主动防御在安全建设中的思考与实践

如果无法正常显示,请先停止浏览器的去广告插件。
分享至:
1. 主动防御在安全建设中的思 考与实践 华为消费者云安全架构师 萧观澜
2.
3. 自我介绍 l ID:萧观澜 l 职业经历:绿盟科技、百度、华为 l 擅长:系统层安全和数字取证
4. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n 安全能力度量-BAS系统
5. 安全目标:追求更短的 TTD ,TTR与TTH ? 安全指标: • TTD:多久能感知到攻击? • TTR:被入侵成功后,多久能控制业务 受影响范围? • TTH:0day/Nday出现后,多久能对受 影响资产完成加固,缓解风险? 业务诉求: • 我们的核心资产如何分布?IT资产 的安全状况是什么样,是否“黑白 分明”? 依赖 • 流程:职责授权和支撑 • 数据:环境/日志/业务场景/情报 攻陷目标系统平均花费时间? • 工具(能力):安全探针,分析工具 • 人员:安全分析/事件调查/威胁追踪 Data Source: Black Report 2017 攻陷目标系统后,发现并拿到核心数据的时间?
6. 安全建设历程 初始 可重复 已定义 量化管理 Coming Soon 量化管理 • 建设水平 看”天”吃饭 堆设备 追求更短的TTD 告警日清日结 SIEM建模降噪 追求更短的TTR • 主要职责 安全设计 安全稽核 安全运维 +安全开发 +渗透测试 +隐私和风控 +安全运营 +Purple Team 已定义 可重复 初始
7. 问题与挑战 Q1:安全能力的正向建设接近瓶颈,如何进一步提升? Q2:我们能检测什么?不能检测什么?能检测的威胁其TTD是多长? Q3:安全团队如何在安全对抗中掌握更多的主动权?
8. 网络安全滑动标尺模型:从纵深防御到主动防御 The Sliding Scale of Cyber Security(网络安全滑动标尺模型) Data Source: SANS Institute
9. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n • 漏洞预警 • 威胁追踪 • 威胁检测 安全能力度量-BAS系统
10. 主动防御:知己知彼,在攻防对抗中进一步获得主动权 知己知彼 数据感知 能力洞察 威胁追踪 数据感知:IT系统在流程的保障下,例行提供 实时的,准确的数据和友好的交互式分析平 台以便全面清晰的掌握内部资产变化,并能 做细粒度的控制。这样也可以使威胁追踪变 得更快,更容易,更频繁和更准确. 能力洞察:量化的评价分析对各类威胁的检测效 果和时效性. 威胁追踪(threat hunting):安全工程师消 费情报并通搜索和机器学习对海量告警和日 志进行深度分析,判断每条数据背后攻击者 的技术能力,攻击意图和机会,持续的追踪 对手的活动.
11. 典型主动防御系统实践简介 漏洞 感知 攻击 威胁 预警 追踪 主动 防御 威胁 威胁 情报 检测
12. 漏洞感知的问题和挑战,如何进一步缩短TTH? • 生产环境(10W+主机)2小时可扫描一遍, 能否更短? • 软件版本库数据不够准确,如何更精确? • 生产环境全部文件系统使用系统命令 有漏洞特征的文件, 很多场景无法解决, 且性能影响较大 • 安全补丁安装后需要重启服务或机器 但没有重启 • 使用RASP从应用进程内存中获取漏 洞组件的关键类
13. 应用指纹库效果,Java的开源组件漏洞的TTH缩短为分钟级 0 爬虫监测到Xstream RCE 漏洞(CVE-2020-26217) 1 如果是新组件则分析其关键类名,否则使用预置规则 2 SIEM portal中输入漏洞关键字和影响版本(给RASP下发策略) 3 输出 生产环境数万台主机 活动进程中实际受影响的漏洞组件分布
14. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n • 漏洞预警 • 威胁追踪 • 威胁检测 安全能力度量-BAS系统
15. 威胁追踪:攻防对抗中如何识别对手的技术能力? • 逆向分析 ? • 扫描防护 • 拦截/干扰 • 爬虫防护 • 封禁IP/domain • 漏洞利用 • 封禁Payload(Signature) • CC防护 • 封禁机器人流量 • 刷单
16. Bot Mitigation:让安全团队将资源聚焦在高威胁级别的对手上 PC端 • 业务嵌入透明表单 • LB 注入JS • 检测鼠标轨迹 移动端 无JS解析能力 有JS解析能力 SQLmap Python CasperJS PhantomJS Driver Browser Selenium appium 录屏操作 真人操作 Sikuli X Automator 群控平台 • 传感器误差校验 • 屏幕按压数据
17. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n • 漏洞预警 • 威胁追踪 • 威胁检测 安全能力度量-BAS系统
18. 基于Signature的检测系统,进入瓶颈,如何进一步提升? Q1:检测逻辑可被逆向分析或推理出,从 而被ByPass Q2:不断增长的signature导致安全系统 资源消耗不断提升,而限制其使用的资源又 导致TTD降低 Q3:如何进一步提升检出率和降低误报? Honeypot EIP NIDS LB WAF Web Server RDS RASP 思路: 系统层:端侧采集,云侧检测,UEBA建模 HIPS 最后一道防线 可检测webshell行为 DBF
19. 基于UEBA的系统层威胁检测:数据采集&近源消减 • • 实时性: Pull or Push ? 兼容性和稳定性: Kprobe+DKMS or eBPF ? 采集目标: 进程/线程创建、销毁 网络 connect/accept/bind事件 (不包括读写) 文件创建、删除、重命 名、以及读写 • 事件日志 消减前 消减后 time 1: A read B time 2: A write C time 3: A read B time 4: A read B time 5: A write C Process A Process A 1 3 4 File B 2 5 1 File C File B 2 File C Time A status B status C status 是否过滤 0 {A} {B} {C} N/A 1 {A,B} {B} {C} 否 2 {A,B} {B} {A,B,C} 否 3 {A,B} {B} {A,B,C} 是 4 {A,B} {B} {A,B,C} 是 5 {A,B} {B} {A,B,C} 是
20. 基于UEBA的系统层威胁检测:VM场景 学习模式(时间) 统计分析(空间)
21. 基于UEBA的系统层威胁检测:Container场景特点 Container:Immutable infrastructure(不可变基础架构) • 可预测性 • 不变性 管理规范: 1 禁止生产环境在容器内变更,如需故障定位,则kubectl run busybox 进行 2 基础镜像不含sshd服务,禁止ssh登录
22. 基于UEBA的系统层威胁检测:Container场景 优势 行为基线有效期随着容器实例生命周期变化而变化 更多的可信数据来源(dockerfile) API $image inspect // 容器镜像 $docker inspect //容器实例 劣势 策略不适合由人工下发,需自动化处理 告警和处置动作需随容器实例生命周期变化而变化
23. 基于UEBA的系统层威胁检测:效果展示 进程链的父子关系:Webshell恶意行为,如执行系统命令 非业务变更和Troubleshooting场景出现的新进程,新用户 业务间非正常的东西向流量访问 基于signature 的恶意行为检测更灵活
24. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n 安全能力度量-BAS系统
25. 为什么要进行安全能力度量? • 安全系统能检测/防御哪些威胁?具体的深度?安 全能力(工具)还有哪些需要提高? • IRDF(应急响应与数字取证)团队在不同攻击场景 中的TTR是多少(人员能力)?如何提高? • 建设攻防知识库,更好的提升安全相关人员技能
26. ATT&CK Enterprise Matrix Linux
27. 安全度量目标 • 任何一个攻击链上下游涉及的攻击子技术至少有两个环节被入侵检测系统检出 • • 任何一个攻击子技术至少有2个独立的安全探针检出 任何产生的安全告警TTD,期望探针告警TTD<X 秒,统计分析/AI模型TTD<Y分钟 WiseShield 告警场景 结果 备注 未产生告警 0 C 检出成功攻击且TTD符合预期 1 A 检出成功攻击但TTD不符合预期 2 B 检出成功攻击但攻击类型/描述不正确 3 B 检出成功攻击但告警描述无法区分攻击成功还是攻击失败 4 B 至少有2个安全探针产生的结果符合预期 / S
28. BAS(Breach and Attack Simulation)系统架构介绍 • 技术文档 • 攻击技术的PoC • 靶机/靶场 • 攻击机(BAS平台) • 安全系统
29. BAS:攻击知识库 技术分析深入全面 攻击实例可复现 结果可度量 缓解措施可执行 子技术均有自动化PoC 外部引入要声明
30. BAS系统 CLI使用 ppf test http_tunnel -p @test/http_tunnel.json ppf test http2_tunnel -p @test/http2_tunnel.json ppf test icmp_tunnel -p @test/icmp_tunnel.json ppf test ssh_tunnel -p @test/ssh_tunnel.json ppf test dns_tunnel -p @test/dns_tunnel.json ppf test sctp_tunnel -p @test/sctp_tunnel.json ppf test kcp_tunnel -p @test/kcp_tunnel.json ppf test p2p_tunnel -p @test/p2p_tunnel.json ppf test quic_tunnel -p @test/quic_tunnel.json ppf test vmess_tunnel -p @test/vmess_tunnel.json ppf test websocket_tunnel -p @test/websocket_tunnel.json
31. BAS系统 Portal,可进行PoC(攻击插件)的编排
32. BAS能力度量结果-示例 实现原理相同的测试用例一般仅需要保留一个
33. BAS 动态 D3fend Matrix • 防御技术和攻击技术的关系:一一映射? • 防御的核心思路:必经之路,重兵把守 • 防御能力如何度量?
34. BAS合作 通过合作,共同完善防御系统的安全能力 • 已知威胁可以绕过防护系统 OR • 通过新的攻击技术攻击靶场成功
35.
36. 如何让RASP100%覆盖业务 Q1:RASP需要和业务web容器耦合部 署,侵入性高 Q2:RASP如何覆盖业务的全部场景,保 障兼容性和稳定性? 思路:RASP作为面向公网开放的web服 务的必备组件,由业务研发组织默认集 成并随业务版本测试而测试

Home - Wiki
Copyright © 2011-2024 iteam. Current version is 2.139.0. UTC+08:00, 2024-12-23 22:34
浙ICP备14020137号-1 $Map of visitor$