展开

关键词

企业如何打造“秒级响应”的情报

目前主要从事情报运营工作,基于多年一线和病毒木马,以及背后的团伙对抗的经验,参与了腾讯的基于大数据的情报自动化生产和运营。 目前我们的情报,主要应用在企业办公安全、Web安全,以及集成在腾讯安全的产品中,包括腾讯安全御界高级、腾讯安全御知网络风险等,都集成了腾讯安全情报能力。 另一个是情报分别应用于样的场景中。 那我们可以找到我们之前的这种安全体的漏洞,那我们也可以有针对性的去针对这一块做防护的调整和升级,就让整个的体更加安全。 Q9:企业打造情报的难点在哪里?腾讯安全是如何解决的? 谭昱:构整个情报防护,在运营方面有三个较大的难点:第一是必须要有充足的数据;第二,要有强大的数据处理能力;第三就是必须有一个持续的,而且对整个行业了解的一个安全团队,这样才能对数据做针对性的处理

32520

攻防演练中防护阵线构的三件事

相信现在很多团队,公司都开始为今年的攻防演练做准备,有钱的买设备,买人,没钱的没人的只好自己设备,都要有点东西才能跟领导交代。 如果是采用商业方案,斗象目前在做NTA的评估报告,有机会可以参考一下,但有几个指标是议达到一定标准的的,包括且不限于,依赖AI算法在不依赖情报的情况下对反弹外联,隧道传输能力的;兼容各情报 在依靠南北向的监控中还有一点须得注意,情报在攻防演练事件中的效率大大降低,请务必不要迷信,反倒在真实防护中能起到一定的作用。 据说某些企业已经开始放弃传的AV,开始投奔NGAV+EDR防护,其实这点会触及到一个异构的问题,我的个人议是保留传的AV,并配置部署EDR(含NGAV清除功能),原因跟上面提到的态感产品一样 ,需要保留最大能力,最高效率的并对抗已知病毒的能力,否则光靠EDR动态识别能力是不够效率的,而大部分EDR并不具备本地或者文件静态识别能力,所以必须依靠AV的特征库识别来进行预查杀。

33630
  • 广告
    关闭

    腾讯云+社区系列公开课上线啦!

    Vite学习指南,基于腾讯云Webify部署项目。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    情报在态势感知中的一种落地尝试

    前言 在态势感知火热、情报赚足眼球的今天,这两个信息安全领域当红小生发生碰撞,会产生样的火花呢?下面我根据手头上的项目,介绍一种情报在态势感知中的落地方案,为大家提供一种思路。 但是在这个长时间的攻击链上,一旦前期,那采取针对性的响应,还是可以减小损害的。 ? 上图就是攻击链模型,绿色框表明攻击没有造成实质性危害的阶段,我们的目标就是努力在这个阶段发现并解除。 所以正是情报中的大数据和其自身的更新能力,让我们对其爱不释手。 三、样与态势感知结合 1. 继续回到预的方面,目前大多数态势感知将态势变化趋势作为预的结果,缺乏潜在的分析,情报实现策略级的预也是情报给态势感知带来的新变化和改进。 在具体实现中,使用了STIX格式的情报,有两种情报来源,一种就是订阅得到的外源情报,另一种是内部的内源情报,通过内部部署的设备得到,内源情报与外源情报一成STIX格式

    38352

    产业互联网时代,如何构云原生的安全运营中心?

    安全体中“”的概念需要升级。公有云采用“责任共担模型”进行安全体的构,传安全体中所面临的安全中的一部分,云服务商将帮助客户进行防护。 但同时,云上客户也将需要应对云上特有的新型,例如异常的云用户操作及异常的云API调用等。 ✍ 传的安全运营体在这些新的挑战下存在哪些问题? ; 无法对云原生基础设施的配置风险进行; 无法对合规风险持续的自动化评估; 缺乏对云上特有的新型; 缺乏云上自动化响应处置机制与能力; 缺乏全面的云上调查溯源能力。 其次需要构事中的一监,将云上安全产品的安全事件一收集实现安全一监和全局管理。 同时,针对云上特有的新型需要机制与手段,例如用户风险操作、异常API调用及SecretKey泄漏监等。

    35610

    以ATT&CK为例构网络安全知识图

    自动化的分析能力,需要对网络安全大规模、多源、多维数据进行的梳理和组织,以实现基于各类型数据的关联挖掘能力。 首先,ATT&CK本身就是立在情报的验证与抽象之上,在应用中,能够自然打通外部情报与内部的行为分析与结果,实现告警的上下文扩充。 图6 ATT&CK与CAPEC的映射关例子 的实践不断证明基于行为的更能够适应动态环境下的高级分析,不过,特征+行为的组合能力,是当前效率提升的关键。 无论是基于静态特征特征还是基于机器学习的异常行为,各个能力提供商往往有自成体分析模型和事件命名体。 很多企业已将Kill Chain攻击链模型作为模的基础,因此转向全新模型体的过程必然会给整个企业的架构带来一定的冲击。

    1.8K10

    智能分析之图数据构

    才能让网络安全更智能(better)? 那更加自动化、更智能的分析能力,我们应该收集和分析哪些数据,又如何组织这些数据呢? 一、数据层次划分模型,DIKW APT识别/跟踪,攻击溯源,狩猎与响应,团伙分析,态势感知等安全防御目标已经远远超出了传孤立的应用范畴。 网络安全数据结构中蕴含的图基因,不仅仅是数据可视化的基础,更是用以对抗网络空间的安全智能构的基础。那,智能分析能力的构需要那些数据图的支撑呢? 三、构智能分析能力的关键数据图 ? : 环境数据图:如资产、资产脆弱性、文件信息、用户信息、IT架构信息等 行为数据图:如网络侧告警、终端侧告警、文件分析日志、应用日志、蜜罐日志、沙箱日志等 情报数据图:各类外部情报 知识数据图

    63710

    安全科普:什是暴力破解攻击?如何和防御?

    是暴力破解攻击?暴力破解攻击以及样防护呢? 什是暴力破解攻击? 这就是为什时间在暴力破解攻击时是如此的重要了。 暴力破解攻击? 暴力破解攻击是通过巨大的尝试次数获得一定成功率的的。 有时,攻击者会用不同的用户名和密码频繁的进行登录尝试,这就给主机入侵或者记录关联一个到他们入侵的好机会。当然这里头会有一些误报,需要我们排除掉。 安全研究人员开发了一个由内置关联规则驱动的IDS(入侵)和记录关联,它可以及时通知你是否受到了攻击者的暴力破解攻击。警报仪表会显示所有的,并按级别分类。 还会把IP信息与信息分享平台进行核对。 下图中展示的是可疑IP在信息分享平台上的所有信息,包括了与之相关联的任何恶意活动。会对可能性最大的IP进行阻断,进而防止其进一步的暴力破解。

    1.4K70

    情报的现在与未来:赋能、深入、全面应用

    Gartner指出, 情报通常是安全产品的差异化因素和能力核心,例如防火墙和管理(UTM)、入侵和防御(IDP)、SWG和安全电子邮件网关(SEG)、端点保护(EPP)、Web应用防火墙 SANS的数据也显示有82%的企业会把SIEM情报一起用,77%的企业会用情报赋能网络流量。 国内比较常见的用法是情报+网络流量情报+态势感知、情报+SOC等。 这个应该处置? 现在爆发出了哪些新的?这些会通过哪些端口进行传播?企业应该如何应急处理? 企业是否正在被撞库?经常攻击企业的黑客团伙都有谁?接下来几个月内他们可能会样行动? 那,在和响应的具体案例中,分析师对具体情报信息的重要性排名是样的? 而SANS的调查中体现了用户对情报功能的满意度,根据图表显示,用户对于情报的上下文、覆盖度、情报与响应的集成、基于位置的可见性、情报衰变、机器学习等方面的满意度仍能够进一步提升。

    54630

    【安全】腾讯公有云发布新SOC安全运营中心“驱动运营”革命性功能!

    安全运营中心(Security Operation Center,SOC)是腾讯云原生的一安全运营与管理平台,提供资产自动化盘点、互联网攻击面绘、云安全配置风险查、合规风险评估、流量感知、泄漏监 与响应 适用场景:业务上云后,除了面对传的主机安全、网络安全及应用安全外,客户也需要面对云上特有的新的类型,例如云上用户操作行为风险及异常 API 调用等。 解决方案:安全运营中心提供流量感知功能,为腾讯云现有安全产品提供了有效的流量能力补充,同时帮助客户实现云上流量由外到内及由内到外的双向攻击。 同时安全运营中心打通云上各类安全产品数据,并通过一的响应中心实现对一的响应处置,针对部分事件可通过内置的安全编排功能实现自动化响应处置,简化管理难度,提升响应处置效率。 从资产的自动化盘点,到资产各类安全风险的识别,再到资产安全风险的自动化响应处置,客户可立以资产为中心的一安全管理平台,提升云上整体安全水平。

    17241

    如何构云时代的云原生安全运营中心,看完你就明白了

    第三和第四比较类似,就是云上风险及新能力,之前也提到过云上“”的扩大,因此也需要相应的风险、能力。 而“事中监”方面我们会依托防火墙、主机安全等传的安全产品去做一些流量侧和主机侧的安全事件,同时我们也需要对一些云上也有的做一些,比如前面提到的APIK的泄露及内部用户的异常行为监控等 构事前安全预防体 目前事前安全预防是需要“安全左移”的,“安全左移”是将安全防护尽可能地移动到开发流程的早期,我们传安全往往是将IT部署好、业务好之后进入到运维环节,交给安全运维人员去进行安全运营及管理 构事中安全事件监在事中就需要构一套完善的监了,例如云上安全产品和安全事件一收集,实现一监和全局管理。 同时除了传安全(主机、流量等),一些新型的如API异常调用、Key泄露等也是需要我们去纳管的。

    29231

    腾讯安全运营中心集成UEBA能力,助力企业保障内部网络安全

    而UEBA能力作为腾讯安全运营中心(SOC)的关键子,通过自规则分析引擎、画像引擎、机器学习引擎,对全网海量安全告警数据进行快速分析。 为网络中的实体行为构基线,再根据基线用户或实体偏离“正常”模式的高风险操作,从而网络中的安全短板或疑似攻击行为,帮助企业降低内部风险。 、数据驱动的评分框架,从而高效处理海量告警,去除误报影响; 第三,提供“智能时间线”运营方式,通过将用户、账号、资产和应用上发生的各类异常和活动,以发生时间先后关串联起来,做持续的用户与实体异常行为 ; 第四,基于规则构了全面的高频横向移动规则,将用户从登录到登出的全部风险行为关联起来,实现精确描述恶意横向移动场景; 第五,通过规则分析引擎、画像引擎、机器学习引擎,支持多种类型的问题 ; 第六,构用户实体画像,存储丰富的数据指标,帮助安全运维人员快速研判风险。

    26910

    勒索病毒与一起命案相距多远?

    值得注意的是,虽然ERT已处恢复模式,但并未披露勒索攻击软件与受影响用户数量和类别等确切信息数据,这意味着该勒索软件对医疗的安全或仍会出现。 然而,受黑灰产探利用和攻击技术的“进化”以及公有云高度开放的“天然基因”等的双重作用,相较于破坏力持续增大的云安全来说,传被动、静态、单点、粗放和孤立的的企业安全体显然已无法承载对云上安全的高效感知和攻防需求 03 站位“安全前置” 构筑安全运营新体 刨除攻击方手段精进等外部因素来看,本次勒索软件攻击事件影响之大,很大程度上也归因于ERT公司在业务感知、和响应等安全方面预防策略的缺失。 ,简单明了地帮助从事前全预防、事中到事后响应处置的全生命周期防护部署,并实现云上安全态势的可视可感知。 针对企业云安全运营体自行门槛高、成本大、适配更新难等现状,借助安全厂商及其产品的安全能力成为企业云上安全运营新体的高效之选。

    27174

    安全是一门语言的艺术:调查分析语言概述

    ,是否有一天,当模型的准确性足够高、泛化能力足够强,模型与算法将一安全防御体的天下呢?智能化手段与方法,应该在安全场景中发挥样的作用呢? 为回答上述问题,不妨设想和回顾网络安全的本质。 安全可以认为是一种状态,在这种状态下,人、、财产等现实或虚拟实体未受到与损害。那界定与评价实体是否受到和损害呢? 回到网络安全领域,比较经典的规则,包括用于流量攻击的Snort规则,用于恶意文件的YARA规则,用于日志的Sigma规则等等。这些规则都自成体,形成领域专用的语言。 安全领域专用语言(Domain Specific Language For Security),在的各个领域,都具有很强的治地位。 定制语言就是为了效率而生,一千个成熟厂商就可能有一千个定制的规则引擎。 我们已经看到,在领域,即定位的方法论上,已经有较为成熟的语言

    29840

    采用五方案,让虚拟化更安全

    它本质上还是软件,无论样严格书写,效率有多高,在代码和设计上总会出现缺陷,并且会越来越多,这和任何复杂的,广泛流行的应用程序都是一样的。 因此,什才是最可能出现的?虚拟服务器只是服务器。 相反,最薄弱的环节可能是你自己,如果你缺乏规划,不知道样照顾、维护和管理狂野的虚拟农场。 存储虚拟化技术常规防御 无论是小型还是大型的虚拟商店都有一个长长的安全问题清单。 也可以说,先把你的物理环境好,然后才能谈到虚拟机的安全问题。 传的自动修补策略不考虑离线服务器。在物理世界中,一个断了电的服务器是无法工作的。 存储虚拟化技术查物理主机内部 当被入侵的客户服务器开始传染其他服务器时,就会发生“混合”。传的安全工具可以在物理堆栈到异常行为,并发出警报。 这样传的通过网线的监是不能发出警报的。 一些供应商开发了虚拟安全设备来对付这种阴暗的行为,寻找不经过物理网线的虚拟网络流量,并提供虚拟防火墙和入侵和预防。

    45960

    关于AutoML应用于网络的思考

    一、前言 是网络安全领域一个重要方向。如今在网络安全公司中已经开展了很多利用机器学习、深度学习方法进行的研究。 基于传机器学习技术进行自动化模的AutoML方法主要是基于传的机器学习模型算法,利用数据进行自动化特征工程,自动化模,最后通过自动化调参出一个完整的pipeline。 图6 – 强化学习过程 目前网络安全领域已经部署了一些基于机器学习以及深度学习的模型算法,网络面临数据量大、场景变化多、攻击者手法复杂的特点,因此每次安全研究专家针对单一数据集、单一攻击场景进行模并训练模型 因此基于AutoML立一套应用于网络的模型算法,在面对不同的场景变化时,可以做到自动化适配不同的算法和网络结构,通过空间搜索结合模型自动化达到快速模型并实时响应不同的攻击场景需求,能够助力网安产品提升专业竞争力 关于伏影实验室 伏影实验室专注于安全与监技术研究。 研究目标包括僵尸网络,DDoS对抗,WEB对抗,流行服务脆弱利用、身份认证,数字资产,黑色产业及新兴

    18220

    浅谈ATT&CK:让“攻击手法”拥有通用语言

    一六国,立小篆,由此民族文化交融。而今ATT&CK一攻击手法的描述,让无所遁形。 而根据这些分析,企业可以更好地理解攻击者的后续行为,比如该黑客组织更关注的关键资产部分是什,由此针对性地改善公司的防御体,或通过特定攻击者的情报和攻击手法来模拟试企业的安全能力。 ? 2、情报捕获 结合等级保护条例2.0中提出的部署情报成为合规的必需,以及攻防演练中情报发挥的重要作用,可以预计情报的应用和落地将迎来爆发性增长。 除了发现和响应,如何快速识别并且捕获成为了企业最新的议题。 3、态势感知 态势感知往往是观察、理解、预,对未来的可能发生的事件进行预。 国外体? 对手水平样?常用的战术手段是什? 对比之下,我们和对手的优劣势在哪? 最后,制定一个防御策略。 产品落地?

    69743

    再谈XDR

    Symantec ICDx是XDR的集成,可以将来自多个控制点的遥流添加到一的事件和响应平台中,XDR立在EDR平台的基础上。 SOAR,同时也可以配相关的安全服务以便于此种类型的产品体的良好运营。 Fidelis Cybersecurity提供了先进的端点和响应服务,企业可以深入了解端点活动,在Windows,Mac和Linux上都可以使用。 基于本地情报构安全免疫机制,共享情报,全面提升网路安全防御能力。 亚信安全XDR列产品覆盖云、管、端,包括邮件,能够有效帮助用户构立体防御体。 目前,国内XDR还处于早期探索阶段,仅有少数安全厂商发布了基于XDR的应用。

    49510

    相关产品

    • 高级威胁检测系统

      高级威胁检测系统

      腾讯云高级威胁检测系统(Network Traffic Analysis System,NTA)通过镜像方式采集企业网络边界流量,结合腾讯多年积累的海量安全数据,运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁(APT)。同时,对事件告警原始流量进行留存,方便事后追溯,可极大提升云环境下的威胁感知能力。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券