2019年以《網空威脅框架》構建全流量監測.pdf

1、以網空威脅框架構建全流量監測目錄ABOUT：安賽CEO 林榆堅攻方：參與多屆攻防演練防護：參與G20峰會、金磚國家峰會、一帶一路、十九大、全運會等活動防護信息化 合規 攻防選擇系統化模型：用三大模型，細化事前、事中、事后的防護策略縱深防御：構造多層防線，即時某一防線失效也能被其他防線彌補、糾正；不同源議題簡介攻防演練經驗攻防演練經驗業務越復雜：問題越多（銀行信用卡等、學校）、WEB是主要突破口之一通用防護手段失效：應用安全時代，企事業的業務千變萬化，需要縱深防護木桶理論的應對：識別攻擊鏈的任何一個鏈條，就能實現發現、瓦解防火墻&IDS：阻斷設備&分析設備；作用于攻擊鏈的不同位置；不同源明處&暗

2、處：沒有開不了的鎖，防護終究是被繞過必有痕跡。拔網線是好方法防護永遠落后與攻擊：0DAY各不一樣，卻有共性特征協議安全&應用安全：HTTPS保證協議安全，應用安全卻成了盲點（可視）成本對抗：封鎖IP仍然是有效模式（任務多，挑簡單的）目錄三大模型：對事前、事中、事后的細化攻擊者視角：殺傷鏈模型KILL CHAIN防護視角：ATT&CK模型（ACK模型）管理視角：NSA/CSS網空威脅框架系統化的應對方案目錄12343大安全模型：攻擊視角、防護視角、管理視角ATT&CK（ACK）模型:12個階段，240多種攻擊方式殺傷鏈模型:7個階段網空模型：6個階段，21個目標，188多種攻擊方式目錄三大模型：

3、對事前、事中、事后的細化攻擊者視角：殺傷鏈模型KILL CHAIN防護視角：ATT&CK模型（ACK模型）管理視角：NSA/CSS網空威脅框架系統化的應對方案目錄1234攻擊者視角：網絡殺傷鏈KILL CHAIN攻擊者視角：網絡殺傷鏈KILL CHAIN防御應對思路階段階段檢測檢測拒絕拒絕中斷中斷降級降級欺騙欺騙毀壞毀壞/反制反制偵查跟蹤WebIDS/NIDSWAF/NIPS/旁路阻斷/ACL武器構建WebIDS/NIDSWAF/NIPS/旁路阻斷/ACL載荷投遞WebIDS/NIDSWAF/NIPS/旁路阻斷/ACLIn-line AV漏洞利用WebIDS/NIDSWAF/NIPS/旁路阻斷

4、DEP安裝植入WebIDS/NIDS/HIDSWAF/NIPS/旁路阻斷/ACLAV命令與控制WebIDS/NIDS/HIDSFirewall/旁路阻斷/ACLFirewallACLDNS目標達成WebIDS/NIDS/HIDS/審計蜜罐目錄三大模型：對事前、事中、事后的細化攻擊者視角：殺傷鏈模型KILL CHAIN防護視角：ATT&CK模型（ACK模型）管理視角：NSA/CSS網空威脅框架系統化的應對方案目錄1234防守方視角：ATT&CK模型：ATT&CK（ACK模型：ADVERSARIAL TACTICS,TECHNIQUES,AND COMMON KNOWLEDGE）即對抗戰術、技術和

5、通用知識庫。是一個反映各個攻擊生命周期的模型和知識庫。ATT&CK的12個戰術類別是對殺傷鏈后C2階段后的細化，對攻擊者獲取權限后的行為提供了更精細的粒度描述。ATT&CK框架（ACK模型）MITRE提出的ATT&CK框架，是將入侵期間可能發生的情況，做出更細的畫分，區隔出12個策略階段。包括：入侵初期、執行、潛伏、權限提升、防御逃避、憑證訪問、發現、橫向移動、采集數據、指揮與控制、透出、沖擊。截止2019年4月，ATT&CK 矩陣收集了244多種攻擊者戰術和技術。ATT&CK框架（ACK模型）86種APT示例：HTTPS:/ATTACK.MITRE.ORG/GROUPS/ATT&CK框架（A

6、CK模型）APT33是一個可疑的伊朗威脅組織，自2013年以來一直在開展攻擊。該組織針對美國，沙特阿拉伯和韓國多個行業的組織，特別關注航空和能源領域。ATT&CK框架（ACK模型）APT28：在2018年7月美國司法部起訴后歸因于俄羅斯總參謀部的俄羅斯主要情報局。據報道，該組織在2016年破壞了希拉里克林頓競選活動，民主黨全國委員會和民主黨國會競選委員會，試圖干涉美國總統大選。APT28自2007年1月以來一直活躍。目錄三大模型：對事前、事中、事后的細化攻擊者視角：殺傷鏈模型KILL CHAIN防護視角：ATT&CK模型（ACK模型）管理視角：NSA/CSS網空威脅框架系統化的應對方案目錄12

7、34ANSA/CSS技術網空威脅框架：2018年發布NSA/CSS技術網空威脅框架共包含6個階段（STAGE）、21個目標（OBJECTIVE）、188種行為（ACTION）和若干個關鍵詞（KEY PHRASES）目錄三大模型：對事前、事中、事后的細化攻擊者視角：殺傷鏈模型KILL CHAIN防護視角：ATT&CK模型（ACK模型）管理視角：NSA/CSS網空威脅框架系統化的應對方案目錄1234（1）排查安全隱患（2）被攻擊（3）已受控防護組響應模式通過數據發掘、防泄漏、應用控制、攻擊追蹤等技術，防止信息資產被非法訪問或外泄清除危害、加固利用線索，回溯分析場景、全局關聯分析，評估影響范圍防護組

8、網空威脅框架全周期應對網空威脅框架全周期應對雙向關聯分析：自動形成影響判定新資產發現：DPI內容、木馬反連、加密隧道主機防護VS外掛式防護DPI：關注500種已知協議外的加密流量關注內網中的socket隧道網空威脅框架全周期應對差異存儲：節省80%的磁盤空間攻防演練經驗通用防護手段失效：應用安全時代，企事業的業務千變萬化，需要縱深防護業務越復雜：系統簡化木桶理論的應對：識別攻擊鏈的任何一個鏈條、快速響應，就能實現發現、瓦解防火墻&IDS：阻斷設備&分析設備；作用于攻擊鏈的不同位置；不同源；暗處防護永遠落后與攻擊：0DAY各不一樣，卻有共性特征、攻擊溯源協議安全&應用安全：HTTPS保證協議安全，應用安全卻成了盲點（可視）成本對抗：封鎖IP仍然是有效模式（任務多，挑簡單的）預演練THANKS