2020BCS-北京网络安全大会：基于威胁情报的云安全检测技术.pdf

1、2020北京网络安全大会CSASummitPERCONN云安全联盟峰会LBUSTWEADNIZ基于威胁情报的云安全检测技术ECUR演讲人：王亮JPPLENDPOIMENDPOINT SECURITDEFENSEBEHAVIORAL ANALNETWORHUMAN PRloTCLOUETIONBEHAVIORALANALYRESPONSETECHNOLOGY#page#CSA Summit攻防实战能力在云安全重要性逐步提高云安全联盟峰会检测响应已经从传统企业环境转向云计算环合规实战境。安全基线实时检测云厂商的安全体系已覆盖事前管理、准备国家法律准确检出事中检测响应，事后恢复的闭环。安全团队行业规

2、范已经不止关注传统的清理和被动防护的工作及时响应开始向主动防御的工作转移企业规章威胁情报作为有效的威胁检测机制被广泛应用于云计算场景#page#CSA Summit威胁情报的定义云安全联盟峰会Gartner的定义威胁情报是某种基于证据的知识包括上下文、机制、标记、含义与人员信息量可行的建议，这些知识与资产所面增大组织临已有的或酸酿中的威胁或危害相泰件特证关，可用于对这些威胁或危害进行稳定性响应的相关决策提供信息支持工具集、技术、过程（TTP）增强主机特征网络特征一个泛化的定义、城名、URL、通值协议通行路径、注册表项获取难度增加信息安全的语境下，一切与威协相文件样本HASH关的数据、信息以及知

3、识。#page#CSASummit/网络安全威胁信息模型云安全联盟峰会对象域-威助主体和攻击目标构成攻击者与受害者的关系；事件域攻击活动攻击指标事件域-攻击活动、安全事件、攻击指标和可观测数据则构成了完整的攻击事件流程；即有特定的经济或政治目的、对信息系统进行渗透入安全事件可观测数据侵，实现攻击活动、造成安全事件而防御方则使用网络中可以观测或测量到的数据或事件作为攻击指标识别出特定攻击方法方法域威励主体攻击方法方法域-在攻击事件中，攻击方所使用的方法、技术和过程（TTP）构成采取措施攻击方法，而防御方所采取的防护、检测、响应、回复等行动构成了应有效播施攻击目标应对措施对措施对对象域#page#

4、CSASummit可机读威胁情报：失陷威胁数据云安全联盟峰会IOc（IndicatorOfCompromise，失陷检测指标）le110.33220主要类型：IP、域名、文件Hash、邮箱、数字证书等最基础最具可用性的威胁情报类型，标示已成功的攻击，少量，精准ngtao33322.og指示被儒户网络、网络蟠虫、木马后门、APT攻击所控f.ctypbo-poolesinkhcene制的系统远控本马活动事威胁覆盖全面通进控术马活动事件he521123.3322.019多维度来源安全基础数据一开源及商业情报数据应收尽收et777.lnfo-强运营动静态自动化处理工具和平台通远控木马活动事件，可指导行

5、动的上下文21.130179.368080的05控来马话动事保wuqerfsodp9ia专业团队整合攻击组织来源、目的、具体危害、所使用通远控木马活动事保re77638dLinfig资源等判断处置所需的信息b133220g514 Boe00k58k70.tcp#page#CSA Summit云计算场景攻击路径云安全联盟峰会典型的攻击方式：黑客通过正常登录方式登录到云内某台虚拟机，期间由于是正常登录流量，防墙、IDS等基于规则的无法防护及告警黑客通过与虚拟机加密的隧道，传输恶意文件：恶意文件运行后，开始对云内网进行信息扫描采集，并对其它虚拟机进行攻击感染，攻击结束后进行痕迹清理被攻击感染的虚拟机

6、作为跳板，继续对其它虚拟机进行攻击整个感染攻击阶段，边界及主干网络中的安全设备：vswitchvSwitc网络攻击已经呈现弱特征性、多阶段性、高传染性，在东西向环境中高级威胁更加的多HypervisorlypervisoHyperviso样化；快速检出需要性能高检出率高的算法引擎；#page#CSASummit/威胁检测业务流程云安全联盟峰会采集分析处置API资产库漏洞库虚拟机服务器探针工单管理流量日志威助情报数据统计引虚拟化网络告警管理SOAR分析引擎惠探针策略数据流控制流#page#CSASummit/核心技术