主动防御在安全建设中的思考与实践

1. 主动防御在安全建设中的思考与实践华为消费者云安全架构师萧观澜

2.

3. 自我介绍 l ID：萧观澜 l 职业经历：绿盟科技、百度、华为 l 擅长：系统层安全和数字取证

4. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n 安全能力度量-BAS系统

5. 安全目标：追求更短的 TTD ,TTR与TTH ? 安全指标: • TTD：多久能感知到攻击? • TTR：被入侵成功后,多久能控制业务受影响范围? • TTH：0day/Nday出现后,多久能对受影响资产完成加固,缓解风险? 业务诉求: • 我们的核心资产如何分布?IT资产的安全状况是什么样,是否“黑白分明”? 依赖 • 流程：职责授权和支撑 • 数据：环境/日志/业务场景/情报攻陷目标系统平均花费时间? • 工具（能力）：安全探针，分析工具 • 人员：安全分析/事件调查/威胁追踪 Data Source: Black Report 2017 攻陷目标系统后，发现并拿到核心数据的时间？

6. 安全建设历程初始可重复已定义量化管理 Coming Soon 量化管理 • 建设水平看”天”吃饭堆设备追求更短的TTD 告警日清日结 SIEM建模降噪追求更短的TTR • 主要职责安全设计安全稽核安全运维 +安全开发 +渗透测试 +隐私和风控 +安全运营 +Purple Team 已定义可重复初始

7. 问题与挑战 Q1：安全能力的正向建设接近瓶颈,如何进一步提升? Q2：我们能检测什么?不能检测什么?能检测的威胁其TTD是多长? Q3：安全团队如何在安全对抗中掌握更多的主动权?

8. 网络安全滑动标尺模型:从纵深防御到主动防御 The Sliding Scale of Cyber Security（网络安全滑动标尺模型） Data Source: SANS Institute

9. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n • 漏洞预警 • 威胁追踪 • 威胁检测安全能力度量-BAS系统

10. 主动防御:知己知彼，在攻防对抗中进一步获得主动权知己知彼数据感知能力洞察威胁追踪数据感知：IT系统在流程的保障下，例行提供实时的，准确的数据和友好的交互式分析平台以便全面清晰的掌握内部资产变化,并能做细粒度的控制。这样也可以使威胁追踪变得更快，更容易，更频繁和更准确. 能力洞察:量化的评价分析对各类威胁的检测效果和时效性. 威胁追踪（threat hunting）：安全工程师消费情报并通搜索和机器学习对海量告警和日志进行深度分析，判断每条数据背后攻击者的技术能力，攻击意图和机会，持续的追踪对手的活动.

11. 典型主动防御系统实践简介漏洞感知攻击威胁预警追踪主动防御威胁威胁情报检测

12. 漏洞感知的问题和挑战，如何进一步缩短TTH? • 生产环境(10W+主机)2小时可扫描一遍, 能否更短? • 软件版本库数据不够准确,如何更精确? • 生产环境全部文件系统使用系统命令有漏洞特征的文件, 很多场景无法解决, 且性能影响较大 • 安全补丁安装后需要重启服务或机器但没有重启 • 使用RASP从应用进程内存中获取漏洞组件的关键类

13. 应用指纹库效果，Java的开源组件漏洞的TTH缩短为分钟级 0 爬虫监测到Xstream RCE 漏洞（CVE-2020-26217） 1 如果是新组件则分析其关键类名，否则使用预置规则 2 SIEM portal中输入漏洞关键字和影响版本（给RASP下发策略） 3 输出生产环境数万台主机活动进程中实际受影响的漏洞组件分布

14. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n • 漏洞预警 • 威胁追踪 • 威胁检测安全能力度量-BAS系统

15. 威胁追踪：攻防对抗中如何识别对手的技术能力? • 逆向分析 ? • 扫描防护 • 拦截/干扰 • 爬虫防护 • 封禁IP/domain • 漏洞利用 • 封禁Payload(Signature) • CC防护 • 封禁机器人流量 • 刷单

16. Bot Mitigation：让安全团队将资源聚焦在高威胁级别的对手上 PC端 • 业务嵌入透明表单 • LB 注入JS • 检测鼠标轨迹移动端无JS解析能力有JS解析能力 SQLmap Python CasperJS PhantomJS Driver Browser Selenium appium 录屏操作真人操作 Sikuli X Automator 群控平台 • 传感器误差校验 • 屏幕按压数据

17. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n • 漏洞预警 • 威胁追踪 • 威胁检测安全能力度量-BAS系统

18. 基于Signature的检测系统，进入瓶颈,如何进一步提升? Q1：检测逻辑可被逆向分析或推理出,从而被ByPass Q2：不断增长的signature导致安全系统资源消耗不断提升,而限制其使用的资源又导致TTD降低 Q3：如何进一步提升检出率和降低误报? Honeypot EIP NIDS LB WAF Web Server RDS RASP 思路：系统层：端侧采集,云侧检测,UEBA建模 HIPS 最后一道防线可检测webshell行为 DBF

19. 基于UEBA的系统层威胁检测：数据采集&近源消减 • • 实时性: Pull or Push ? 兼容性和稳定性: Kprobe+DKMS or eBPF ? 采集目标: 进程/线程创建、销毁网络 connect/accept/bind事件（不包括读写）文件创建、删除、重命名、以及读写 • 事件日志消减前消减后 time 1: A read B time 2: A write C time 3: A read B time 4: A read B time 5: A write C Process A Process A 1 3 4 File B 2 5 1 File C File B 2 File C Time A status B status C status 是否过滤 0 {A} {B} {C} N/A 1 {A,B} {B} {C} 否 2 {A,B} {B} {A,B,C} 否 3 {A,B} {B} {A,B,C} 是 4 {A,B} {B} {A,B,C} 是 5 {A,B} {B} {A,B,C} 是

20. 基于UEBA的系统层威胁检测：VM场景学习模式(时间) 统计分析(空间)

21. 基于UEBA的系统层威胁检测：Container场景特点 Container:Immutable infrastructure（不可变基础架构） • 可预测性 • 不变性管理规范: 1 禁止生产环境在容器内变更,如需故障定位,则kubectl run busybox 进行 2 基础镜像不含sshd服务,禁止ssh登录

22. 基于UEBA的系统层威胁检测：Container场景优势行为基线有效期随着容器实例生命周期变化而变化更多的可信数据来源(dockerfile) API $image inspect // 容器镜像 $docker inspect //容器实例劣势策略不适合由人工下发,需自动化处理告警和处置动作需随容器实例生命周期变化而变化

23. 基于UEBA的系统层威胁检测：效果展示进程链的父子关系：Webshell恶意行为，如执行系统命令非业务变更和Troubleshooting场景出现的新进程，新用户业务间非正常的东西向流量访问基于signature 的恶意行为检测更灵活

24. 主动防御在安全建设中的思考与实践 n 安全建设历程和挑战 n 主动防御系统实践分享 n 安全能力度量-BAS系统

25. 为什么要进行安全能力度量？ • 安全系统能检测/防御哪些威胁?具体的深度?安全能力（工具）还有哪些需要提高？ • IRDF(应急响应与数字取证)团队在不同攻击场景中的TTR是多少（人员能力）?如何提高？ • 建设攻防知识库,更好的提升安全相关人员技能

26. ATT&CK Enterprise Matrix Linux

27. 安全度量目标 • 任何一个攻击链上下游涉及的攻击子技术至少有两个环节被入侵检测系统检出 • • 任何一个攻击子技术至少有2个独立的安全探针检出任何产生的安全告警TTD，期望探针告警TTD<X 秒，统计分析/AI模型TTD<Y分钟 WiseShield 告警场景结果备注未产生告警 0 C 检出成功攻击且TTD符合预期 1 A 检出成功攻击但TTD不符合预期 2 B 检出成功攻击但攻击类型/描述不正确 3 B 检出成功攻击但告警描述无法区分攻击成功还是攻击失败 4 B 至少有2个安全探针产生的结果符合预期 / S

28. BAS(Breach and Attack Simulation)系统架构介绍 • 技术文档 • 攻击技术的PoC • 靶机/靶场 • 攻击机(BAS平台) • 安全系统

29. BAS：攻击知识库技术分析深入全面攻击实例可复现结果可度量缓解措施可执行子技术均有自动化PoC 外部引入要声明

30. BAS系统 CLI使用 ppf test http_tunnel -p @test/http_tunnel.json ppf test http2_tunnel -p @test/http2_tunnel.json ppf test icmp_tunnel -p @test/icmp_tunnel.json ppf test ssh_tunnel -p @test/ssh_tunnel.json ppf test dns_tunnel -p @test/dns_tunnel.json ppf test sctp_tunnel -p @test/sctp_tunnel.json ppf test kcp_tunnel -p @test/kcp_tunnel.json ppf test p2p_tunnel -p @test/p2p_tunnel.json ppf test quic_tunnel -p @test/quic_tunnel.json ppf test vmess_tunnel -p @test/vmess_tunnel.json ppf test websocket_tunnel -p @test/websocket_tunnel.json

31. BAS系统 Portal，可进行PoC(攻击插件)的编排

32. BAS能力度量结果-示例实现原理相同的测试用例一般仅需要保留一个

33. BAS 动态 D3fend Matrix • 防御技术和攻击技术的关系：一一映射？ • 防御的核心思路：必经之路，重兵把守 • 防御能力如何度量？

34. BAS合作通过合作,共同完善防御系统的安全能力 • 已知威胁可以绕过防护系统 OR • 通过新的攻击技术攻击靶场成功

35.

36. 如何让RASP100%覆盖业务 Q1:RASP需要和业务web容器耦合部署,侵入性高 Q2:RASP如何覆盖业务的全部场景,保障兼容性和稳定性? 思路:RASP作为面向公网开放的web服务的必备组件,由业务研发组织默认集成并随业务版本测试而测试