《基于威胁情报驱动的云安全实践课件.pptx》由会员分享,可在线阅读,更多相关《基于威胁情报驱动的云安全实践课件.pptx(36页珍藏版)》请在三一办公上搜索。
1、,基于威胁情报驱动的云安全实践,基于威胁情报驱动的云安全平台架构,1,基于云安全平台攻防数据的威胁情报分析模型基于云安全平台攻防数据提取到的威胁情报威胁情报在云安全平台的应用,目录Contents,Section. 01基于威胁情报驱动的云安全平台架构,威胁情报(TI)研究的重要意义,什么/何时,如何,Gartner 对威胁情报的定义:基于证据、关于资产所面临的现有或新兴威胁及风险的 认识,包括环境、机制、 指标、可能结果及可付诸行动的建议,可为威胁或风险应对 决策提供信息。战略谁/为什么/哪里,战术,运营,基于威胁情报驱动的云安全平台架构,以 威 胁 情 报 为 驱 动,漏洞情报威胁情报输入
2、输入,威胁情报输入,漏洞情报威胁情报输入,产生产生漏洞情报威胁情报,产生威胁情报,公有云用户,私有云平台,风险管理漏洞风险 配置风险 基线安全 权限风险人员/资产风险,攻击分析 定向攻击 高级威胁 日志分析,行为监测 日志监测 完整性监测 流量监测,云安全管理平台攻击威胁持续监测,安全加固 安全策略/规则黑白名单,联动响应,Section. 02基于云安全平台攻防数据的 威胁情报分析模型,数据!大量的数据! 大量的实时数据!,大量的、实时的有效数据!,威胁情报研究的基础,深 度 分 析 和 挖 掘,安全狗用户全球分布图,2,800,000+日均拦截超过 2亿 次攻击,涵盖WEB攻击、系统攻击和
3、网络攻击,进行威胁情报研究的数据优势,安全狗拥有海量、持续且多维的独有数据,安全狗 服云已覆盖超两百八十万台的(云)服务器,解决了循证观测中单点数据 量少与随机性不足的问题日均拦截超过两亿次攻击,获取的威胁数据和事件实时性强、随机性大、可观测度高、攻 击信息和特征丰富,足以支撑对威胁的证据提取,以及对事件(现象)场景的构建具备实时应对活动数据的采集能力,足以支撑应对活动有效性的判断,指导建立应对活动的经验决策模型和应急式响应的效果观测,安全元数据,攻防情报推演,TIME,WHERE,HOW,WHO,WHY,TARGET,攻击链路,攻击技法,目标族群,攻击时间线,攻击者,利益链,黑 客 族 群
4、定 位,安全威胁情报产生,恶意URL,恶意IP,恶意DNS,恶意行为,威胁情报生产平台,攻击组织者,攻击目的,行业覆盖度,活跃程度,大数据分析平台外部情报公有云,只有 经过分析并打上更深层次属性标签的安全数据,才具备情报价值,否则还只是传统安全规则类型的数据。,每家公司都有自己数据的特点和分析的视角,需要 加强数据共享和碰撞才能使数据的情报价值全面提升。,Section. 03基于云安全平台攻防数据 提取到的威胁情报,(1)黑IP的故事,举例:关于黑IP趋势的观测,安全狗每天可捕获超过 100,000 个黑IP,并同步给所保护的用户设备,黑IP的价值链,长期活跃的短期活跃的,扫描器家族暴力破解
5、家族批量扫漏洞家族(扫系统漏洞、 WEB漏洞)“黑色”SEO组织针对金融等行业目标的渗透组织羊毛党,被控制主机其他基础属性,基于代理跳板的 (WHOIS、机房信息及地理位置),标签属性越丰富的黑 IP,价值越高,黑IP家族追踪分析:暴力破解党,(1) 暴力破解党针对(云)服务器攻击占比最大(相信各大云厂商也是这个结论)控制大量肉鸡进行分布式破解无特定目标分类,全网盲扫先看一组图暴力破解类型分布图,黑IP家族追踪分析:暴力破解党,暴力破解IP族群地理位置分布北京、江苏、浙江、福建、广东,黑IP家族追踪分析:暴力破解党,破解成功后主要行为: 快速上传肉鸡程序、上传攻击后门、制作虚拟化服务器等。,根
6、据攻击特征,我们把这些IP打了8个家族标签,如下以”VPS党”为例说明:,黑IP家族追踪分析:VPS党,破解成功后1小时内下,载国外开源虚拟化软件,把当前机器分割 成几台虚拟机,服务器活跃度高,北京 性能中,C&C : 47.88.77.*,暴力破解:系统,风险值:中,Linux 非代理,61.172.245.*,115.236.79.*,183.3.151.*,54.223.170.*,180.153.52.*,222.186.129.*,122.49.31.*,218.93.206.*,VPS党,服务器活跃度高,广州 性能高,C&C: 47.88.77.*,暴力破解:系统,风险值:中,Li
7、nux 非代理,服务器活跃度高,杭州 性能高,C&C: 47.88.77.*,暴力破解:系统,风险值:中,Linux 非代理,黑IP家族追踪分析:扫描器家族,扫描器家族扫描器家族标签也分为几类:国内几家做云扫描的安全公司(授权 OR 未授权)专门扫 web 漏洞专门扫 webshell专门扫敏感文件,服务器,性能:高,活跃度:高,郑州,360云扫描WEB扫描风险值:低,Linux,非代理,黑IP家族追踪分析:云扫描器家族,黑IP家族追踪分析:Webshell扫描家族,主要扫描以发现几大流行CMS历史上漏洞常见攻击代码产生的 WebShell;,扫描成功后通常由菜刀工具进行批量管理;此类家族目的
8、明确,整体风险值较低;经常给网 站带来大量无效访问,对日志分析进行干扰。,黑IP情报价值,黑IP的情报价值:,转换成防御规则(常规用途)溯源分析入侵事件的危害定级,(2) Webshell 追踪,Webshell 情况,覆盖ASP/ASPX/PHP/JSP等多种脚本给 webshell 类型家族打上标签,近200万个变种,累计 WebShell 样本:,常规一句话后门,搜索引擎欺骗,全功能型后门,其他,变形一句话后门杨海峰DDOS攻击后门安华金和副总裁提权型后门SEO控制后门,Webshell 每日攻击趋势:相对比较平稳,Webshell 攻击分析,WebShell 攻击分析:,样本变化灵活,难以聚集族群特性攻击IP分散(寻找有价值的族群性攻击IP群)特种 WebShell 样本挖掘,Section. 04威胁情报在云安全平台的应用,攻击源分析,攻击源分析,联动防御策略,谢谢,
