微步在线-威胁情报领军品牌安全智能 情报驱动威胁感知平台—TDPCONTENTS目录背景与需求 应用场景与案例功能、部署与特点产品价值与理念概述 围绕该产品从市场状况、安全现状、需求、技术趋势等方面，为产品的 产生原因、市场定位、应用价值提供铺垫。背景与需求分析—态势恶化+告警疲劳+分析响应难 •APT、黑灰产等组织持续活跃 •远控木马、勒索病毒、定制 化恶意样本，结合社工，攻 击手段多样化 •0-day、N-day、未知威胁、 恶意工具服务化 •威胁态势复杂化、隐蔽化、 针对化、专业化安全态势恶化 海量告警疲劳 •基于签名特征检测技术，告警 数量大、内容抽象，难以分辨 真实威胁 •告警、原始数据、情报割裂难 以进行内部关联与溯源分析 •缺少情报数据支撑，难以实现 “知己知彼” •策略编排与自动化阻断落地难分析响应困难 •随机攻击与针对持续攻击并存 •边界、流量、终端、态感产品 告警激增 •各类告警数据上下文缺乏且相 互割裂 •告警疲劳分散精力、拉低效率、 拖垮安全团队背景与需求分析—等保2.0要求 《网络安全法》 对于能源等重要行业和领域在等保的基础上进行 重点保护，构建监测分析平台，加强对威胁的监 测能力 《“十三五”国家信息化规划》 建设网络安全威胁监测处置平台，加强网络安全 信息共享 《中国银行业信息科技“十三五” 发展规划监管指导意见》等保2.0规范明确提出测评需应用“威胁情报检测系统” *微步在线作为等级保护测评规范参与单位之一，是其中唯一一家专注提供威胁情报能力的厂商 需要增强重大网络攻击的发现、分析和处置能力， 建立威胁情报共享机制和技术平台 Ø二级、三级、四级要求：企业需要 部署“威胁情报检测系统” Ø三级、四级要求：引入威胁情报库， 并需要升级到最新版本产品价值与理念 阐述产品在威胁情报、检测、分析、响应方面的理念、价值和优势特点。产品理念与价值—实现全方位的威胁监控，覆盖攻击链每个环节 5 命令与控制 7 行动或数据窃取 6 内网渗透 3 漏洞利用 2 投递武器 4 工具安装 1 扫描/侦查 应用发现CVE-2017-3248 C&C: 72.11.140.178 下载挖矿样本挖矿 CVE-2017-10271 搜集邮箱 鱼叉式Email发送邮件 Office漏洞 PowerShellC&C: ***.windowsupdate.topWindows漏洞 Over Pass the hash窃取资料 产品已覆盖 产品理念与价值—检测、分析、响应、预防一体化 多种检测技术 •威胁情报 •异常规则 •机器学习 •本地引擎 •文件、URL沙箱 •自定义情报自动化响应 •旁路阻断技术 •终端通信阻断 •终端定位取证 •终端专杀工具 •联动阻断设备智能分析 •针对性攻击、攻 击成功分析 •智能聚合告警与 敏感行为 •网端日志、文件 还原与PCAP回 溯分析情报驱动预防 •基于情报关联攻 击者其他资产 •基于情报预测攻 击者行为