大數據在應急響應中的應用.pdf

1、360企業安全高級安全研究員360觀星實驗室總監大數據在應急響應中的應用目錄一、企業在應急響應中的痛點二、數據驅動的應急響應理念三、安全大數據在應急響應中應用場景四、安全大數據在應急響應中的實踐五、企業如何提升應急響應的能力企業在應急響應中的痛點企業在應急響應中的痛點-復雜的網絡結構企業在應急響應中的痛點-外部威脅新的威脅環境新的威脅環境對立面的信息對立面的信息已有的應急響應體系是否可以應對新形式下的挑戰？APT攻擊 0-day Web Shell“免殺”型木馬 企業對外部對立方的信息一無所知，無法做到知彼知己，在攻防過程中處于被動局面。是否可以扭轉被動挨打的局面？攻擊者是誰？（Who）采用什

2、么攻擊手段？（How）什么時間攻擊？（When）攻擊的目的是什么？（What）攻擊者的位置？（Where）攻擊目標？（Target）攻擊進展？（Progress）企業在應急響應中的痛點-內部威脅Webshell遠控木馬反彈shell隱蔽隧道數據泄露潛伏后門內部失陷通過持續監控與分析組織的終端行為數據，并結合外部威脅情報的數據，可以找出組織內部已經被攻陷的終端。主要包括：失陷主機：Web Shell、反彈shell、遠控木馬、Tunnel、潛伏后門、數據泄露l等。內部威脅通過持續監控與分析組織的內部安全大數據，并結合云端安全情報，發現客戶內部的攻擊面、漏洞信息、內部攻擊和違規操作等威脅，主要包括

3、：資產管理內部攻擊：非法掃描、惡意探測、暴力破解等違規操作：越權訪問、非法業務數據查詢內部威脅攻擊面漏洞內部攻擊違規操作企業在應急響應中的痛點-致命點烏龍事件歷史遺留問題安全設備當擺設（缺少安全運營人員）資產管理混亂管理制度問題（特權賬號問題）沒有日志（或者沒有開啟日志）弱口令問題溯源困難無法還原事件現場（無備份機制）缺少日常安全巡檢企業在應急響應中的痛點數據驅動的應急響應理念數據驅動的應急響應理念數據驅動的應急響應一定是具備大數據能力的安全廠商和企業私有安全大數據的結合企業360大數據360企業安全企業數據安全大數據在應急響應中的場景安全大數據在應急響應中的應用場景準備階段 應急預案 備份機

4、制 應急演練檢測階段 安全設備告警 設備日志 應急工具箱分析階段 事件告警分析 設備日志分析 事件關聯分析處置階段 確定影響范圍 定位受影響機器 清除取證總結階段 事件復盤 完善監測策略 歸納不足應急響應事件處理流程安全大數據發揮的作用取決于在各個階段做的工作是否到位，只有在各個環節上充分準備，才能支撐整個事件的處置。安全大數據在應急響應中的應用場景場景一：檢測階段日志+流量DNSFTPHTTPSSLSMB基于雙向會話分析的Web入侵檢測基于沙箱的webshell上傳檢測基于規則的網絡入侵檢測基于人工智能機器自學習的入侵檢測nbt引擎產生準確的入侵告警告警信息存入分析平臺，與威脅情報告警信息相

5、輔助，作為攻擊取證及快速溯源的數據支撐協議分類檢測引擎數據采集檢測結果安全大數據在應急響應中的應用場景場景二：分析階段基于狀態檢測威脅基于行為識別威脅資產監測內網惡意DNS數據庫攻擊其他狀態可信可疑域名檢測惡意域名檢測SQL注入WEBSHELL檢測反序列化Struts2SOCKS隧道IRC協議TeamView協議HTTP代理反彈SHELL第三方漏洞（REDIS）暴力破解成功檢測資產人ACL訪問規則梳理ACL訪問規則驗證敏感操作（增刪改）危險函數異常數據查詢異地登陸非工作時間登陸非境內登陸LDAP行為分析弱口令識別默認口令識別密碼排序TOP N常見口令字典惡意郵件釣魚郵件勒索郵件檢測通過工具，協

6、助客戶縮短內部安全檢測發現的周期，提升客戶安全事件的持續檢測能力。持續檢測能力采用攻擊專家模型對流量深度分析，提升客戶對安全事件的分析和研判能力分析研判能力通過工具的自動化和可視化，提升客戶對安全事件監控能力?？杀O控能力安全大數據在應急響應中的應用場景場景三：處置階段 除了告警發現的機器之外，還有哪些機器可能中招的？除了告警發現的機器之外，還有哪些機器可能中招的？當前發現的線索是否可以拓展，從而發現其它的潛在威脅？當前發現的線索是否可以拓展，從而發現其它的潛在威脅？如果客戶端沒有裝終端管控之類的軟件，那么怎么找到受害如果客戶端沒有裝終端管控之類的軟件，那么怎么找到受害者機器的所屬人員信息？者機

7、器的所屬人員信息？針對發現的問題，采用哪種方式的處置措施？這樣的處置是針對發現的問題，采用哪種方式的處置措施？這樣的處置是否會對系統帶來其它影響？否會對系統帶來其它影響？影響影響范圍范圍終端終端定位定位處置處置措施措施安全大數據在應急響應中的實踐安全大數據在應急響應中的實踐-WannaCry蠕蟲不但破壞大量高價值數據，而且直接導致很多公共服務、重要業務無法正常開展。高校、加油站、火車站、自助終端、郵政、醫院、出入境簽證、交通管理、政府辦事等多機構癱瘓?！坝篮阒{”勒索病毒事件安全大數據在應急響應中的實踐-WannaCry安全大數據在應急響應中的實踐-WannaCry72小時會戰 1500+安全

8、應急響應人員安全工程師上門緊急響應 1700+客戶機構的現場支持現場支持，重點是監管機構、一級部位、大型央企、大型金融機構客戶 2000+客戶機構的電話支持 5000+工具U盤或光盤 9個版本安全預警通告 7個安全修復指南文檔操作指南、事件百問、開機手冊等 6個安全軟件修補工具涵蓋補丁、掃描、修復、解密多類別工具 人均睡眠時間4小時安全大數據在應急響應中的實踐-WannaCry域名壓制階段時間軸早期感染階段平穩控制階段5月12日 15:20，我們看到了首個訪問開關域名的DNS請求。此時的域名解析是不成功的，自然無法訪問到目標網頁，機器一旦感染蠕蟲，就會發作。NXDOMAIN被壓制以后，過度到了

9、平穩控制階段。在這個階段，一方面，微軟補丁更新和安全社區的共同努力減少了感染機器的數量；另一方面，總有機器因為各種原因被新增感染?？傮w而言，總感染量處于動態平衡狀態，并且會隨著時間推移最終平穩下降。開關域名于周五23:30左右上線，開始了對WannaCry的壓制，壓制域名雖然最早于23:30左右上線，但是這個案例中還需要大約30分鐘才能讓全網所有節點都能感知到。安全大數據在應急響應中的實踐-WannaCry早期感染階段安全大數據在應急響應中的實踐-WannaCry域名壓制階段安全大數據在應急響應中的實踐-WannaCry平穩控制階段企業如何提升應急響應能力企業如何提升應急響應能力應急響應到底需要哪些數據？數據第三方數據SIEM數據流量數據終端數據流量流量數據數據DNSHTTP/WEBMAIL、FTPSMTP/POP3/IMAPSMBORACLE/MYSQL/SQLSERVERLDAP/SSL終端數據終端數據進程日志殺毒日志SIEMSIEM數據數據網絡設備日志主機日志WEB應用日志第三方數據第三方數據威脅情報數據企業如何提升應急響應能力企業自身需具備的5個能力事件的發現能力事件的分析能力事件的研判能力事件的處置能力數據采集以及存儲的能力企業需具備的能力企業如何提升應急響應能力謝謝