1、以网空威胁框架构建全流量监测目录ABOUT:安赛CEO 林榆坚攻方:参与多届攻防演练防护:参与G20峰会、金砖国家峰会、一带一路、十九大、全运会等活动防护信息化 合规 攻防选择系统化模型:用三大模型,细化事前、事中、事后的防护策略纵深防御:构造多层防线,即时某一防线失效也能被其他防线弥补、纠正;不同源议题简介攻防演练经验攻防演练经验业务越复杂:问题越多(银行信用卡等、学校)、WEB是主要突破口之一通用防护手段失效:应用安全时代,企事业的业务千变万化,需要纵深防护木桶理论的应对:识别攻击链的任何一个链条,就能实现发现、瓦解防火墙&IDS:阻断设备&分析设备;作用于攻击链的不同位置;不同源明处&暗
2、处:没有开不了的锁,防护终究是被绕过必有痕迹。拔网线是好方法防护永远落后与攻击:0DAY各不一样,却有共性特征协议安全&应用安全:HTTPS保证协议安全,应用安全却成了盲点(可视)成本对抗:封锁IP仍然是有效模式(任务多,挑简单的)目录三大模型:对事前、事中、事后的细化攻击者视角:杀伤链模型KILL CHAIN防护视角:ATT&CK模型(ACK模型)管理视角:NSA/CSS网空威胁框架系统化的应对方案目录12343大安全模型:攻击视角、防护视角、管理视角ATT&CK(ACK)模型:12个阶段,240多种攻击方式杀伤链模型:7个阶段网空模型:6个阶段,21个目标,188多种攻击方式目录三大模型:
3、对事前、事中、事后的细化攻击者视角:杀伤链模型KILL CHAIN防护视角:ATT&CK模型(ACK模型)管理视角:NSA/CSS网空威胁框架系统化的应对方案目录1234攻击者视角:网络杀伤链KILL CHAIN攻击者视角:网络杀伤链KILL CHAIN防御应对思路阶段阶段检测检测拒绝拒绝中断中断降级降级欺骗欺骗毁坏毁坏/反制反制侦查跟踪WebIDS/NIDSWAF/NIPS/旁路阻断/ACL武器构建WebIDS/NIDSWAF/NIPS/旁路阻断/ACL载荷投递WebIDS/NIDSWAF/NIPS/旁路阻断/ACLIn-line AV漏洞利用WebIDS/NIDSWAF/NIPS/旁路阻断
4、DEP安装植入WebIDS/NIDS/HIDSWAF/NIPS/旁路阻断/ACLAV命令与控制WebIDS/NIDS/HIDSFirewall/旁路阻断/ACLFirewallACLDNS目标达成WebIDS/NIDS/HIDS/审计蜜罐目录三大模型:对事前、事中、事后的细化攻击者视角:杀伤链模型KILL CHAIN防护视角:ATT&CK模型(ACK模型)管理视角:NSA/CSS网空威胁框架系统化的应对方案目录1234防守方视角:ATT&CK模型:ATT&CK(ACK模型:ADVERSARIAL TACTICS,TECHNIQUES,AND COMMON KNOWLEDGE)即对抗战术、技术和
5、通用知识库。是一个反映各个攻击生命周期的模型和知识库。ATT&CK的12个战术类别是对杀伤链后C2阶段后的细化,对攻击者获取权限后的行为提供了更精细的粒度描述。ATT&CK框架(ACK模型)MITRE提出的ATT&CK框架,是将入侵期间可能发生的情况,做出更细的画分,区隔出12个策略阶段。包括:入侵初期、执行、潜伏、权限提升、防御逃避、凭证访问、发现、横向移动、采集数据、指挥与控制、透出、冲击。截止2019年4月,ATT&CK 矩阵收集了244多种攻击者战术和技术。ATT&CK框架(ACK模型)86种APT示例:HTTPS:/ATTACK.MITRE.ORG/GROUPS/ATT&CK框架(A
6、CK模型)APT33是一个可疑的伊朗威胁组织,自2013年以来一直在开展攻击。该组织针对美国,沙特阿拉伯和韩国多个行业的组织,特别关注航空和能源领域。ATT&CK框架(ACK模型)APT28:在2018年7月美国司法部起诉后归因于俄罗斯总参谋部的俄罗斯主要情报局。据报道,该组织在2016年破坏了希拉里克林顿竞选活动,民主党全国委员会和民主党国会竞选委员会,试图干涉美国总统大选。APT28自2007年1月以来一直活跃。目录三大模型:对事前、事中、事后的细化攻击者视角:杀伤链模型KILL CHAIN防护视角:ATT&CK模型(ACK模型)管理视角:NSA/CSS网空威胁框架系统化的应对方案目录12
7、34ANSA/CSS技术网空威胁框架:2018年发布NSA/CSS技术网空威胁框架共包含6个阶段(STAGE)、21个目标(OBJECTIVE)、188种行为(ACTION)和若干个关键词(KEY PHRASES)目录三大模型:对事前、事中、事后的细化攻击者视角:杀伤链模型KILL CHAIN防护视角:ATT&CK模型(ACK模型)管理视角:NSA/CSS网空威胁框架系统化的应对方案目录1234(1)排查安全隐患(2)被攻击(3)已受控防护组响应模式通过数据发掘、防泄漏、应用控制、攻击追踪等技术,防止信息资产被非法访问或外泄清除危害、加固利用线索,回溯分析场景、全局关联分析,评估影响范围防护组
8、网空威胁框架全周期应对网空威胁框架全周期应对双向关联分析:自动形成影响判定新资产发现:DPI内容、木马反连、加密隧道主机防护VS外挂式防护DPI:关注500种已知协议外的加密流量关注内网中的socket隧道网空威胁框架全周期应对差异存储:节省80%的磁盘空间攻防演练经验通用防护手段失效:应用安全时代,企事业的业务千变万化,需要纵深防护业务越复杂:系统简化木桶理论的应对:识别攻击链的任何一个链条、快速响应,就能实现发现、瓦解防火墙&IDS:阻断设备&分析设备;作用于攻击链的不同位置;不同源;暗处防护永远落后与攻击:0DAY各不一样,却有共性特征、攻击溯源协议安全&应用安全:HTTPS保证协议安全,应用安全却成了盲点(可视)成本对抗:封锁IP仍然是有效模式(任务多,挑简单的)预演练THANKS