1、基于终端多维数据的攻防对抗与用户行为画像目录1.概述2.终端安全运营成熟度提升3.基于EDR的终端防守4.多维数据在运营中的应用目录概述我们期待终端安全能做什么？终端安全就是人的安全，不仅限于终端自身，也不能仅依靠终端安全软件概述我们面临的安全问题：根据B2B International 17年6月的一份研究，46%的信息安全事故是由公司内部员工导致的，占所有原因的第一位。奇安信威胁情报中心的全球高级持续性威胁（APT）2018年总结报告中指出：“在过去的APT威胁或者网络攻击活动中，利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式，例如鱼叉邮件攻击，钓鱼邮件或BEC攻击“，可见许多APT

2、行动背后的攻击者，经常使用办公终端，作为攻入一个组织的跳板。TechRadar的一篇文章中写到，29%的员工承认他们将他们的用户名和密码给过其他同事。而根据卡巴斯基19年5月的一份研究，33%的员工仍可以访问老东家的文件和文档根据调查，72%的员工承认他们终端上的文档有敏感信息，37%的员工曾经偶然在同事终端上看到公司的保密信息（如员工薪酬/股权等信息）。从滑动标尺模型看终端安全概述1.确保终端安装软件在企业内部的覆盖率2.确保终端安全软件自身有效运转3.确保终端安全管理中心能有效管理终端1.确保基础的病毒库更新与补丁库更新2.定时的杀毒任务，升级任务，重启任务3.终端日志的收集1.日常防病毒

3、运营2.日常更新运营3.终端突发安全事件运营1.通过终端安全数据的多维分析，解决业务安全等问题2.在攻防对抗中，关联相关数据得到事件全貌Maybe Next Time目录1.概述2.终端安全运营成熟度提升3.基于EDR的终端防守4.多维数据在运营中的应用目录终端安全成熟度提升优化级量化管理级已定义级已管理级初始级CMMI成熟度模型奇安信内部终端安全评价基础指标：1.安装率：确保终端安全软件覆盖2.实名率：终端出现问题时快速定位3.正常率：确保终端安全软件基础功能正常运行4.合规率：确保终端符合公司的终端安全基线终端安全成熟度提升优化级量化管理级已定义级已管理级初始级CMMI成熟度模型每日由专员

4、计算当天各项安全指标，并形成统计数据：终端安全成熟度提升优化级量化管理级已定义级已管理级初始级CMMI成熟度模型通过规章制定，流程改善，技术管控，安全运营来持续提升各项指标。终端安全成熟度提升如何达到成熟度第五级：持续优化？技术架构的持续优化总部DC大型办公区主控：6.6.0.3050WIN苹果正式员工外包员工、实习生单独的访客SSIDWIN苹果Linux等ADRadius正式员工外包员工、实习生渠道用户天擎NAC应用准入业务系统分支机构FWBYODDHCPRadiusDHCP天擎NAC应用准入天擎云查锡安平台采集基本日志采集基本日志WIN：查杀毒、补丁、EDR、DLP的日志苹果：查杀毒日志身

5、份认证信息（VPN登录日志，802.1x认证日志，DHCP日志等等）仅白名单仅白名单终端安全成熟度提升如何达到成熟度第五级：持续优化？管理层面的持续优化技术与运营手段执行制度收集终端用户反馈，改进制度与产品制定和不断改进制度目录1.概述2.终端安全运营成熟度提升3.基于EDR的终端防守4.多维数据在运营中的应用目录基于EDR的终端防守终端检测与响应（Endpoint Detection and Response，简称EDR）是一个用来持续检测与响应高级威胁的新型终端防御技术。EDR通常会在终端安装一个agent，将终端的各类日志回传至分析平台，供规则引擎和分析人员进行进一步的分析，检测，调查和

6、统计。WHAT EDR？WHY EDR？发现高级威胁after all of thisIn the end,it still runs on your computer.基于EDR的终端防守A TRUE STORY运营团队收到wmic白利用告警，调查后发现该终端从内网某服务器拉取样本，注入到wmi中运行，创建svchost并挂起，解密payload后注入到svchost中继续运行原始EDR触发的告警基于EDR的终端防守上服务器进行取证发现攻击者使用了domain fronting技术，防火墙，IDS看到的流量都是终端与进行通信，尝试下载一个gif。实际上解密后样本信息，可看到一级域名等信息基于

7、EDR的终端防守样本回传信息，明显为远控信息对样本进行分析在沙箱分析，发现样本含反沙箱检测无法正常运行；二进制分析后，发现是CobaltStrike生成的免杀远控脚本。基于EDR的终端防守WITH EDRIn the end,it still runs on your computer.通过EDR日志检测到样本会添加计划任务通过EDR日志发现执行过该有害脚本的终端基于EDR的终端防守WHY EDR高级攻击快速检出 能监测MITRE ATT&CK中大部分攻击 能有效补充常规安全设备防守不到的盲区样本行为准确还原 准确记录终端的进程执行，子父进程关系，文件操作，IP访问等行为 通过hook底层AP

8、I实现影响范围快速确认 快速检索平台，基于各种关键字快速检索内部所有EDR日志，支持模糊搜索，全词搜索 样本-威胁情报（特征）-快速定位失陷终端目录1.概述2.终端安全运营成熟度提升3.基于EDR的终端防守4.多维数据在运营中的应用目录多维数据在运营中的应用WITH EDR DATAAND MORE DATA!乌拉日志分析管理系统统一收集，解析奇安信集团内部系统日志，应用日志，安全系统日志与告警。对日志进行三份处理实时关联分析引擎（使用Spark编写），实时处理日志输出告警。由安全部二线运营团队进行维护，和奇安信威胁情报中心等其他部门一起编写攻击检测规则，业务安全规则。近线狩猎调研引擎（ELK

9、体系），存储热数据，供安全分析团队进行安全事件调查，攻击行为溯源。历史数据挖掘引擎（HDFS），存储冷数据，供建立模型，进行模式发现，机器学习。同时进行日志富化，模型计算，来发现用户异常行为。将告警，异常输出到盖亚安全事件处理平台，进行后续的事件追踪等处理。日志解析与富化模块多维数据在运营中的应用乌拉日志分析管理系统支持Syslog，Beats系列输入接入服务器与设备约1000台平均EPS约1.5万，峰值EPS约4.4万日志平均EPD约9亿，每天产出流量约1T多维数据在运营中的应用场景分析一个常见的代码外泄场景：行为散布在不同类型日志中，没有日志记录了完整过程不同日志信息记录的信息都不完全不同

10、日志源对用户身份没有统一标识不同日志源对于涉及数据没有统一标识日志中描述的动作多样，难以使用统一规则对行为建模Git.production_jsonSkylar.edrICG.upload_webGit.production_json:58,git-upload-pack,wangming03,simple-python-demo.gitSkylar.edr:75,文件操作审计,a6752aec22a54b2bb57351184deedcc5,10.110.42.142,write,a.py,c:/users/wangming03/desktop,a

11、88afc559fa07ad2bdfdc1bec433e14a,git.exeICG.upload_web:35,文件外发审计,10.110.42.142,111.206.37.70,53345,443，c:/users/wangming03/desktop/a.py，1kb多维数据在运营中的应用数据富化（关联计算部分）补全信息，统一标识Git.production_json:58,git-upload-pack,wangming03,simple-python-demo.gitSkylar.edr:75,文件操作审计,a675

12、2aec22a54b2bb57351184deedcc5,10.110.42.142,write,a.py,c:/users/wangming03/desktop,a88afc559fa07ad2bdfdc1bec433e14a,git.exeICG.upload_web:35,文件外发审计,10.110.42.142,111.206.37.70,53345,443，c:/users/wangming03/desktop/a.py，1kbGit.production_json:58,git-upload-pack,wangming03,simple-

13、python-demo.gitSkylar.edr:75,文件操作审计,a6752aec22a54b2bb57351184deedcc5,10.110.42.142,write,a.py,c:/users/wangming03/desktop,a88afc559fa07ad2bdfdc1bec433e14a,git.exe，wangming03（由天擎ODP接口，查询mid后获得）ICG.upload_web:35,文件外发审计,10.110.42.142,111.206.37.70,53345,443，c:/users/wangming03/des

14、ktop/a.py，1kb，wangming03（由sip+VPN日志联合查询得到身份）用户身份富化多维数据在运营中的应用数据富化（关联计算部分）补全信息，统一标识Git.production_json:58,git-upload-pack,wangming03,simple-python-demo.gitSkylar.edr:75,文件操作审计,a6752aec22a54b2bb57351184deedcc5,10.110.42.142,write,a.py,c:/users/wangming03/desktop,a88afc559fa07ad2b

15、dfdc1bec433e14a,git.exe，wangming03（由天擎ODP接口，查询mid后获得）ICG.upload_web:35,文件外发审计,10.110.42.142,111.206.37.70,53345,443，c:/users/wangming03/desktop/a.py，1kb，wangming03（由sip+VPN日志联合查询得到身份）文件特征富化Skylar.edr:75,文件操作审计,a6752aec22a54b2bb57351184deedcc5,10.110.42.142,write,a.py,c:/users/w

16、angming03/desktop,a88afc559fa07ad2bdfdc1bec433e14a,git.exe，wangming03，a88afc559fa07ad2bdfdc1bec433e14a（文件md5）Git.production_json:58,git-upload-pack,wangming03,simple-python-demo.git，a88afc559fa07ad2bdfdc1bec433e14a（关联相近timestamp，EDR）ICG.upload_web:35,文件外发审计,10.110.42.142,111.20

17、6.37.70,53345,443，c:/users/wangming03/desktop/a.py，1kb，wangming03，a88afc559fa07ad2bdfdc1bec433e14a（由文件路径在EDR路径中查询得文件hash）多维数据在运营中的应用数据富化（打TAG）将复杂多样的信息模型化，用于规则检测或模式检测行为类tag：下载Gitlab:git-upload-packJowto:curlJowto:wgetLinux:curlLinux:wgetWindows:downStringICG:文件下载审计EDLP:文件下载审计Nginx:GET end with fileex

18、tension上传Gitlab:git-download-packICG:文件上传审计ICG:IM外发审计EDR:邮件附件审计人员类tag部门（LDAP数据）人力资源部财务管理部研发一部研发二部销售一部销售二部部门类型研发部门服务部门管理部门职能部门其他信息如正在办理离职中文件类tag：(依托DLP引擎)研发类数据源代码项目文档产品文档运行数据测试结果配置用信息人力类数据人员基本信息人员敏感信息组织架构信息人员薪酬信息财务类数据多维数据在运营中的应用转换为行为帧 格式统一化，并将复杂日志抽象为人的一个行为timestampuserIDfileIDuserTagfileTagactionTag时

19、间戳用户唯一标识文件唯一标识用户特征tag文件特征tag行为tagGit.production_json:58,git-upload-pack,wangming03,simple-python-demo.git，fb87f1ae6059c052f196a8cdd3483669,“人员tag1”:“研发3部“,“人员tag2”:“研发部门“,“人员tag3”:“离职中人员“,“文件tag1”:“研发类数据“,“文件tag2”:“源代码“,“行为tag”:“下载“58wangming03a88afc559fa07ad2bdfdc1bec433e14a研发3部研发部门离职中人员研发类数据源代码下载多维数据在运营中的应用行为帧序列规则告警行为“离群”模型告警actionTag=“下载”fileTag2=“源代码”actionTag=“上传载”fileTag2=“源代码”Aggregation by userID,fileID;Sort by timestamp;userTag3=“离职中人员”;Aggregation byfileID;Action=“下载”userTag研发1部运维中心研发2部Download for fun?Or stealing?THANKS