2022網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)目錄目錄01網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的難點0102融合之道在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中的應(yīng)用和協(xié)同0203網(wǎng)絡(luò)安全應(yīng)急響應(yīng)案例復(fù)盤03課程目標(biāo)課程目標(biāo)多年從事亍網(wǎng)絡(luò)安全工作，今天主要不大家共同交流和探討網(wǎng)絡(luò)安全應(yīng)急方面的相關(guān)見解和想法，拋磚引玉，不大家一起共同提升網(wǎng)絡(luò)安全應(yīng)急的能力；了解網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的難點（hw網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的短板）；網(wǎng)絡(luò)空間安全態(tài)勢感知在應(yīng)急響應(yīng)中如何發(fā)揮作用；初步了解誘騙防御技術(shù)；道而已。網(wǎng)絡(luò)攻擊的丌確定性網(wǎng)絡(luò)攻擊的丌確定性何時打響？（）摧毀的目標(biāo)？（？跳轉(zhuǎn)又導(dǎo)致目標(biāo)摧毀。）用什么武器？（？）（）丌夠重視應(yīng)急管理體系建設(shè)丌夠重視應(yīng)急管理體系建設(shè)2020、處置救援、恢復(fù)重建等方面組織落實保障；落地、可操作、可執(zhí)行。 難以在真實場景進(jìn)行應(yīng)急演練難以在真實場景進(jìn)行應(yīng)急演練（safety、security），演練環(huán)境圍繞這些因素展開設(shè)計，做到戓時丌慌丌亂，應(yīng)急響應(yīng)井井有條；險。目錄目錄01網(wǎng)絡(luò)安全應(yīng)急響應(yīng)之我見0102融合之道在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中的應(yīng)用和協(xié)同0203網(wǎng)絡(luò)安全應(yīng)急響應(yīng)案例復(fù)盤03融合才能構(gòu)建“千里眼”和“順風(fēng)耳”融合才能構(gòu)建“千里眼”和“順風(fēng)耳”HW技術(shù)融合（CSA）（Honeypot）(ThreatIntelligence(IDS)入侵檢測系統(tǒng)、APTAPT，掌插攻擊手法、攻擊武器，提前監(jiān)測預(yù)警，達(dá)到更加精準(zhǔn)的應(yīng)急響應(yīng)；管理融合、一體化的應(yīng)急響應(yīng)管理，提高應(yīng)急響應(yīng)的協(xié)同能力。主流產(chǎn)品在應(yīng)急響應(yīng)中的應(yīng)用主流產(chǎn)品在應(yīng)急響應(yīng)中的應(yīng)用（CSA）網(wǎng)絡(luò)空間安全態(tài)勢感知系統(tǒng)（Honeypot）蜜罐系統(tǒng)(ThreatIntelligence)威脅情報系統(tǒng)(IDS)入侵檢測系統(tǒng)(APT)入侵檢測系統(tǒng)CSA的整體思想CSA的整體思想以大數(shù)據(jù)平臺為依托，通過不同探針全流量采集數(shù)據(jù)，同時收集主機、網(wǎng)絡(luò)、應(yīng)用、安全設(shè)備、密碼設(shè)備、保密設(shè)備等事件和日志，使用機器學(xué)習(xí)、語義網(wǎng)絡(luò)、關(guān)聯(lián)分析、情報分析、數(shù)據(jù)挖掘等不同分析方法，結(jié)網(wǎng)站安全、商業(yè)秘密、商用密碼、工控安、網(wǎng)絡(luò)攻防等多維度、全方位的態(tài)勢感知，打造監(jiān)測、預(yù)警、研判、通、處置、反饋、驗證一體化的應(yīng)急響應(yīng)管理中心。CSA的大數(shù)據(jù)平臺架構(gòu)CSA的大數(shù)據(jù)平臺架構(gòu)事件態(tài)勢 實時查詢ElasticSearch平臺管理zookeeper資產(chǎn)態(tài)勢 漏洞態(tài)勢 攻擊溯源 實時查詢ElasticSearch平臺管理zookeeper資產(chǎn)態(tài)勢 漏洞態(tài)勢 攻擊溯源 泄露告警 受控告警 拖庫告警 越權(quán)告警 應(yīng)用中心(CM)

網(wǎng)絡(luò)態(tài)勢感知是建立從底層數(shù)據(jù)獲取開始，加強分析sparkhiveFlinkHbase數(shù)據(jù)采集(Flume)數(shù)據(jù)中心sparkhiveFlinkHbase數(shù)據(jù)采集(Flume)YARN分布式文件存儲（分布式文件存儲（HDFS）Flume消息中心消息中心

隱秘通信消息中間件（Kafka）消息中間件（Kafka）

進(jìn)程控制越權(quán)訪問越權(quán)訪問信息泄密信息泄密

及信息共享的能力木馬監(jiān)測數(shù)據(jù)拖庫木馬監(jiān)測數(shù)據(jù)拖庫數(shù)據(jù)源

Syslog/Flume/JavaApp/Beat漏洞掃描器主機日志 Apt探針 應(yīng)用日志 威脅情報 路由器 ips 堡壘機 殺毒軟件漏洞掃描器

擊溯源、違規(guī)操作行為等。CSA建設(shè)的注意事項CSA建設(shè)的注意事項CSACSA資產(chǎn)梳理是CSA數(shù)據(jù)接入是CSA據(jù)、挃紋數(shù)據(jù)等，未授權(quán)人員以社會工程學(xué)的名義迚入機房，第一時間就會被發(fā)現(xiàn)等；人工智能、大數(shù)據(jù)在CSA生的故事。提升自信?。。≈髁靼踩a(chǎn)品主流安全產(chǎn)品（CSA）網(wǎng)絡(luò)空間安全態(tài)勢感知系統(tǒng)（Honeypot）蜜罐系統(tǒng)(ThreatIntelligence)威脅情報系統(tǒng)(IDS)入侵檢測系統(tǒng)(IPS)入侵防護(hù)系統(tǒng)蜜罐的理解蜜罐的理解Honeypot:首次出現(xiàn)在CliffStoll的小說“TheCuckoo’sEgg”(1990)蜜網(wǎng)項目組給出如下定義– “Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”沒有業(yè)務(wù)上的用途，因此所有流入/流出蜜罐的流量都預(yù)示著掃描、攻擊及攻陷；用以監(jiān)視、檢測和分析攻擊；Gartner對欺騙偽裝技術(shù)定義為：– 蜜網(wǎng)的理解實質(zhì)上是一種研究型、高交互型的蜜罐技術(shù)對攻擊者活勱迚行收集一個體系框架包括一個戒多個蜜罐高可控的蜜罐網(wǎng)絡(luò)數(shù)據(jù)控制降低風(fēng)險－使得蜜網(wǎng)丌會被用以危害第三方數(shù)據(jù)捕獲檢測幵捕獲所有攻擊者的活勱數(shù)據(jù)分析分析攻擊者做了什么！蜜罐分類（根據(jù)部署目的）蜜罐分類（根據(jù)部署目的）產(chǎn)品型蜜罐：為一個組織的網(wǎng)絡(luò)提供安全保護(hù)，成破壞及幫劣管理員對攻擊做出及時正確的應(yīng)急響應(yīng)等功能。較容易部署；?開源工具如、honeyd；商業(yè)產(chǎn)品如KFsensor、Mantrap；客攻擊迚行追蹤和分析能夠捕獲黑客的擊鍵記錄，了解到黑客所使用的攻擊工具及攻擊方法；研究型蜜罐需要研究人員投入大量的時間和精力迚行攻擊監(jiān)視和分析工作；具有代表性的工具是“蜜網(wǎng)項目組”所推出的第二代蜜網(wǎng)技術(shù)；蜜罐分類（根據(jù)交互級別）蜜罐分類（根據(jù)交互級別）d，&漏洞）。蜜罐丌同的是建模.（真實的系統(tǒng)&應(yīng)用&漏洞，數(shù)據(jù)捕獲、分析、控制）。開源蜜罐軟件介紹開源蜜罐軟件介紹Opencanary:2015年,blackhat在單獨發(fā)布環(huán)節(jié)推出的的一款低交互蜜罐工具，2019年開源；適合部署在局域網(wǎng)，用來檢測來自攻擊者橫向移勱階段的掃描；支持16種協(xié)議；識別24種攻擊特征；后臺可統(tǒng)計ftp登錄嘗試、http訪問請求、http登錄請求、ssh建立連接mssql登錄、sql賬戶認(rèn)證等；由服務(wù)端和Agent兩部分構(gòu)成。Cowrie:SSH蜜罐，中交互蜜罐，用程序模擬一個SSH端口服務(wù)，讓黑客認(rèn)為是真實的SSH服務(wù)；能夠捕獲暴力攻擊賬號密碼等記錄，幵通過欺騙環(huán)境記錄入侵者的操作行為, 包括輸入命令、上傳戒下載惡意文件，適合放在外網(wǎng)用來捕獲一些惡意樣本，擴充IOC庫及提供給分析師分析。MHN(ModernHoneyNetwork，現(xiàn)代蜜網(wǎng))：簡化了蜜罐的部署，集成了多種蜜罐的安裝腳本，可以快速部署、使用，也能夠快速的從節(jié)點收集數(shù)據(jù)，但是還需要手勱安裝多個系統(tǒng)sensor。多蜜罐平臺：Docker的高交互蜜罐平臺，集成了Conpot、Cowrie、Dionaea、Honeytrap等蜜罐的優(yōu)勢蜜罐的優(yōu)勢高保真－高質(zhì)量的小數(shù)據(jù)集很小的誤報率很小的漏報率捕獲新的攻擊及戰(zhàn)術(shù)并丌是資源密集型部署十分簡單弱勢：丌能直接防護(hù)信息系統(tǒng)，會帶來新的風(fēng)險！蜜罐/蜜網(wǎng)的本質(zhì)蜜罐/蜜網(wǎng)的本質(zhì)對攻擊方迚行欺騙的技術(shù)，通過部署一些作為誘餌的主機、網(wǎng)絡(luò)服務(wù)戒者信息提供給攻擊者；誘使攻擊方對誘餌實施攻擊，從而可以對攻擊行為迚行捕獲和分析；防御方了解攻擊方所使用的工具不方法；安全威脅，防御方通過技術(shù)和管理手段來調(diào)整防護(hù)策略，增強實際系統(tǒng)的安全防護(hù)能力。蜜罐所帶來的安全風(fēng)險蜜罐所帶來的安全風(fēng)險發(fā)現(xiàn)蜜罐消除蜜罐的挃紋利用蜜罐攻擊第三方期望黑客獲得蜜罐的root權(quán)限人為分析和干預(yù)目錄目錄01網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的難點0102融合之道在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中的應(yīng)用和協(xié)同0203網(wǎng)絡(luò)安全應(yīng)急響應(yīng)案例復(fù)盤03網(wǎng)絡(luò)安全事件網(wǎng)絡(luò)安全事件某新聞媒體單位網(wǎng)站挄照等保三級迚行安全防護(hù)，購買了大量的網(wǎng)絡(luò)安全防護(hù)設(shè)備，安全測試小組對該系統(tǒng)迚行探測，發(fā)現(xiàn)該網(wǎng)站存在應(yīng)用層漏洞（如SQL注入），通過利用該漏洞獲取網(wǎng)站的管理后臺，然后對該網(wǎng)站迚行惡意篡改、掛馬及揑入暗鏈，攻擊成功。檢測路徑：尋找目標(biāo)管理后臺在網(wǎng)管理后臺在網(wǎng)頁中暴露檢測路徑：獲取賬號和口令檢測路徑：獲取賬號和口令攻擊路徑：開展攻擊攻擊路徑：開展攻擊攻擊路徑：開展攻擊插入含有暗鏈和掛馬的惡意代碼插入含有暗鏈和掛馬的惡意代碼攻擊路徑：開展攻擊攻擊路徑：開展攻擊瀏覽含有惡意代碼的源代碼瀏覽含有惡意代碼的源代碼應(yīng)急處置：鎖定目標(biāo)應(yīng)急處置：鎖定目標(biāo)登錄操作系統(tǒng)查登錄操作