建立全方位的威胁监控-微步在线薛锋
问题
- 有多少黑客试图攻击你的企业?
- 扫描IP是针对性攻击,还是人工、僵木蠕?
- 有多少服务器已经被拿下,挖矿还是DDoS?
- 还有多少Wannacry?外传数据?被勒索?
- 内网有多少黑客在渗透,移动,试图扩大权限?
- 收到的邮件多少附件带木马?多少是诈骗或者勒索?多少人打开了附件或者链接?
- 隔离的网络安全吗?
威胁监控目标:基于攻击链的全面威胁监控
攻击杀伤链-生产网漏洞攻击
- 扫描/侦查-应用发现
- 投递武器-CVE-2017-3248/CVE-2017-10271
- 漏洞利用-CVE-2017-3248/CVE-2017-10271
- 工具安装
- 命令和控制-C2服务器、下载挖矿样本
- 内网渗透
- 行动或数据窃取-挖矿
攻击杀伤链-办公网攻击
- 扫描/侦查-搜集邮箱、鱼叉式Email
- 投递武器-发送邮件
- 漏洞利用-office漏洞
- 工具安装-powershell
- 命令和控制-C2服务器
- 内网渗透-windows漏洞、Over pass the hash
- 行动或数据窃取-窃取资料
实现威胁监控途经:工具+技术+运营
传统工具
安全产品
- IPS
- WAF
- Firewall
- SIEM
- AV
监控探针/Sensor
- 南北向流量(网络边界):DMZ区域、办公网、生产网、隔离内网
- 东西向流量(内网流量):办公网内部流量、办公网向生产网流量、DMZ向生产网流量
- 关键节点流量:邮件网关流量、域控流量
- 终端:恶意文件
- 终端:进程、网络、注册表、驱动等行为
缺点
- 大量的人力投入
- 相应周期慢
- 容易绕过
- 误报高
新技术
应用云计算:威胁情报和图数据库
- 实时
- 可扩展性
- 云端多引擎查杀能力
安全运营人员
- 全面的探针应用
- 自动化的响应能力
- 可指导行为的上下文
工具+技术+运营
工具
开源
- ELK
- Linux-Osquery
- Suricata
- Bro
微步
- TDP
- TDP-Agent
- TDPS
- EDP
技术
开源
- ELK-Xpack
- VT
- 开源情报
微步
- TDP
- TDPS
- EDP
- TIP
- API
运营
微步
- MDR
- TIP-自动化响应
TDP:针对杀伤链的防御手段
本文作者:
yd0ng
本文链接: https://yd0ng.github.io/2021/01/19/%E5%BB%BA%E7%AB%8B%E5%85%A8%E6%96%B9%E4%BD%8D%E7%9A%84%E5%A8%81%E8%83%81%E7%9B%91%E6%8E%A7/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://yd0ng.github.io/2021/01/19/%E5%BB%BA%E7%AB%8B%E5%85%A8%E6%96%B9%E4%BD%8D%E7%9A%84%E5%A8%81%E8%83%81%E7%9B%91%E6%8E%A7/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
