騰訊安全對抗經驗分享:數據逐步成為攻防G點#FreeTalk深圳站
責編:admin |2014-12-26 11:33:18在12月20日進行的FreeTalk深圳站活動上,騰訊安全專家 江虎(xti9er)已與小伙伴們分享了議題《網絡軍備競賽》,小編在此對演講精華內容做出整理,各位一睹為快。
數據匱乏導致對抗困境
恐懼來源于未知,從目前來看我們對于漏洞和入侵事件應急響應的困境就在于對攻擊者攻擊手法,攻擊途徑的未知。
當我們在受到攻擊時,攻擊者來自哪里?攻擊所造成的影響有多大?攻擊的范圍是怎樣的?這些都是當前亟待解決的問題。
數據分析驅動攻擊方式
在很多網絡安全事件中攻擊者首先會收集大量元數據,然后再通過收集到的數據對整個網絡架構的缺陷以及服務器的數據進行分析,并最終通過利用缺陷,抓取數據進行攻擊。
在我們的生活中也不乏這樣的例子。日常生活中入住酒店時的房卡(NFC卡)擁有一個全球唯一標識的四字節序列號,就是這樣一個不起眼的房卡,當我們通過大量收集其序列號加以利用,就可以很清晰的利用該序列號對任何人的住址進行查詢。
除了一般定義中的攻擊者,還有另一類攻擊者——攻擊系統。目前比較常見的攻擊系統有Zoomeye/Fofa/Shodan 前兩種為國內的攻擊系統,后一種為國外的。
攻擊系統會對全世界的網站、網絡進行持續的掃描,并對網站的版本信息,網絡的架構,以及服務器開放的端口、服務甚至包括漏洞等全部進行記錄。
通過這一方式,許多網站、系統的弱點,網絡架構的缺陷,就會很清晰的暴漏出來,你的網絡將沒有任何遮羞布,即使你的網站現在未被攻擊,網站的缺陷也已經一目了然,一旦出現漏洞,攻擊者就可以第一時間發動攻擊,這種方式也被稱為全民APT。(APT: 高級持續性威脅。是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。)
通過對攻擊者們的分析得出,它們具有完備的風險數據、最新的攻擊手法、自動化的攻擊平臺、零時差響應等優勢.。
另外對于安全人員來說,數據運營只是一種手段,解決安全風險,得出定性結論才是目標。
騰訊在數據分析方面的實踐
在騰訊的實際入侵對抗工作中,有兩點十分重要:一是安全運營以我為主,即搞清楚自身的風險并進行加固,二是技術對抗要緊跟趨勢,即做好漏洞攻擊行為和入侵行為的檢測。
另外在實際的入侵對抗工作中,對于攻擊手法、擴散范圍、攻擊途徑、追溯定損這四個方面的數據收集十分重要,這也是作為一個安全團隊的優勢關鍵所在。
在安全團隊與攻擊者們的競爭中,數據是十分重要的,風險感知的識別以及入侵的檢測都離不開數據的支撐,而平臺要想做到快速響應并且快速的分析風險更是離不開數據的及時性和完備性。