《基于移动威胁情报的安全价值观》由会员分享,可在线阅读,更多相关《基于移动威胁情报的安全价值观(26页珍藏版)》请在金锄头文库上搜索。
1、基于移动威胁情报的安全价值观潘博文Intro Me引擎驱动安全 ID:baronpan 专注于移动恶意代码的攻防技术研究 目标研究方向为移动威胁情报Intro AVL Team引擎驱动安全 专注于移动反恶意代码领域的技术 致力于提供最好的反病毒引擎和解决方案提纲引擎驱动安全 各种信息不对称和“盲”人摸“象” 基于威胁情报的数据组织和驱动方式 AVL Insight移动威胁情报的源体系 AVL Insight移动威胁情报的工程实践6 6 2 21 11 11 12 23 31 16 66 615152 29 9111118189 9151513131818121214146 610103 34
2、46 6151510103 33 32 21 13 33 32 28 81 11 11 11 105101520253035402011年7月2011年8月2011年9月2011年10月2011年11月2011年12月2012年1月2012年2月2012年3月2012年4月2012年5月2012年6月2012年7月2012年8月2012年9月2012年10月2012年11月2012年12月2013年1月2013年2月2013年3月2013年4月2013年5月2013年6月2013年7月2013年8月2013年9月2013年10月2013年11月2013年12月2014年1月2014年2月201
3、4年3月2014年4月2014年5月2014年6月2014年7月2014年8月2014年9月2014年10月2014年11月2014年12月2015年1月2015年2月2015年3月2015年4月2015年5月2015年6月2015年7月2015年8月2015年9月2015年10月某游戏应用仿冒盗版样本数量变化趋势某游戏应用仿冒盗版样本数量变化趋势加加 固固加加 固固加加 固固加加 固固加加 固固仿冒盗版总量:250个 加固次数:5次盲人摸象企业使用安全技术与实际安全威胁的 不对称emialsmsmailThiefFaketaobaoFuckSMSabortlistSMSContactAcco
4、untMalware E-MailE-Mail不对称企业的安全认知与用户威胁场景下的不 平衡不对称企业的业务发展与企业的安全意识的不 平衡移动应用被攻击方式伪装/钓鱼信息窃取其他攻击界面劫持钓鱼应用进程注入隐藏图标重打包短信监听/拦截截屏ID窃取条款欺诈输入法劫持环境录音逻辑漏洞不对称安全诉求和威胁与实际的安全能力的不 平衡不对称安全诉求和威胁与实际的安全能力的不 平衡信息不对称安全技术安全认知安全能力安全意识应用安全环境安全用户需求业务发展感知能力业务能力数据不等于情报,有价值的数据也不等于情报数据组织的方式“安全报告” 传播导向恶意代码,家族,变种,TOP平台类型,Hash规模数量类型攻击
5、行为行为模式和特征行为应用传播方式渠道数据组织的方式“设备&资产视角”激活,越狱设备管理,访问控制设备威胁类型威胁程度响应和解决威胁分组&控制管理&策略下发策略数据组织的方式“风险视角”业务接口暴露关键数据泄露漏洞自身编码第三方SDK引入权限过多开放风险/脆弱点仿冒/山寨应用分发渠道仿冒&分发安全Xcodeghost主密钥漏洞wormhole各种漏洞数据组织的方式尝试用情报的描述结构的拆解MalwareSpoofIdentifyObservablePhishingObservableStealAccountObservableInjectionProcessObservableHijackSM
6、SObservableWindowObservableAbuseScreenshotObservableRansomeObservableManipulateRepackageObservable界面劫持钓鱼应用进程注入重打包短信监听/拦截截屏ID窃取条款欺诈输入法劫持环境录音ExploitLogic逻辑漏洞我们认为的威胁情报的价值观情报不是从石头 里面蹦出来的相关的概念体系出现的背景Threat/Risk/Exposure/Asset西方的IT管理和标准化的背景DREAD,STRIDE,PASTA, Attack Tree微软和相关安全厂商所推出的风险管理模型CAPEC,CWE,CVE,CV
7、RF,MAEC,NVD对攻击模式,脆弱点,漏洞等各种基础的安全元素 的标定和描述结构Threat Modeling各种威胁建模的方法论,工具,risk-centric, data-driven等等Kill Chain,钻石分析,TTP面向Cyber和更高强度的攻击和对抗的场景的分析 工具和分析方法CybOX,TAXII,OpenIOC面向Cyber和信息交换的描述和标准体系STIX面向更完整的综合性的情报分析/作业/交换的体系强烈的外在和内在的面向威胁的知识管理体系/方法我们认为的威胁情报的价值观情报是高度具备 驱动力的数据流转和响应驱动体系情报的认识和移动威胁情报的差异性情报的认识 数据(线
8、索),有价值数据不等于情报 情报是有驱动力的有价值数据 移动威胁情报和Cyber威胁情报的差异性 具备更强的实效性 关联的关系复杂度在规模上更大 情报的数据和信息的构成多样化移动威胁情报的困难度金字塔IncidentTTP RelationTTP/Exploit,MalwareEvil Device(Mobile/IoT)SDK/Third ParthC2(Network/Other)SymbolHash隐晦复杂高对抗穿透不可控方式多样性符号多样性繁琐,低效面向移动威胁的情报作业实践 Incident Asset,Impact,Victim感知&发现 TTP+ Malware/Exploit/
9、AttackPatterns Technique Details ThreatActor/Targets分析&呈现 COA决策&响应面向移动威胁的情报作业实践Sensor3rd SourcesAVL Insight Threat Intel PlatformInner Knowledg e SourcesAVL Anti-Malware Analysis PlatformThreat Intel AnalysisIncident&COA AnalysisSharing/ExchangeResponse Action Remediation ActionCollaborativeCommunit
10、ityTarget Context面向移动威胁的情报作业实践数据源体系面向威 胁作业面向元 数据面向基 础数据引擎探头样本库网络探头应用商店监控技术新闻情报WhoisTTP+情报威胁关联关系攻击源 */ThreatActor受害源/Victim风险库 */Exploit+Vuln面向威 胁量化 和响应威胁事件 */Incident响应形成*/COA基于情报和威胁分析的去不平衡感知分析决策引擎终端探头样本库样本库TTP+情报威胁事件 */Incident响应形成*/COA基于情报和威胁分析的去不平衡实例 某银行APP一个月监控数据恶意代码变种:3 恶意代码总量:6 广告件总类:4 广告件数量:24 支付件:0 用户环境中存在恶意代码变种:405 用户环境存在恶意代码数量:5014 用户环境中存在风险应用:253264 非正版下载 量:2499 非正版下载 源:223 应用商店:25 网盘:4 未知:5 用户环境存在大量安全问题 安全问题与业务关联 少量应用被篡改情报体系 开发者场景 威胁 风险 企业场景 办公场景 IT场景感知 威胁 风险分析 度量 趋势响应 策略 监控YOU CAN TRY IT微信扫一扫体验安天企业级安全防护微信扫一扫下载手机安全防护软件AVL Pro
