基于端点的APT攻击防御 ----杭州义盾商业计划书

Slides:



Advertisements
Similar presentations
第十五课 词汇与句子. 学前导航 在本课里, 我们将学习韩国语的词汇和句子。 进入学习 韩国语的词汇一共可分为 4 类,即固有词、汉字词、 外来词、混合词。 固有词是指韩国国民按照固有的语言资料和造词方 法创造的词语。韩国语的固有词不到整个词汇的 20% , 但是都是历史上流传下来的基本词汇。
Advertisements

维普考试服务平台使用指南. 资源与应用的有机整合 资源与应用并举。 职业资格考试、高校课 程试题、在线考试、移 动应用 4 个模块。 在线考试与系统题库资 源的完美整合。 1 多模块 2 在线考试 3 移动端 移动端的资源复用。
台中市牙醫師公會 社會教育委員會 蔡佩音醫師 迎接新口腔時代. 蛀牙 v.s 全身疾病.
報告人 : 林秋寒. 08:00 從屈尺出發 09:30 到達小人國 11:00 到達六福村 12:30 到達龍騰斷橋 2:00 到達月眉育樂世界 4:00 到達民宿 10:00 到達南方澳 12:00 到達鯉魚潭.
苏宁易购 Suning. com 双十一营销策略
职业指导服务系统 欢迎了解职业指导服务系统!
100學年度第1學期院導師會議 學務工作報告   報告人 黃學務長心雅.
課程地圖 (104年入學-日間部) 校通識核心 專業課程 必修與選修 與管理模組 網路技術 App設計與應用模組 學院通識核心 學院專業核心
应对XP停止服务事件 终端安全配置服务接管计划
丁 频 农业及食品饮料行业高级分析师 贺菊颖 中药行业分析师 王友红 化学制药及生物制药行业分析师 路 颖 商业贸易行业首席分析师 1.
5-1-0 模組五:計畫篇 踏上戒菸路 主題一:戒菸診療室 主題二:戒菸向前行.
Special Report 與健康有約 IT/CIM8C/IIS 謝志雲.
Specia`l Report 與健康有約 IT/CIM8C/IIS 謝志雲.
101學年度 永和國中 八年級社團活動 A組社團開課簡介 選填班級:801~819
個人傷害險-鐵馬逍遙專案 商品介紹 商品特色 保障內容 承保對象 保險費 案例 業務費用及淨業績 車險部業務規劃科.
塑身與SPA 主講人:陳盈錦.
中国历史 七年级下册.
精品开放课程的 建设与应用 谢幼如 教授 广东省高校教育技术中心 华南师范大学教育信息技术学院
澎湖創新旅遊˙觀光工廠.
维普考试服务平台使用指南.
龙芯多媒体电脑教室培训 龙梦极域电子教室 江苏龙芯梦兰科技股份有限公司.
导游资格证考试概要.
門神 在傳統觀念中,門是居住環境中與外界相通的出入口,具有重要的屏障作用。門神顧名思義就是護宅守門的神仙,每逢過年,上至天子百官下至普通百姓,家家戶戶必在門上張貼門神,以保一家平安。 門神種類主要有宅第大門上將軍武門神、內室門戶上祈福文門神,還有童子門神、仙子門神等,形象豐富多樣,皇家貴戚還往往在畫上瀝粉貼金,十分吉祥喜慶。
南通万科任港路项目营销方案 赢商网-运营中心,最专业“商业地产在线商学院”,海量专业资料每日更新中!
101學年度 永和國中 七年級社團活動 A組社團開課簡介 選填班級:701~722
猎娱.生态产业 商业策划书 联系人:陈相宇 狼族(上海)网络科技有限公司.
長高 長壯 ㄋㄟㄋㄟ補給站 每天2份奶~~健康跟著來!.
门店助手V3.1.0版 用户操作手册 广东蜂助手网络科技有限公司 2015年03月.
提高自身素质做好 新时期班主任工作 北京市广渠门中学 高金英.
峰信 电话管理系统 产品介绍 上海艾家电子商务有限公司 2011年7月.
普通话模拟测试 与学习平台 使用指南.
香港普通話研習社科技創意小學 周順強老師.
全面预算管理培训 北大纵横管理咨询公司 2003年10月.
歷史的耶穌 普通話學人之家 June 21, 2003.
網路小說劇情建構與伏線營造 Windows98.
易學基礎教程 國文系99 王隆運. 易學基礎教程 國文系99 王隆運.
无线行业市场数据月报 市场部 2013年7月 飞拓智库
你今天電磁波了沒 第一組 s10118黃靖庭 S10128余長祐 工作分配:黃靖庭:整理資料,做檔案 余長佑:蒐集資料,實驗.
第7章 行政监督.
提升课堂质量 助推教师成长 促进教学改革 “一师一优课,一课一名师”活动总结 河南省实验小学.
幼儿戏剧的特点和价值 合肥幼儿师范高等专科学校 王丽.
PortableAPPs 製做我的行動學習碟
住宅部門能源消費及節能意識之性別差異分析
关于整合检验检测认证机构实施意见的通知(国办发〔2014〕8号)
推进德育创新 做好新时期班主任工作 北京市广渠门中学 高金英.
高雄市復華中學—實習處 實習處—楊順惠 主任.
江西省专业技术人员 继续教育信息管理系统.
休閒與社會 教師:陳怡伶 性別與休閒議題 組員 B 吳恩銘 B 邱子豪 B 李國豪
92-90數學課程綱要比較 -- 不含數與計算 台北市立師範學院 數學資訊教育系副教授 李源順.
网络地址转换(NAT) 及其实现.
第六节 白涩症.
目 次 研究動機 簡介 產品 服務 品牌決策 SWOT分析.
第四組-HTC宏達電 林杕亞497E0031 沈姿菁497E0096 黃亭睿497E0102.
基本硬體介紹 1.主機板 2.CPU(運算中心) 3.記憶體(RAM-短暫記憶資料處) 4. 硬碟(HDD儲存資料處) 5.顯示卡(接螢幕)
TMT面临嬗变 —— “5.19”能否重演 IT分析师 张小嘎 86-21- ×2062
研究地月距離的變化.
校 園 雲端輸出管理系統 新印科技股份有限公司 聯絡人:伍宏一 電 話: /
Schedule of Thematic Display 2012
给孩子做一面明亮的镜子 给孩子做一面明亮的镜子.
P ANNUAL REPORT DESIGN BY PENELOPE ENTER THE TIME
人类失去联想 世界将会怎样! 联想手机业务战略分析 小组成员:蔡昭 董伟 方坤 周伟.
旅遊簡報 班級:六年三班 姓名:白采璇.
新一代无盘技术 在图书馆电子阅览室的应用 报告人:张智翔 /4/9.
Vision for 2007 相片: 南寧德天大瀑布- 靖西通靈大峽谷 – 明仕田園 文字: 阿虫 音樂: 幽蘭逢春 (笛子)
資訊基本概念 與 資訊與生涯及資訊的未來發展
——向刑事案件被告人家属调查取证的伦理性讨论
11月份豆油价格区间震荡 宏源期货农产品团队 张磊 2011年10月29日.
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
賀 美容系全體師生同賀 捧花設計組 第一名: 葉思妤 第三名: 蔡佳樺 第三名: 沈彩榕 第四名: 吳珮瑜.蔡嘉淇.林穎萱.吳佩燕
2013年产品运营部述职报告 赵杰 2013年12月31日.
Presentation transcript:

基于端点的APT攻击防御 ----杭州义盾商业计划书

APT防护方案市场容量五年翻一番 APT 防护方案的市场容量预计会从2019年到2023年翻倍(100亿美金左右) Gartner预估: 目前EDR市场有4000万个端点; 到2020年全球会有1.5亿个端点部署; - Source: RADICATI GROUP Market Quadrant 2017 中国已成为全球APT攻击第一目标国! 美国遇到的APT攻击绝大多数来自中国?

传统防御手段不足以应对以APT为代表的新型攻击。 由于APT通常使用0-day漏洞和未知恶意软件,且全程由攻击者参与,其侦查与攻击手段相比于传统攻击更加隐蔽。 同时黑客有各种方式来绕过现有的APT防护方案。 对基于网络流量的分析的下一代防火墙,对流量进行加密绕过; 对静态特征检测的防病毒软件,对恶意软件进行混淆绕过; 对动态沙箱检测,对沙箱进行反侦测,给出错误行为绕过; 端点防御是满足市场对准确度和响应时间需求的最佳选择

目前竞争态势 国际已经有一些EDR的独角兽 CrowdStrike ,Carbon Black,etc HIDS VS. EDR 响应时间 快 防火墙 基于行为分析的EDR 国际已经有一些EDR的独角兽 CrowdStrike ,Carbon Black,etc 杀毒软件 基于日志文件的分析 精确度 (抗逃逸,覆盖率) 低 高 HIDS VS. EDR 沙箱 慢

技术对比 技术对比 抗逃逸 可靠性 实时 基于网络检测 基于静态特征检测 Hooking 沙箱 操作系统底层数据行为检测 (义盾基于ETW数据) 逃逸技术: 反沙箱 混淆 加壳 hook的弊端 ,操作系统的稳定性 。全局hook会增加 系统开销。 带宽 8KB/s

杭州义盾EDR系统技术创新点 通过系统底层监控以检测恶意行为及其语义。我们设计实现了国际首款从操作系 统内置的监控工具(如ETW for Windows)收集的底层行为数据推断出如 keylogging等的恶意行为语义,来对抗逃逸攻击,并且系统的开销低到可以忽略。 通过数据流和控制流实时重建整个攻击链。我们首创以控制流和数据流实时聚合 检测到的攻击点,来构建出一个完整准确的APT攻击链, 从而大大提高检测精度 并可实时阻断。 对混淆过的PowerShell攻击进行检测。混淆过的powershell恶意程序可以轻松绕 过所有VirusTotal上厂商的检测,我们提出了一种轻量级的去混淆方案来实时检 测它。 1秒钟检测 1分钟响应 零误报 实时溯源

–全面防护功能 安石EDR:基于行为特征的高级持续威胁检测 0Day攻击的首轮防御 单点突破后的有效防御(东西向) 系统的自我防护 为其它厂商提供威胁情报和特征 系统根据多维度的细粒度数据和丰富的行为语义关联性,高效快速的还原出恶意攻击链条。让黑客的各种事后掩盖和混淆手段无所遁形。使企业安全维护人员能够迅速溯源攻击,定位威胁,及时清除威胁。

–灵活支持各种部署模式 数据采集器(Collector)灵活支持各种操作系统 Windows 7/10 Linux 云主机 轻量系统开销: CPU <2% (based on Intel® i5 processor testing) Memory 100MB HDD 100MB 带宽<8KB 检测引擎(Detector)支持各种内网和云端部署方式 按照端点收费模式 Windows小版本升级,系统无需升级 没有特征库

-高效实时还原攻击链 原始数据 35,650,758 系统调用事件,包含30个合法程序,529个系统进程 3 个系统集成被义盾安石检测系统侦测出来有恶意,包含了RemoteShell 和 ScreenGrab两个恶意行为 所有进程关联数据如右图 溯源取证自动算法 准确定位了22个与恶意行为相关的进程(4% of 529) 准确还原了攻击链条,包括被黑客在事后擦除的系统日志

团队 中科大93级计算机系毕业,20年网络建设和信息安全销售经验,与多个运营商、企业、金融等用户保持合作关系和长期的销售渠道。 浙江大学91级混合班/信电系毕业, 二十年以上市场营销经验, 一次创业经历。 16年 安全领域技术专家 10年赛门铁克终端安全经验 3年天空卫士创业经验 沈阳贵 销售 李盛 产品战略/市场 廖明生 运营/资本 首席科学家 陈焰教授 浙江大学91级混合班 伯克利博士 浙江大学客座教授 美国西北大学教授 首席架构师 熊春霖 浙大信息安全在读博士 浙江大学91级混合班/计算机系毕业,二十年以上的Intel,ZTE,Broadcom知名外企研发中心的产品和研发经验。 浙江大学92级混合班/能源系毕业,十九年以上的UT,Nokia,等知名企研发中心的产品和研发经验,有多次创业公司CTO经验。 浙江大学92级混合班/计算机系毕业,十九年以上的英特尔,戴尔计算机,贝尔实验室等知名外企研发中心的产品和研发经验。 杨海 研发 宋哲 研发 王昆 研发

市场策略和客户 2019年预计销售额300万人民币

奇盾MAGIC SHIELD 产品 – 产品开发路标 Nov 2018天使轮资金到账 办公室装修完工 Oct 2017 公司成立 Aug 2018 天使轮融资签SPA May 2018 产品算法原型完成 May 2019 试用客户部署 Aug 2019 商用客户部署 You can remove this slide in the interest of time. Dec 2018 产品 MRD确定 April 2019 产品Windows版本完成 July 2019 产品Linux版本完成 Sep 2019 产品国产Linux支持 June 2020 Android支持

典型的APT安全事件….. BYOD渗透进入 2011年,“震网”(Stuxnet)蠕虫病毒侵入了伊朗核电站的西门子工业控制软件,导致1/5愈1000台离心机报废,核计划延迟3年。 https://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html

中国APT攻击受害情况 38个APT组织,覆盖国内多个省份。 政府、企业、军事、基础设施等都是 APT攻击的受害重灾区。 - Source: Fireeye RSAC APT Report 2019

APT 防护方案的全球企业市场容量预计 会从2019年的43亿美金快速扩张到2023年的94亿美金。 Gartner预估:目前EDR市场有4000万个端点; 到2020年全球会有1.5亿个端点部署; - Source: RADICATI GROUP Market Quadrant 2017

传统防御手段不足以应对以APT为代表的新型攻击。 由于APT通常使用0-day漏洞和未知恶意软件,且全程由攻击者参与,其侦查与攻击手段相比于传统攻击更加隐蔽。 同时黑客有各种方式来绕过现有的APT防护方案。 对基于网络流量的分析的下一代防火墙,对流量进行加密绕过; 对静态特征检测的防病毒软件,对恶意软件进行混淆绕过; 对动态沙箱检测,对沙箱进行反侦测,给出错误行为绕过; 对黑客攻击IP源地址的检测和情报搜集,动态改变C&C地址绕过 端点防御是满足市场对准确度和响应时间需求的最佳选择

目前竞争态势 响应时间 精确度 (抗逃逸,覆盖率) 国内市场缺乏真正的EDR厂商 HIDS VS. EDR 国际已经有一些EDR的独角兽 快 国内市场缺乏真正的EDR厂商 防火墙 基于行为分析的EDR HIDS VS. EDR 精确度 (抗逃逸,覆盖率) 杀毒软件 基于日志文件的分析 低 高 国际已经有一些EDR的独角兽 Crowdstick ,Carbon Black,etc 沙箱 慢

安石EDR:基于行为特征的高级持续威胁(APT)检测 –全面防护功能 安石端点检测响应系统 (EDR) 专注在入侵之后的攻击行为检测 国际上首个底层细粒度监控, 抗逃逸,和态势感知的实时检测技术 给出整个攻击链的起源分析和溯源分析 基于控制流和数据流 0Day攻击的首轮防御 单点突破后的有效防御 系统的自我防护 系统根据多维度的细粒度数据和丰富的行为语义关联性,高效快速的还原出恶意攻击链条。让黑客的各种事后掩盖和混淆手段无所遁形。使企业安全维护人员能够迅速溯源攻击,定位威胁,及时清除威胁。

–灵活支持各种部署模式 系统由检测引擎(Detector)和轻量级的数据采集器(Collector)组成。 Windows 7/10 Linux 云主机 检测引擎(Detector)支持各种内网和云端部署方式 按照端点收费模式 系统由检测引擎(Detector)和轻量级的数据采集器(Collector)组成。 Collector可以部署在企业每一个需要保护的系统主机,包括物理PC、服务器和虚拟化主机。 Detector部署在能连接到这些Collectors的服务器或者私有云上,共同协作形成一套完整的终端安全防护方案。

-高效实时还原攻击链 原始数据 35,650,758 系统调用事件,包含30个合法程序,529个系统进程 3 个系统集成被义盾安石检测系统侦测出来有恶意,包含了RemoteShell 和 ScreenGrab两个恶意行为 所有进程关联数据如右图 -高效实时还原攻击链 溯源取证自动算法 准确定位了22个与恶意行为相关的进程(4% of 529) 准确还原了攻击链条,包括被黑客在事后擦除的系统日志

团队 中科大93级计算机系毕业,20年网络建设和信息安全销售经验,与多个运营商、企业、金融等用户保持合作关系和长期的销售渠道。 16年 安全领域技术专家 10年赛门铁克终端安全经验 3年天空卫士创业经验 浙江大学91级混合班/信电系毕业, 二十年以上市场营销经验, 一次创业经历。 沈阳贵 销售 李盛 产品战略/市场 廖明生 运营/资本 首席科学家 陈焰教授 浙江大学91级混合班 伯克利计算机博士 浙江大学客座教授 美国西北大学教授 首席架构师 熊春霖 浙大信息安全在读博士 浙江大学92级混合班/能源系毕业,十九年以上的UT,Nokia,等知名企研发中心的产品和研发经验,有多次创业公司CTO经验。 浙江大学92级混合班/计算机系毕业,十九年以上的英特尔,戴尔计算机,贝尔实验室等知名外企研发中心的产品和研发经验。 浙江大学91级混合班/计算机系毕业,二十年以上的Intel,ZTE,Broadcom知名外企研发中心的产品和研发经验。 王昆 研发 宋哲 研发 杨海 研发

奇盾MAGIC SHIELD 产品 – 产品开发路标 May 2018 产品算法原型完成 Nov 2018 天使轮资金到账 办公室装修完工 Oct 2017 公司成立 May 2019 试用客户部署 Aug 2019 商用客户部署 Aug 2018 天使轮融资签SPA Dec 2018 产品 MRD确定 April 2019 产品Windows版本完成 July 2019 产品Linux版本完成 Sep 2019 产品国产Linux支持 June 2020 Android支持

市场策略和客户

Pre A 轮 融资金额 3000万左右!

THANKS