2022年,从全球安全来看,勒索攻击、APT攻击等高危害性网络攻击愈演愈烈,国内外数据泄露事件频发;从国内政策来看,今年14项网络安全国家标准获批发布,网络安全越来越受到国家重视。然而,随着黑客工具的频繁更新、新型病毒的不断迭代、RaaS(勒索软件即服务)模式的盛行,企业单位对安全的诉求也越来越强烈,对安全技术的要求也越来越高。

深信服作为国内专注于企业级安全、云计算及基础架构的产品、服务和解决方案的供应商,近日盘点了其2022年的十大升级技术,威胁的精准检测定位、业务安全访问与接入安全、数据安全、应用开发安全……

针对用户遇到的这些安全建设痛点,在面对业界普遍面临的技术难题上,深信服是如何解决的?接下来,我们就进入盘点:

安全的本质是攻防,而防御的核心在于精准检测。还记得去年,我们给大家盘点了我们在主动检测、IoA高级威胁检测、加密流量检测和未知威胁挖掘上的检测能力,今年在检测能力上,深信服的目标就是更加精准。

未知病毒检测:AI检测引擎SAVE升级

为进一步提升未知病毒的检测泛化能力以及快速更新迭代能力,深信服引入基于多智能体模型算法推荐架构,对可疑病毒文件进行多重检测。

首先通过AI技术(word2vec,主成分分析)对文件隐藏的静态恶意文本字段进行自动化提取,然后综合多种AI模型算法(随机森林算法,神经网络)对提取的恶意文本字段进行自动化分析,实现未知病毒的多分类精准定位检测,还能够持续快速迭代。

未知行为检测:base引擎检测终端异常行为

为了绕过安全系统的规则检测,越来越多威胁以人工介入的0day漏洞利用、复杂攻击等行为进入网络,深信服从来自数百万终端的安全运维及1000+实战攻防对抗事件中,沉淀出从异常行为模型、智能学习、异常研判、基线调整等的异常自学习引擎Behavior Anomaly Self-learning Engine(base),快速发现规则检测难以检测的未知攻击、无文件攻击、APT攻击等行为。

攻击链溯源:智能遥测和SENSE攻击成功引擎

遥测数据是经过最小化处理的数据,是为了证明特定攻击行为而产生的。这种遥测数据和元数据最大的不同是它是和特定的攻击技战术行为相关。

遥测技术不仅仅是对已知风险进行判断和响应,而是通过将各遥测点采集的遥测数据进行聚合与分析,深度了解所保护或监控的对象中是否存在的安全风险与攻击(含隐蔽的),进而形成安全日志。遥测数据可以帮助用户回溯之前已经发生过的相关安全事件,让网络安全具备可观测性。

同时随着安全检测技术演进,生成的安全日志增多,哪些行为是攻击成功、需重点关注及处置,又成为难题。因此,定位攻击成功的威胁变得越来越重要。

深信服Sense攻击成功引擎在E+N检测基础上创新合入语义分析技术识别攻击意图、上下文的关联分析技术识别攻击成功。

未知资产梳理:AI赋能未知资产识别

深信服通过未知资产识别技术提升资产规则库的数量和质量,最终赋能各类具备资产识别能力的产品,包括但不限于可扩展检测响应平台XDR、云镜、物联网接入安全网关SIG、下一代防火墙AF。

深信服未知资产识别的核心算法已申请了10+项发明专利,涉及指纹推荐、指纹自动生成、机器学习资产识别等。

零信任作为新一代的网络安全防护理念,如何做到高稳定、高安全、高易用地落地,成为了业界关注的焦点。

第三代SPA+一人一码技术,打造零信任安全接入基础

用户在进行业务接入安全建设时,为保障业务接入身份合法性,零信任的安全接入已经被广泛使用。其中防止不法分子嗅探服务,通常使用SPA单包授权技术,实现服务隐身,从网络上无法连接、无法扫描。而传统方式通过UDP或TCP的SPA技术,要么会造成源IP放大,要么端口暴露,不够安全。

深信服aTrust创新采用了UDP+TCP混合的第三代SPA技术,结合前两种SPA单包授权的优点,建立接入稳定安全的基础,并提出“一人一码”管理模式,改变过去控制软件包或终端等传统模式,有效解决安全码丢失、安全码冒用等问题,进一步提升用户接入的安全性。

高性能分布式集群架构,保障安全更稳定

今年,深信服在零信任落地实践上也取得了诸多突破性的成绩。

深信服aTrust推出了X-Performance 2.0分布式高可靠架构,在安全性层面上,X-Performance采用了端云联合计算架构,支持安全因子在终端+云端联合检测,以降低服务端负载、提高响应速度,同时也在云端做安全策略最终核验,防范终端被攻破、保障安全效果,取得性能和安全间的优异平衡。

X-Performance 2.0架构已在某大型客户处落地实践,一套分布式集群统一管理4个集群节点,支撑了200万+终端、日并发在线110万+的真实使用,分布式内所有用户会话可在各集群节点间漂移,充分保障业务超大并发下安全可靠、连续使用。

各行各业的业务逐步向微服务化、无服务化、边缘计算、应用交付SaaS化趋势发展,数据共享开放变得越来越普遍。然而,这也给黑客提供了更多“商机”,企业的核心数据,一个不留意就成了暗网买卖,企业名誉受损,甚至面临法律惩罚……数据安全保护刻不容缓!

面向API场景的脆弱性风险检测,全面识别潜在安全隐患

当大数据平台或业务系统通过API进行数据传输时,因为API自身的不可见性,安全管理员往往难以掌握API资产现状以及接口的安全情况。

深信服通过丰富的脆弱性检测规则,能够有效进行API资产管理和接口脆弱性的检出,识别发现潜在接口未鉴权、安全规范、敏感数据泄露等因接口自身设计缺陷而带来的安全隐患,通过自动化验证工具进一步佐证风险的危害性,实现精准的风险闭环。

利用脆弱性检测技术,我们协助用户有效闭环了多个高危API数据安全泄露风险。

面向API场景的UEBA数据异常行为检测,精准有效识别异常行为风险

面向API的异常访问调用或攻击风险,传统的安全防护手段主要以边界安全为主,在安全能力上无法覆盖到API敏感数据的保护,从而导致API数据泄露和违规访问的风险依然无法规避。

深信服通过大数据与UEBA用户行为分析技术,对用户数据访问流量进行建模,自动生成安全基线,并结合异常行为特征模型对数据访问行为进行研判,生成异常访问行为风险告警。

结合实战攻防场景,梳理高危的API数据泄露场景,基于异常行为风险告警,做进一步的自动化关联分析,以场景化的视角还原攻击过程。管理员可以通过安全事件了解整个异常事件产生的风险画像,降低风险分析的难度,提升告警精准率和安全事件闭环效率。

此外,深信服情报云实时进行暗网监测,如有疑似数据泄露事件也将通过深瞻情报实验室威胁情报专家第一时间进行响应分析。

业务or安全?成为横亘在应用软件开发阶段的一道坎,而应用的快速迭代,也让现有安全举措难以匹配业务进行有效防护。

VPT漏洞优先级排序技术+IAP-vPath应用内生虚拟补丁技术

深信服VPT漏洞优先级技术,基于漏洞所对应的资产重要程度、影响范围,以及漏洞可利用程度和黑客攻击频率几个重要维度,帮助用户快速分析漏洞的风险等级,风险等级高的优先修复,有效降低风险。

IAP-vPatch虚拟补丁技术,可以在业务运行中植入虚拟补丁,不影响业务运行的情况下,针对应用漏洞进行精准拦截,对应用漏洞进行虚拟修复,提升应用安全免疫能力。

除了在产品与方案上的技术落地,在安全技术研究上,深信服也在持续对外分享。

今年深信服千里目安全技术中心也迎来了全新升级,以“6+1”实验室的架构与大家见面,以前沿、开发、共享的价值理念,在国内外的技术舞台上分享交流着安全技术研究。

致力于让所有用户的安全领先一步

深信服一直保持着对用户数字化安全需求的深入研究与分析,从云化转型、平台化升级、AI赋能、安全左移四个方向,努力实现网络安全的数字化转型,坚持技术创新,重视技术实用性,致力于打造集安全效果与体验于一体的,简单有效、省心可靠的安全产品,致力于让所有用户的安全体验领先一步,安全效果领跑一路。