《熊耀富-快速提高安全响应时效-集成自动化(24页).pdf》由会员分享,可在线阅读,更多相关《熊耀富-快速提高安全响应时效-集成自动化(24页).pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、快速提高安全响快速提高安全响应时效应时效-集成自动集成自动化化CONTENTCONTENT1、面临的安全挑战、面临的安全挑战2、应对的策略思路与实践、应对的策略思路与实践01面临的安全挑战面临的安全挑战D a t a c o n t e n t s o u r c e双方信息不对称双方信息不对称VS1、专业性人员、专业性人员(专职安全专职安全)规模对比规模对比p 防守:1-3个人(小)、5-8(中)、10+p 攻方:国家队、省级安全支撑单位、安全厂商、安全测评厂商、各路白/黑帽子等2、专业攻防武器库对比、专业攻防武器库对比p 防守:可预知的WAF、IPS、态势感知、威胁情报、EDR(x云、x服
2、、x恒、x信)p 攻方:0day、自动化攻击测试平台、一键getshell3、实际参与程度和范围对比、实际参与程度和范围对比p 防守:上下动员,人具有不可确定性,木桶短板效益明显p 功方:安全渗透就是一把梭,社工、鱼叉、水坑等等监控缺乏层次感监控缺乏层次感WAF、高防、态势感知、安骑士、千金投入,可否万无一失了!、高防、态势感知、安骑士、千金投入,可否万无一失了!cat/etc/passwd原始payloadcat%20%2Fetc%2Fpasswd编码绕过cat$IFS/etc/passwd空字符绕过cat/”e”tc/passwdcat/etc/passwd转义绕过字符拼接赋值绕过a=ca
3、;b=t;$a$b/etc/passwdcat/et?/p?*wd通配符绕过cat/etc/passwd#anything注释绕过cat/etc highway正常业务ping-4 127.0.0.1Windows特定语法 缓冲区绕过 哪告警,看哪 告警了,代表意义 是否存在监控盲区D a t a c o n t e n t s o u r c e日志来源类型多样化日志来源类型多样化WAF日志字段格式日志字段格式堡垒主机堡垒主机日志字段格式日志字段格式日志来源多样、格式多样整体响应时效整体响应时效“慢慢”花钱买的设备多或使用开源的产品多,人少,事多,平时攻击少或日志太多,没时间看、看不来。事件
4、缺乏闭环管理事件缺乏闭环管理不闭环的理由不知道怎么应急处理攻击太多,看不过来事情岔开了,忙晕了思想麻痹了责任心差猪队友02应对策略思路应对策略思路与与实践实践1.监控层次化u被保护的资产每天异动(增/减)情况u哪些直接暴露目标正在遭受攻击、可能面临威胁隐患u是否一些攻击行为已绕过防护设备2.日志集中化 安全检测类日志、安全监测类日志 安全防护类日志、安全行为类日志 利用Grok、Dissect、mutate、geoip、kv、split进行日志切分、基于logstash-jdbc,进行mysql增量同步告警自动化l 预设安全规则(聚合、阈值)l 邮箱、企业微信、钉钉、机器人、语音自动化告警应对
5、策略思路应对策略思路4.运营平台化p 事件工单受理p 巡检值班安排p 处置问题跟踪报表5.管理制度化 各类事件处理预案 日常安全演练计划 安全事件管理规范 安全运营KPI考核监控层次化监控层次化 公网IP/弹性IP/SLB/端口/域名 掌控是否有公网IP、高危端口服务、未加入WAF域名 API接口、文件目录、第三方组件 掌控各条业务线新增API接口、暴露的敏感目录文件、第三方漏洞组件资产异动变化 正在遭受的攻击(web攻击、溢出、撞库、拒绝服务)分析攻击类型、攻击成功状态 潜在的威胁(最新披露漏洞、github代码泄露)结合版本匹配和POC复现,快速定位受影响主机攻击和威胁 有没有反弹链接、端
6、口外联 可疑目的端口、恶意信誉IP、恶意信誉domain 有没有横向攻击 蜜罐告警、内网账号登陆尝试 有没有异地登陆 登陆地址是否常驻IP和City 有没有指纹聚合 登陆IP、DeviceID有无聚合 暗网等外部平台有没有交易 暗网和黑市有无交易 登陆时间异常 月黑风高、三更半夜 频繁查询、导数 大量查询、蚂蚁搬家 Gitlab代码拉取异常-拉取核心仓库代码 CPU突然暴涨、网络流量突然暴增 海量查询、备份、外发异常行为分析日志集中化日志集中化告警自动化告警自动化SDKPublic IPEIPDomainMasscan/nmap/xray等(漏扫平台)RestApi接口采集去重,和Burpsu
7、ite已测接口关联对比,评判是否有遗测接口日志集中化日志集中化安全监控类日志 云主机异动安全检测类日志 端口异动日志集中化日志集中化已测API接口,有漏洞已测API接口,无漏洞未测API接口BP插件Result告警自动化告警自动化告警自动化告警自动化 (资产异动监控告警资产异动监控告警)全量全量IP每日自动化扫描和告警推送每日自动化扫描和告警推送新增公网新增公网IP/弹性弹性IP/SLB自动端口和敏感目录、漏洞扫描及自动端口和敏感目录、漏洞扫描及告警推送告警推送新增域名解析和安全扫描结果推送新增域名解析和安全扫描结果推送告警自动化告警自动化 (实时攻击和潜在威胁监控实时攻击和潜在威胁监控)正在遭受的攻击,经过聚合后自动告警和推送正在遭受的攻击,经过聚合后自动告警和推送潜在的威胁监控和自动推送潜在的威胁监控和自动推送告警自动化告警自动化 (异常行为监控异常行为监控)VPN/邮箱等撞库告警和自动推送邮箱等撞库告警和自动推送堡垒主机堡垒主机/行为审计等数据外发告警和自动推送行为审计等数据外发告警和自动推送利用利用Prometheus自动监控云主机自动监控云主机CPU和网络流量异常并和网络流量异常并自动告警推送自动告警推送运营平台化运营平台化管理制度化管理制度化人手一本安全运营应急处理手册人手一本安全运营应急处理手册早早/晚安全值班巡检提醒晚安全值班巡检提醒管理制度化管理制度化谢谢