估体融合等问题。 本文产生的目就是希望解决如上一列数据安全风险评估疑问,尽可能从资产识别、分类、脆弱性识别、风险计算、处置建议等5环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体化建设。 数据脆弱性识别示例二识别方式常见主要识别方法有问卷调查、工具、人工核查、文档查阅、渗透试等,不同环节、不同场景下择优选择,本篇主要介绍工具,即数据库漏洞扫描。 数据库漏扫功能架构图示例图(中安士-漏洞扫描)端口扫描:提供自动搜索数据库的功能,可以直接给出数据库的各项信息 漏洞:(授权、非授权、渗透、木马)授权:具有DBA权限的数据库用户

    2.1K61

    自动化、安全分析和人工智能,从Gartner预看网络安全新规则

    新的标准这里所谓的自动化,指的是安全平台在到新的安全之后,可以在无需人为干预的情况下自动设计并实现对的响应和控制。 安全分析引擎可以对那些来自网络设备和终端设备的通信数据进行深度分析和,并通过探异常数据来识别潜在的。 除此之外,安全研究人员还可以通过安全白皮书、情报、以及关于网络犯罪的新闻来对这套进行训练。经过一段时间的学习和积累之后,Watson就可以自己设计出新的策略来安全了。 据了解,这是美国国家情报局的一项调查活动,他们希望建立一套所谓的传感,这套可以对社交媒体网络中各方面的数据进行监控和探,并以此来寻找可能会国家网络安全的潜在恶意活动。 因此,为了更地面对即将到来的新型安全挑战,也许深度学习、自动化处理、以及人工智能等技术手段很快将会成为我们应对网络安全的有效方法。

    46470

    APT这件事,美国现在有点慌...

    ❈6月28日,美国众议院外交事务委员会通过“2018网络慑与响应法案”(H. R. 5576),要求美国总确认高级持续(APT)组织名单,并在《联邦公报》中公布并定期更新。 2016年, 一神秘的黑客组织“影子经纪人”成功黑掉了NSA(美国国家安全局)的御用黑客组织“方程式小组”,并使“方程式小组”的黑客工具大量泄漏。 APT攻击隐秘而高级,有没有被攻击不知道,儿被攻击了不知道,什么时候被攻击了,也不知道! 安恒明御APT攻击(网络战)预警平台,使用深度技术,对APT攻击行为进行,相对于仅依靠特征的传安全产品,本产品可发现零日漏洞利用、未知恶意代码等高级攻击手段,能到传安全设备无法的攻击 明御APT攻击(网络战)预警平台能力与价值预警重要信息发生的安全事件及时发现网站WEBSHELL后门被利用快速预警高危恶意代码样本传播监控内部主机被控制回连的行为发现内部存在的零日漏洞和未知完善核心安全防护能力发现各种隐蔽分析当前安全防护的弱点完善安全防护策略对攻击进行取证溯源分析记录详细的攻击行为发现并定位僵尸主机对攻击进行跟踪溯源感知安全趋势规律全面的指数分析

    38930

    手工打造基于ATT&CK矩阵的EDR

    EDR, 终端响应,也称为终端响应 (ETDR),是一种集成的终端安全解决方案,它将实时连续监控和终端数据采集与基于规则的自动响应和分析功能结合在一起,是一种用于和调查主机和终端上的可疑活动的新兴安全 ,该采用高度自动化,使安全团队能够快速识别,定位和应对。 EDR的主要功能是:1. 监视和收集可能存在的终端的活动数据2. 分析采集到的数据,通过模型进行关联识别3. 恰恰我们知道MITREATT&CK矩阵的存在,这编排了几乎所有的攻击可能载体的矩阵图,几乎市面上所有的SIEM或者供应商都已经开始将他们的产品对准MITRE的ATT&CK矩阵了。 当装了ThreatHunting插件后,我们就可以在SPLUNK中启用这APP,如下图所示,这张图通过ATT&CK的映射一一展现了被命中的指标情况。

    66720

    态势感知读后总结

    态势提取就是对网络服务关键节点和网络设备的安全特征数据进行分析发现,看看能不能采取到更多的数据,并从这些海量网络数据中抽取出影响安全态势的关键信息,是网络安全态势感知的基础。 ,这就是完整性;一主营电力生产的工业控制必须7×24小时连续运转,如果突然中断,就会造成组织受到重大经济损失,这就是可用性。 在明确定义之后,需要分析组织中些弱点可能会被所利用,推事件的发生会对组织造成怎样的损失。 我们应当从风险值最高的开始,分析这些最可能出现在里并定位到该处,再依次逐级查找。 ●提炼有价值元素:在识别出众多数据源后,我们需要单独查每数据源和认真分析数据源,提炼出真正有价值的元素,因为并非每种数据源都有采集的必要和意义。

    24710

    趋势关注:为什么XDR必须包含MDR

    那么为什么安全专家需要关注XDR,原因在于XDR有能力在简化安全操作的同时加快响应的速度。 大型企业组织仍将使用其他专门的安全运营技术,例如情报平台(TIP)以及安全编排与自动化响应平台(SOAR),但是XDR将与这些集成,同时充当安全运营的中心枢纽。XDR会颠覆市场走向吗? 这里的关键在于,MDR服务提供高级技能,而且52%的组织也相信MDR服务提供商可以比他们更地完成和响应任务。对于MDR服务的研究数据主要得出了下述结论:1. XDR必须包含MDR。 如果说我付钱请别人来割草,我真的不在乎他们用的是种割草机。相反地,我只关心结果——每周修剪一次草坪。同样地,CISO采购诸如XDR之类的安全技术,也是为了实现其目的——最佳的网路和响应。 其他供应商将建立垂直行业的专业能力,以专注于医疗保健临床、自动驾驶汽车或在线商务应用程序等方面的(可能会与反欺诈服务相结合)。4. 安全运营人才的竞争加剧。

    29650

    预告 | 超级产品力列之《2020中国网络流量监与分析产品研究报告》即将发布

    根据ESG调查显示,87%的公司企业使用网络流量分析(NTA)工具进行与响应,43%认为网络流量分析是与响应的第一道防线。 随着黑客攻击入侵技术的不断发展,在一些网络场景下入侵无法对网络进行有效的发现。 此后,越来越多厂商进入流量监与分析市场,NTA也在原本的网络流量分析的基础上,突破了技术局限性,开始强调针对高级和响应能力,由此,“NTA”(网络流量分析)这描述已经不能够完全涵盖发展中的新的特征 ,NDR(网络与响应)逐渐成为NTA新的代名词。 NTANDR的关键能力有些?网络流量监与分析在攻防演练中如何有效应用?有些行业、多少企业部署了NTANDR?NTANDR还需要改进些功能?

    29320

    相关产品

    • 高级威胁检测系统

      高级威胁检测系统

      腾讯云高级威胁检测系统(Network Traffic Analysis System,NTA)通过镜像方式采集企业网络边界流量,结合腾讯多年积累的海量安全数据,运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁(APT)。同时,对事件告警原始流量进行留存,方便事后追溯,可极大提升云环境下的威胁感知能力。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券