《陈奋基于威胁情报驱动的云安全实践》由会员分享,可在线阅读,更多相关《陈奋基于威胁情报驱动的云安全实践(36页珍藏版)》请在金锄头文库上搜索。
1、安全狗 CEO 基于威胁情报驱动的云安全实践 陈 奋 基于威胁情报驱动的云安全平台架构 基于云安全平台攻防数据的威胁情报分析模型 基于云安全平台攻防数据提取到的威胁情报 威胁情报在云安全平台的应用 1 2 3 4 目录 Contents Section. 01 基于威胁情报驱动的云安全平台架构 威胁情报(TI)研究的重要意义 Gartner 对威胁情报的定义: 基于证据、关于资产所面临的现有或新兴威胁及风险的认识,包括环境、机制、 指标、可能结果及可付诸行动的建议,可为威胁或风险应对决策提供信息。 谁/为什么/哪里 什么/何时 如何 战略 战术 运营 基于威胁情报驱动的云安全平台架构 以 威
2、胁 情 报 为 驱 动 漏洞情报威胁情报威胁情报 威胁情报 漏洞情报 输入输入输入 输入 产生产生产生 漏洞情报威胁情报威胁情报 公有云用户 私有云平台 漏洞风险 配置风险 基线安全 权限风险 人员/资产风险 云安全管理平台 风险管理 攻击分析 定向攻击 高级威胁 日志分析 攻击威胁 行为监测 日志监测 完整性监测 流量监测 持续监测 安全加固 安全策略/规则 黑白名单 联动响应 Section. 02 基于云安全平台攻防数据的 威胁情报分析模型 数据! 大量的数据! 大量的实时数据! 大量的、实时的有效数据! 威胁情报研究的基础 深 度 分 析 和 挖 掘 安全狗用户全球分布图 2,800,
3、000+ 日均拦截超过 2亿 次攻击,涵盖WEB攻击、系统攻击和网络攻击 日均拦截超过两亿次攻击,获取的威胁数据和事件实时性强、随机性大、可观测度高、攻 击信息和特征丰富,足以支撑对威胁的证据提取,以及对事件(现象)场景的构建 安全狗 服云已覆盖超两百八十万台的(云)服务器,解决了循证观测中单点数据 量少与随机性不足的问题 进行威胁情报研究的数据优势 安全狗拥有海量、持续且多维的独有数据 具备实时应对活动数据的采集能力,足以支撑应对活动有效性的判断,指导建立应 对活动的经验决策模型和应急式响应的效果观测 安全元数据 攻防情报推演 TIMEWHERE HOWWHO WHYTARGET 攻击链路
4、攻击技法 目标族群 攻击时间线 攻击者 利益链 黑 客 族 群 定 位 安全威胁情报产生 恶意URL 恶意IP 恶意DNS 恶意行为 公有云 大数据分析平台 威胁情报生产平台 攻击组织者 攻击目的 行业覆盖度 活跃程度 外部情报 只有经过分析并打上更深层次属性标签的安全数据,才具备情报价值, 否则还只是传统安全规则类型的数据。 每家公司都有自己数据的特点和分析的视角,需要加强数据共享和碰撞 才能使数据的情报价值全面提升。 Section. 03 基于云安全平台攻防数据 提取到的威胁情报 (1)黑IP的故事 举例:关于黑IP趋势的观测 安全狗每天可捕获超过 100,000 个黑IP,并同步给所保
5、护的用户设备 黑IP的价值链 长期活跃的 短期活跃的 基于代理跳板的 扫描器家族 暴力破解家族 批量扫漏洞家族(扫系统漏洞、 WEB漏洞) “黑色”SEO组织 针对金融等行业目标的渗透组织 羊毛党 被控制主机 其他基础属性 (WHOIS、机房信息及 地理位置) 标签属性越丰富的黑 IP,价值越高 黑IP家族追踪分析:暴力破解党 (1) 暴力破解党 针对(云)服务器攻击占比最大(相信各大云厂商也是这个结论) 控制大量肉鸡进行分布式破解 无特定目标分类,全网盲扫 先看一组图 暴力破解类型分布图 黑IP家族追踪分析:暴力破解党 暴力破解IP族群地理位置分布 北京、江苏、浙江、福建、广东 黑IP家族追
6、踪分析:暴力破解党 破解成功后主要行为: 快速上传肉鸡程序、上传攻击后门、制作虚拟化服务器等。 根据攻击特征,我们把这些IP打了8个家族标签,如下以”VPS党”为例说明: 黑IP家族追踪分析:VPS党 破解成功后1小时内下 载国外开源虚拟化软 件,把当前机器分割 成几台虚拟机 服务器 性能中 活跃度高 北京 C&C : 47.88.77.* 暴力破解:系统 风险值:中 Linux 非代理 61.172.24 5.* 115.236 .79.* 183.3.1 51.* 54.223. 170.*180.153 .52.* 222.186 .129.* 122.49. 31.* 218.93.
7、206.* VPS党 服务器 性能高活跃度高 广州 C&C: 47.88.77.* 暴力破解:系统 风险值:中 Linux 非代理 服务器 性能高活跃度高 杭州 C&C: 47.88.77.* 暴力破解:系统 风险值:中 Linux 非代理 黑IP家族追踪分析:扫描器家族 (2) 扫描器家族 扫描器家族标签也分为几类: 国内几家做云扫描的安全公司(授权 OR 未授权) 专门扫 web 漏洞 专门扫 webshell 专门扫敏感文件 服务器 性能:高活跃度:高 郑州 360云扫描 WEB扫描 风险值:低 Linux 非代理 黑IP家族追踪分析:云扫描器家族 黑IP家族追踪分析:Webshell扫
8、描家族 主要扫描以发现几大流行CMS历史上漏洞常见攻 击代码产生的 WebShell; 扫描成功后通常由菜刀工具进行批量管理; 此类家族目的明确,整体风险值较低;经常给网 站带来大量无效访问,对日志分析进行干扰。 黑IP情报价值 黑IP的情报价值: 转换成防御规则(常规用途) 溯源分析 入侵事件的危害定级 (2) Webshell 追踪 Webshell 情况 杨海峰 安华金和副总裁 覆盖ASP/ASPX/PHP/JSP等多种脚本 给 webshell 类型家族打上标签 近200万个变种 累计 WebShell 样本: 常规一句话后门搜索引擎欺骗DDOS攻击后门变形一句话后门 全功能型后门其他SEO控制后门提权型后门 Webshell 每日攻击趋势:相对比较平稳 Webshell 攻击分析 WebShell 攻击分析: 样本变化灵活,难以聚集族群特性 攻击IP分散(寻找有价值的族群性攻击IP群) 特种 WebShell 样本挖掘 Section. 04 威胁情报在云安全平台的应用 攻击源分析 攻击源分析 联动防御策略 THANKS
