1、360企业安全高级安全研究员360观星实验室总监大数据在应急响应中的应用目录一、企业在应急响应中的痛点二、数据驱动的应急响应理念三、安全大数据在应急响应中应用场景四、安全大数据在应急响应中的实践五、企业如何提升应急响应的能力企业在应急响应中的痛点企业在应急响应中的痛点-复杂的网络结构企业在应急响应中的痛点-外部威胁新的威胁环境新的威胁环境对立面的信息对立面的信息已有的应急响应体系是否可以应对新形式下的挑战？APT攻击 0-day Web Shell“免杀”型木马 企业对外部对立方的信息一无所知，无法做到知彼知己，在攻防过程中处于被动局面。是否可以扭转被动挨打的局面？攻击者是谁？（Who）采用什

2、么攻击手段？（How）什么时间攻击？（When）攻击的目的是什么？（What）攻击者的位置？（Where）攻击目标？（Target）攻击进展？（Progress）企业在应急响应中的痛点-内部威胁Webshell远控木马反弹shell隐蔽隧道数据泄露潜伏后门内部失陷通过持续监控与分析组织的终端行为数据，并结合外部威胁情报的数据，可以找出组织内部已经被攻陷的终端。主要包括：失陷主机：Web Shell、反弹shell、远控木马、Tunnel、潜伏后门、数据泄露l等。内部威胁通过持续监控与分析组织的内部安全大数据，并结合云端安全情报，发现客户内部的攻击面、漏洞信息、内部攻击和违规操作等威胁，主要包括

3、：资产管理内部攻击：非法扫描、恶意探测、暴力破解等违规操作：越权访问、非法业务数据查询内部威胁攻击面漏洞内部攻击违规操作企业在应急响应中的痛点-致命点乌龙事件历史遗留问题安全设备当摆设（缺少安全运营人员）资产管理混乱管理制度问题（特权账号问题）没有日志（或者没有开启日志）弱口令问题溯源困难无法还原事件现场（无备份机制）缺少日常安全巡检企业在应急响应中的痛点数据驱动的应急响应理念数据驱动的应急响应理念数据驱动的应急响应一定是具备大数据能力的安全厂商和企业私有安全大数据的结合企业360大数据360企业安全企业数据安全大数据在应急响应中的场景安全大数据在应急响应中的应用场景准备阶段 应急预案 备份机

4、制 应急演练检测阶段 安全设备告警 设备日志 应急工具箱分析阶段 事件告警分析 设备日志分析 事件关联分析处置阶段 确定影响范围 定位受影响机器 清除取证总结阶段 事件复盘 完善监测策略 归纳不足应急响应事件处理流程安全大数据发挥的作用取决于在各个阶段做的工作是否到位，只有在各个环节上充分准备，才能支撑整个事件的处置。安全大数据在应急响应中的应用场景场景一：检测阶段日志+流量DNSFTPHTTPSSLSMB基于双向会话分析的Web入侵检测基于沙箱的webshell上传检测基于规则的网络入侵检测基于人工智能机器自学习的入侵检测nbt引擎产生准确的入侵告警告警信息存入分析平台，与威胁情报告警信息相

5、辅助，作为攻击取证及快速溯源的数据支撑协议分类检测引擎数据采集检测结果安全大数据在应急响应中的应用场景场景二：分析阶段基于状态检测威胁基于行为识别威胁资产监测内网恶意DNS数据库攻击其他状态可信可疑域名检测恶意域名检测SQL注入WEBSHELL检测反序列化Struts2SOCKS隧道IRC协议TeamView协议HTTP代理反弹SHELL第三方漏洞（REDIS）暴力破解成功检测资产人ACL访问规则梳理ACL访问规则验证敏感操作（增删改）危险函数异常数据查询异地登陆非工作时间登陆非境内登陆LDAP行为分析弱口令识别默认口令识别密码排序TOP N常见口令字典恶意邮件钓鱼邮件勒索邮件检测通过工具，协

6、助客户缩短内部安全检测发现的周期，提升客户安全事件的持续检测能力。持续检测能力采用攻击专家模型对流量深度分析，提升客户对安全事件的分析和研判能力分析研判能力通过工具的自动化和可视化，提升客户对安全事件监控能力。可监控能力安全大数据在应急响应中的应用场景场景三：处置阶段 除了告警发现的机器之外，还有哪些机器可能中招的？除了告警发现的机器之外，还有哪些机器可能中招的？当前发现的线索是否可以拓展，从而发现其它的潜在威胁？当前发现的线索是否可以拓展，从而发现其它的潜在威胁？如果客户端没有装终端管控之类的软件，那么怎么找到受害如果客户端没有装终端管控之类的软件，那么怎么找到受害者机器的所属人员信息？者机

7、器的所属人员信息？针对发现的问题，采用哪种方式的处置措施？这样的处置是针对发现的问题，采用哪种方式的处置措施？这样的处置是否会对系统带来其它影响？否会对系统带来其它影响？影响影响范围范围终端终端定位定位处置处置措施措施安全大数据在应急响应中的实践安全大数据在应急响应中的实践-WannaCry蠕虫不但破坏大量高价值数据，而且直接导致很多公共服务、重要业务无法正常开展。高校、加油站、火车站、自助终端、邮政、医院、出入境签证、交通管理、政府办事等多机构瘫痪。“永恒之蓝”勒索病毒事件安全大数据在应急响应中的实践-WannaCry安全大数据在应急响应中的实践-WannaCry72小时会战 1500+安全

8、应急响应人员安全工程师上门紧急响应 1700+客户机构的现场支持现场支持，重点是监管机构、一级部位、大型央企、大型金融机构客户 2000+客户机构的电话支持 5000+工具U盘或光盘 9个版本安全预警通告 7个安全修复指南文档操作指南、事件百问、开机手册等 6个安全软件修补工具涵盖补丁、扫描、修复、解密多类别工具 人均睡眠时间4小时安全大数据在应急响应中的实践-WannaCry域名压制阶段时间轴早期感染阶段平稳控制阶段5月12日 15:20，我们看到了首个访问开关域名的DNS请求。此时的域名解析是不成功的，自然无法访问到目标网页，机器一旦感染蠕虫，就会发作。NXDOMAIN被压制以后，过度到了

9、平稳控制阶段。在这个阶段，一方面，微软补丁更新和安全社区的共同努力减少了感染机器的数量；另一方面，总有机器因为各种原因被新增感染。总体而言，总感染量处于动态平衡状态，并且会随着时间推移最终平稳下降。开关域名于周五23:30左右上线，开始了对WannaCry的压制，压制域名虽然最早于23:30左右上线，但是这个案例中还需要大约30分钟才能让全网所有节点都能感知到。安全大数据在应急响应中的实践-WannaCry早期感染阶段安全大数据在应急响应中的实践-WannaCry域名压制阶段安全大数据在应急响应中的实践-WannaCry平稳控制阶段企业如何提升应急响应能力企业如何提升应急响应能力应急响应到底需要哪些数据？数据第三方数据SIEM数据流量数据终端数据流量流量数据数据DNSHTTP/WEBMAIL、FTPSMTP/POP3/IMAPSMBORACLE/MYSQL/SQLSERVERLDAP/SSL终端数据终端数据进程日志杀毒日志SIEMSIEM数据数据网络设备日志主机日志WEB应用日志第三方数据第三方数据威胁情报数据企业如何提升应急响应能力企业自身需具备的5个能力事件的发现能力事件的分析能力事件的研判能力事件的处置能力数据采集以及存储的能力企业需具备的能力企业如何提升应急响应能力谢谢