压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

楊大路：大家好！下邊由我還有我們的伙伴都柯和我一塊兒來介紹下面一個議題。

前面的伙伴都講了，現在我們需要一個威脅情報要構建情報的平臺或者是情報云，我們需要構建怎樣的威脅情報云，我們認為應該具備這些能力，威脅在什么時間發生，攻擊者的手法是什么，攻擊從哪兒來，組織和個人使用了哪些工具，攻擊的目標是什么？我們更想知道攻擊者的身份是什么，他是一個國家還是一個組織還是一個個人？是針對企業的黑色產業的團體還是說針對更有真偽性的組織，可能在我們對攻擊者畫像的角度來說比較關鍵。

使用威脅情報云來檢測的目的是什么？其實我們認為使用威脅情報的目的和真正的效益在于縮短攻擊者的自由攻擊時間，也可以說是增加了攻擊者使用成本，所以使用威脅情報的產品的原因是第一是生產威脅產品的速度提升了，我們發現威脅事件對安全產品規則上進行了更新，速度會以月計，使用了威脅情報之后有可能就在小時甚至是分鐘級來實現規則的相應。第二個方面是使用威脅情報還可以解決產品間的差異問題，因為不同的廠商、不同的設備對同一個事情的描述千差萬別，一個問題可能有多種問題的描述的方法。一個漏洞CVE對事件的描述在不同的時間都可以出現很多很多，描述的差異性在威脅情報里可以用標準化的方法來描述。最后是兩個特性，一個是以行動為核心，我們在互聯網的任意一點發生了一件事證明了它的存在和分析清楚它的手法和價值以后，我們以這個證據鏈知識的傳遞給更多的用戶，更多的地方更好地來檢測事情、漏洞和脆弱性。最后是以有效性為目標，已經把證據以知識的方法傳遞給了更多的地方、更多的設備、更多的人，一旦發現關鍵路徑上的有效信息，它一定是一次和確定的安全事件，就不是說我們的疑似報警、疑似信息了，這是威脅情報使用的價值。

我們認為威脅情報云應該有一個中心，我們認為首先構建威脅情報云的第一步是需要做以溯源為中心的分析平臺，當然這個平臺可以是在企業側也可以使用互聯網上的云服務，溯源平臺是經過了把所有的互聯網上多元的威脅情報的數據進行了整合，以可視化的方法，以可用性的數據特征、關聯方法進行了關聯，可以便于快速地在界面上進行搜索，甚至可以使用API的方式進行有效的調用，目的就是告訴我們一個事件發生了以后，他是誰？什么時間發生？為什么發生？并且可以通過這個平臺最大程度地進行事件的溯源，來輔助我們做一些決策甚至做一些法律上的行動。

其實威脅情報是一個生態，威脅情報數量很多，來源很廣，而且它從生產到使用環節很長、流程很長，一家公司很難把它從頭到尾從原始數據搜集到分析到分發、到落地使用到響應、應急響應都做完，所以我們認為構建一個情報的生態，可能是打造一個安全威脅情報云服務的關鍵點，所以我們可以看到一方面自己搜集一些原始的數據，利用機器學習和專家集中在一塊的方法，更好地生產自己發現或者是獨立發現的獨有的威脅情報。另一方面，我們也要和更多的具有威脅情報或者是廣泛的廠商進行互補。比如說IBM? X-force這些數據，我們在情報云平臺上進行了整合，用戶直接使用了情報就避免了分析人員挨個云，不同的廠商的數據都去檢查一遍，這樣做的盡量多的數據整合的工作以后，這個情報工作的價值就會更高。當然，整合完以后，因為威脅情報是一種知識，知識怎么來發揮作用呢？不能說知識告訴你了就有作用，知識一定要有措施和手段去落地，這個措施和手段我認為無外乎還是傳統的，比如說SOC平臺、WAF平臺、掃描器和防火設備等等，還是要把威脅情報落地這樣才能發揮威脅情報更多的價值，所以我們也在威脅情報和產品做打通的基礎上，我認為這也是好的威脅情報云服務需要具備的，要和更多的產品、廠家的產品或者是更多的類型的產品去打通，這樣也解決的上一個議題講到的，用戶側什么樣的情報更有用，用戶自己知道，用戶側的設備需要什么樣的威脅情報，可以針對不同設備的特性進行訂閱和分發。

剛才說了我是如何來構建一個威脅情報云的，接下來看看我們是這么使用威脅情報云的?，F在主要有三種形態，一個是Feed，我們會提供在線的、常規的線索庫，我們的情報里不把Feed當成是信息庫，因為信息庫是傳統的說法，我更喜歡把它作為一個線索庫，我們把Feed作為發現事件、發現威脅的源頭來做調查的線索的入口。第二，威脅情報的平臺不能只靠人工實現查詢匹配，需要有更自動化的方法來使用它，所以需要平臺用API或者是SDK的方法讓機器自動化地查詢、推送和訂閱。威脅情報需要有用戶側的導入，用戶需要什么情報我們去給他匹配，所以在威脅情報導入之前，利用威脅情報云服務之前，需要一些現場的風險評估或者是安全服務的一些前置，把企業方面對威脅情報的需求梳理清楚，然后做定制化的訂閱，這樣的話效果會更好。傳統的設施一定是威脅情報落地的手段，威脅情報要落地一定要靠傳統的安全設施，所以一個好的威脅情報云的使用方法是我們一定要通過API、SDK的方法把它集成在企業已經建設或者正在建設的安全措施中。當然，不同的安全措施使用威脅情報的方法不一樣，比如說我們建了一個SOC平臺需要更多的線索庫，我們把線索庫定時地導入進去之后跟日志和資產做更多的離線碰撞，碰撞后的結果再返回到情報云上進行擴展。還有網關類的下一代的防火墻WAF，需要精確的可以進行實時告警和警報的信息，因為需要高并發的支持，可能用SDK把高威脅度的確定程度很高的情報信息做預先的或者是定時的導入來做檢測。最后，對APT的檢測一些常規的ICO和關鍵路徑的特征是關鍵，還有組合特征和流量還原的特征也會需要用到情報分發的體系，具體由后面的都柯給大家做一些講解，如何利用威脅情報云用APT檢測的案例的介紹。

當然，這是我們主流的威脅情報云能提供的基礎信息服務，包括域名的WHOIS、域名新于、IP? WHOIS反向解析，開放的端口數，這里面比較獨特的是一個AS域信息，每個IP都是屬于每一個網絡中的IS域，這會有很多有意思的黑客或者是一些使用方法，所以標注一個IP的AS域發現一些很特殊的黑客手段，還有常規的惡意樣本、url樣本等等。因為信息量很大，我們查詢的時候需要一些模糊匹配，所以對一些字符串的查詢也可能是情報云的比較好的方法，當然這只是一個威脅情報云需要具備的一些基礎的信息，這并不是全部，需要更多。

天際友盟是國內威脅情報的先行者，我們現在成立了國內首個安全威脅情報聯盟，我們的目標是以聚合、分析、交換、溯源為目標的情報云，并且我們是IBM? X -force的聯盟伙伴，烽火臺安全威脅聯盟是9家公司，我們把數據引擎進行了共享，并且在各自領域進行了互補，都有不同的技術方向，我們也支持了國際上主流的威脅情報的交換協議，并且我們現在也在協助工信部進行國內的威脅情報格式的國家標準的建設。

下面由都柯介紹一下怎么用威脅情報云進行具體案例的分析。

都柯：大家下午好，非常高興今天能有機會和大家一起分享我們在APT檢測核威脅情報云使用的經驗，我叫都柯來自于神州網云信息有限公司。為什么這個報告我們分成兩個人來組合？剛才大路也講了，我們的安全威脅情報是一個生態，既然是生態我們就要輸出也要使用，我們輸出我們的情報和共享的技術，從中在我們的業務應用過程中獲利或者是達到我們的目的。之前還有朋友在講，包括投資方面的和風險控制方面的，說我們的威脅情報的數據可以做很多的事情，甚至可以做風險控制，我們08年開始一直做高級惡意攻擊的檢測，我們服務的對象是國家的特殊部門，他們因為對高級惡意攻擊尤其是竊密、泄密類的攻擊是比較重視的，我們結合實際業務的工作產生了很多實際的效果我舉幾個實際的案例跟大家分析在高級惡意攻擊檢測的過程中如何利用威脅情報云產生我們的價值。

我主要從五個方面來向大家分享一下，首先是高級惡意攻擊檢測在不同領域的需求，以及現在面臨的問題，這些問題如何利用威脅情報平臺去解決。

第一，在高級惡意攻擊檢測的不同領域所面臨的問題，我們知道高級威脅供給APT的概念，相信大家都很了解了，在這兒我不過多地闡述了，APT攻擊我們檢測APT的過程雖說都是高級惡意攻擊可是目的是不同的，針對的對象是不同的。比如說，我們現在電信部門可能更關心的是吸費類的惡意類的攻擊，銀行更關心盜竊類的，企業和國家更關心的是自身的商業情報或者是國家的機密數據是否被竊密。針對不同的領域惡意人員攻擊所使用的手法和工具，最終造成的后果可能都是不同的，在不同的領域我們怎么樣去區分攻擊的線索怎么樣明確是針對我的攻擊呢？在業務工作中就產生了三個主要的問題，第一個問題是，怎么從海量的報警線索中發現我們所需要的攻擊的線索。任何的單位都會在網絡中部署安全的檢測設備，像防火墻、IDS等安全檢測設備，這些設備每天會產生大量的告警，不同的領域比如說政府部門，并不關心鍵盤記錄的木馬合乎是盜取游戲賬號的木馬，可是這些告警也是混雜在一起的，我們如何通過這個找出我們關心的關鍵的線索。第二個問題，怎么從單一的攻擊線索這個線索背后隱藏的信息是什么？比如說是誰？什么時間做了什么使用了什么工具，又拿到了什么內容，這是后續要擴展出來的更多的線索。第三，我們怎樣去發現不同攻擊線索之間的關聯關系，在一個地方發現了一個攻擊線索，可是還有其他的單位或者其他的部門產生了另一些攻擊，這些攻擊使用的手法、技術都不同，可是我們怎么樣發現他們中間是否有聯系，最后明確所謂的APT攻擊。

依托威脅情報的云平臺提出了幾個想法，第一是多角度的檢測，解決的是第一個問題，首先我要找出關鍵攻擊線索，我要解決的是有沒有海量的攻擊信息，這從哪兒獲取，就是攻擊檢測的各個角度，比如說后門的利用，拒絕服務的攻擊，第一個要做的是要把它檢測出來，再從檢測出來的數據內部再篩選我們所關心的類型，我們通過網絡的攻擊檢測模型對已知的攻擊行為進行報警，我們從多角度拿到了海量的攻擊的數據，我們進行攻擊的數據維護和線索的擴展，最后進行橫向的攻擊關聯關系的分析，到最后我們才能實現APT攻擊行為的明確。這張表上可以看到分了三個主要的階段，第一是線索的篩選，我們把前端或者說告警設備產生的告警信息會聚在云平臺，一定要結合人工分析，從海量的信息中篩選出面向關鍵業務的攻擊，再從威脅情報的云平臺里擴展，比如說某一個黑域名產生的告警，這個黑域名是由哪個郵箱注冊的，這個是否注冊了其他的域名，是否有黑域名？他關注的木馬的樣本和注冊的時間是什么？誰注冊的？這一系列線索的擴展，可以依托這個云平臺來進行線索的擴展，最后我們依托于關聯的關系，比如說我的監控的單位如果面積范圍足夠廣的話，我會發現同樣的一起攻擊可能來自于某一個單位，也可能監控了100個單位，我可能發現同樣的攻擊，同樣類型的來自于同一組織的攻擊涵蓋了100個單位中的20個或者是15個單位，我們就可以把這個態勢從多維度的角度，用安全的態勢感知出來，并做一些適當的預警。

剛才我們看到的是一個結構的概念，我們要通過具體落地的方法來實現這些概念，這張表上可以看到首先是前面分布式的終端行為的模型分析，這些分析是我們實際部署的一些安全流量安全監測的設備，他們依托的是我們可疑行為的規則庫來篩選出我們所關心的惡意行為。最關鍵的是溯源和APT攻擊的線索擴展明確，主要依托的是威脅情報的云的支撐平臺來做這種擴線和分析的依托。另外可以基于數據包的時間軸的回溯的系統來展示出這起攻擊或者是這次安全事件的來龍去脈。這是我們實際落地的一個產品部署的架構圖，我們可以看到前端有前端的告警檢測的設備，配合著沙箱的系統，配合著告警數據的獲取和集中，集中到后臺的處理平臺，依托多維的情報庫做擴線和分析，同時提供依托大屏幕智慧中心的直觀的展示，或者說建設一個指揮中心統一地調度和發布指令。這是多維威脅情報庫中包含的數據的實例，比如說中國菜刀的規則，還有很多APT的攻擊事件的報告，遠程木馬掃描webshell規則的數據，包括一些社工庫、木馬樣本庫、報告庫，供我們在這里關聯和查詢。

舉兩個實際的案例把我們的思維展現一下。首先我們發現了一條重要的線索，要以這個線索為突破點再進行線索的擴展，最后是背景的明確，這是我們實際工作中針對政府部門使用的一個品牌的郵件服務器的軟件系統進行的線索擴展，前端告警的過程我不再贅述了，這是我們發現了這個線索在擴展的過程中，其中從數據線索的日至里可以發現一條重要的線索，就是說其中有一個IP解析的域名不停地連接內網的服務器并且它執行了一個代碼，它使用了這個域名，我們明確了這個域名是攻擊的過程，對應的域名還可以共享給其他的網絡安全檢測的設備來識別，這是一個共享的過程。另外第二步我們要做線索的擴展的取證，就可以發現這個IP66.175的結尾是41的攻擊者使用的是自動化掃描漏洞的服務器另外還有兩個IP是真實的IP，我們通過線索的擴展，會發現來自同一個地不同的IP在使用webshell，我們可以判斷它是屬于同一個組織。

日志的分析過程中可以看到首先是黑域名的產生，另外是線索的擴展，我們要發現其他的域名，其他的IP是不是在使用，是不是對這個域名進行攻擊。這是完整的事件的回溯，從什么時間段哪一個IP我們完整地回溯出來，某一個IP在利用漏洞下載webshell到本地，什么時候又直接地訪問了webshell，他是不是還使用了另一個webshell同時在做攻擊，我們通過案例的分析可以把這起攻擊案件的來龍去脈，什么時間、誰、使用了什么工具、做了一些什么能拿到一個完整的結果。結合分析的過程，能體現什么價值呢？這也是一個案例，我們從郵件從前端的數據還原中發現了一個郵件附件是包括了可執行程序，通過沙箱的分析就可以發現它的代碼層有一個關鍵層就是以endof結尾的，我們在威脅情報云里就可以做數據的關聯關系和溯源的分析，我們以這種紅圈的endof字節在我們庫里做可視化關聯分析的時候，就可以得到有關這個關鍵特征的MD5、使用的域名、使用的IP、URL、木馬樣本以及這個木馬樣本的分析報告。

這是我們威脅情報云平臺的完整的可視化的分析界面，我們可以拿到之間的關聯關系，另外是木馬報告的MD5值、詳細的分析報告，我們可以擴展出非常詳細的有價值的分析線索。可以總結一下，一個完整的對高級分析事件進行多維分析的流程，我們要以重要的事件為切入點，發現重要線索，我們要發現重要線索針對的方式、使用的漏洞還要繼續監測是否有第二次的攻擊，通過第二次攻擊又可以發現更多的線索，比如說使用的IP的域名、MD5、URL等，我們可以針對樣本進行分析，利用我們的威脅情報對它同一個樣本進行擴線的多維分析，最后可以發現完整的安全事件的來龍去脈。下面有一個反制的過程，甚至于我們采取一些反向攻擊的方法來獲取到更多攻擊者的個人信息，甚至于組織的背景，包括它的目的以及它竊取到的實際的數據的證據。

這就是威脅情報與高級惡意攻擊檢測之間的協同，在我們的業務工作中，在我們幫助用戶對高級惡意攻擊事件的分析過程中，可以使用威脅情報云平臺的外部的數據平臺來進行深度的溯源分析達到我們的目的，并且這種平臺還可以提供標準化的接口，我們可以在我們的前端設備里和后臺地數據進行聯動。最終我們的目的肯定是希望能創建一個威脅情報的關于APT攻擊的新一代的聯動的體系，既反饋數據又使用數據，增強檢測和發現的能力。

我的報告就結束了。謝謝大家！