00:26
其实我们的情报的触触角啊,其实不光是在我们的那个那个C单用户,C单用户只是我们其中的一部分,然后其中还有就是外部,所有的外部公开员收集到所有的就是外部的网络环境里面的数据,以及包括我们部署的蜜罐这些数据,其实这些数据来说,它其实很多是不区分内网和外网的,这是第一个,第二个就是说我们自己客户里面的,这就是他们在他们同意的情况下,我们又拿过来做我们我们的一个生产,在生产过程中,其实我们就会分析这个团伙。这个这批情报本身它的它的攻击的方向到底是什么,就是针对个人用户也好,就是还是说针对企业用户的,一旦是确定他针对企业用户的这批,我们就会同步给我们的企用户的这批。
01:07
这个客户去使用。办公安全这一个其实是非趁落地的一个,第二个像外部这一块的,第三就是像我们自己产品里面,其实包括预预借、预支这些其实都已经有部署。嗯,人工智能的话,其实更多的是在于情报的识别和分析这一块,其实收集的话,其实还是你其实原要主要是触角,但收集的这批数据的话,其实如果按按照纯人工去处理的话,其实是扛不住的,就这批我们我们的处理其实很多都是基于我们的,包括像图挖掘系统啊,包括那个一个深度学习的这种啊,以及像那个域名扩散的一些算法,去通过这种方法去实现我们对于域名的识别和观联。收集这块的合作性,第一就是说我们要必须保证我们的数据的透明,这是第一个,第二就是包括我们如果说需要收集的话,那么我们包括不管是企业也好,还是个人也好,那么其实我们必须给他明确的这种隐私保护协议,就是征得用户同意之后,我们才能收集,然后还有一些开源的,像这种网网络公开的信息其实就还好了,然后所有收集到数据之后,其实我们都必须做透明处理,就是保证我们数据是透明的,这样就符合我们国内的监管,监管的一个需求。
02:31
嗯,那个格式我们有参考,但是整体我们还是会先依托于自己的格式,但是其实格式的还好,就是格式它问题是为了方便各个厂商之间交流嘛,就是在相互之间交流的话,就是它转换成一个通的格式,其实也是没问题的。包括开源的这些情报,其实我们我们第一步只收集,但是并不是说我们收集之后就直接使用,就是首先收集过来之后,第一我们自己会有内部的建立系统去先确定,因为最简单的先我们肯定把里面所有的涉及到的白的这些情报先删掉,剩下的其实都需要过我们自己的,就是内部的智能鉴定系统,确定它是黑的之后,我们才会给同步给我们客户就是。
03:13
甚至有些就是广度特别高的,我们还需要人工做double check,这种就保证我们给客户的是准确的。就是微型报其实是最近新兴起的一个最安全的一个防护方案,其实它本质上是随着我们的移动互联网一起发展起来的,那么其实随着5G的发展呢,就是我们整个的入网设备数量以及入网的方式,其实会有一个班级会的变化,以及一个量的膨胀,那么我认为在未来几年就随着5G的发展,就是那么我们整个微业情报在一些大企业或者是国家的应用应该会也会有一个很大比例的一个上升。其威的情报在我看来其实有两个核心点,第一个就是说所有的关于威胁的信息,这个就包括就是我们所知道的这些病毒团伙的总市民啊,他们的活跃时间呢,他们使用了哪些服务器啊,一些基础设备啊,就是他们的攻击方向是什么呀,以及他们的活跃的时间,活跃曲线,以及针对国家这些信息,还有一个就是说这些情报他分别应该应用于什么样一个场景,就是说他这批服务器地址,或者说他的这个技术信息是应该用到我们的外里面,还是应用到我们的,就是年轻任防护系统里面,还是说要应用到我们的核心资产保护里面,其实这是两个核心的要素。
04:35
威胁情报呢,其实它本质上是一种数据,数据的支持,那么它其实是不能单独的存在遗产价值的,它需要跟我们的传统的一些安全的防护的体系其实合作起来才有价值。如果说我们把我们的企业整作为一个城堡的话,那么其实我们传统的安全的这种防护的手段,其实我们可以认为是拱卫这个城堡的城墙。威胁情报呢,其实就相当于说就是我们的卫兵,卫兵对比,就是他需要和传统的这种防护方式一起,就对我们的整个的。
05:06
就企业的一个安全做到一个安,那个全方位的保障,那么其实对于威胁情报来说,它承担的作用其实有三块,第一块就是最基础的这个我们叫那个应急的情报,就说我们需要提供一些服务器这种支持,就是给我们的安全的防护产品去使用,就是包括我们的外P,包括我们的这个防火墙,以及包括我们的就是零信任系统,这种就是直接去起到一个拦截和防护的作用。第二步是说,其实我们针对企业内部已经发现的这种威胁,其实我们需要对它进行溯源和分析,就是看他从哪里来,就是对哪些场景就是可以穿透,其实最终会造成一个什么样的影响,让我们的安全运营的团队们和企业去做决策。第三步来说,其实更高高阶点呢,其实叫战略,战略级的情报,那么其实他需要说就对当前的整个安全体系,就是整个安全趋势做一个分析,就是说目前存在哪些安全的隐患,以及未来可能造成哪。
06:07
家庭的威胁,那么给我们的安全决策同学们做一些指引,那么我们需要在哪个方向去加强,就是我们整个企业的安全能力,就是微信包对企业作用来说,其实它是可以更快的,就是更快更好的去增加我们对于这个新的威胁的一个防护的能力,其实它本质上来说就是最大的作用是在于就是因为它快嘛,就相对于传统的这个防护安全升级来说,它都非常快,那么我们可以提高就是我们现有企业对于整个安全防护的一个响应的速度,那么提高攻击者对于整个安全攻击的一个难度,从而保护我们整个企业的核心资产,就是像数据这些,以及我们的外部环境的一个安全。是这样的,就是这块就是我觉得最重要的就是说首先呢,就是威胁,就威胁情报它不是一个单独存在的东西,它必须跟我们现有的就是传统的安全的这种防护手段以及防护体系其实结合在一起,才能产生更大的价值,如果说不应用微胁情报的话,那么我们只应用我们传统的这种安全的防护体系,那么会存在哪些问题呢?也就是其实现在就是我们以及很多企业会碰到的,第一个就是说告警的一个过载的问题,就是或者说误报的问题,这是两个问题,就是带他产生的原因是差不多的。
07:23
就这会导致就是每天我们的各个设备会报上来各种各种各样不同的报警,这些报警里面其实有按之前统计,应该至少有50%以上其实是无效的报警。那么这个会导致就是在你的安全运营人员非常有限的情况下,那么其实你的精力就会淹没在这些无效的告警之中,导致真正有威胁,这些其实我们是很难发现的。第二个就是说很多企业他其实会采购多家的设备,每个设备其实会有自己不同的。就是设备的数据的方式,那么其实很难有一个人能够对全盘有所了解,那么一旦这种设备之间就是存在一些空档或者漏洞的话,其实是很难发现的。
08:01
这是最大的两个问题,那么如果说应用安全情报之后,第一块就是说我们可以运用这种情报去对整体的数据进行分析,对所有的威胁进行分析和分类以及分析。那么我们就可以让我们的就是安全运营的团队,其实可以更快的响应这种高危的威胁,那么尽快的响以及处理,就是把这些安全问题解决在萌芽中,第二就是说我们通过就是在企业企业内已经发生的安全问题啊。其实在。溯源和分析的过程中,那么我们就可以一步一步的往前查看一下,他是通过什么渠道,就是通过哪些设备进来的,那么我们可以找到我们之前的这种安全体系的漏洞,那么我们也可以有针对性的去针对这块做防护的调整和升级,就让整个的体系更加安全。构建整个威胁的防护体系啊,就是其实这个运营这一块其实是有三个较大难点,就这一块,第一是你必须要有充足的数据,就极其海量的数据,第二你要有很强大的数据处理能力这一块,第三就是说你必须有一个持续的,而且对整个行业了解的一个安全团队,这样才能对这批数据做一些针对性所需要的处理,我们通过我们自己的长期运营,就是我们的探针。其实。
09:19
我们有一个。很海量的一个数据的收集的这样一个一个系统在运作,那我现在基本上每天可以收到2万亿甚至更多的,这是我们的系统日志数据,然后本身我们自己,然后通过我们的安全大脑这个大数据处理平台,这批数据我们基本上是可以响应的,就是在当天内可以全部处理完成。然后依托于我们整个就是有20多年经验的这种运营团队,他们的经验沉沉淀,以及利用大数据的一些算法,把这些经验沉淀一些我们的流程之中,那最终可以把这批生产成我们最终的威胁情报。这样我们我们现在每天生产的微情况里面,其实有90%以上都是通过我们这个系统来产生的,这样的。
10:01
那么对于威胁情报来说呢,其实他就是还有一个核心点,就是说你除了他的本身的情报的准确性之外,其实还有一个是很重要的是可用性,就是你不能光告诉用户说这个情报是一个黑还是白,其实你应该要告诉他这个情报。他他的黑白属性之外,还有手,他是做什么的?他属于哪个团伙,他所需要攻击的对象是什么?因为他可能是攻击能源行业的,或者是攻击金融行业的,那么这样的话,我们才能把这个情报同步给对应的企业之后,那么对应的企业就是使用我们威胁情报的企业,那么它可以根据我们同步的信息决定这个情报是需要用还是不需要用,或者说需要应用到什么样的场景。第二个是说情报生产出来之后呢,其实还有一个很核心的问题,就是说我们买了我们情报的用户,就是这些企业如何去使用它,如何去更好的使用它。那么这一块其实我们对于我们整个买到我们用户之后的这个用户的话,我们会跟他进行一个持续的跟踪和那个产品的交互,去保证他在使用过程中是符合我们最开始设定的预期的,那么对他重间反馈的问题,那么我们也可以实时的响应,就是告诉他这批应该如何去调整和部署,让他达到一个最优的效果。
我来说两句