态势感知建设中的威胁情报.pdf

《态势感知建设中的威胁情报.pdf》由会员分享，可在线阅读，更多相关《态势感知建设中的威胁情报.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、360威胁情报中心态势感知中的威胁情报目录态势感知态势感知概述关键因素关键技术威胁情报小结态势感知历史发展2020世纪世纪8080年代年代美国空军美国空军2020世纪世纪9 90 0年代年代进入信息安全领域进入信息安全领域2016.4.192016.4.19分析空战环境信息，快速判断当前及未来形势并做出正确反应开始态势感知的研究在一定的时间和空间范围内，对组织的安全态势及其威胁环境的感知感知。理解理解这两者的含义以及意味的风险，并对他们未来的状态进行预测预测。全天候全方位感知网络安全全天候全方位感知网络安全态势。感知态势。感知网络安全态网络安全态势是最基本最基础的势是最基本最基础的工工作作要建

2、立统一高效的网络安全风险报告机制风险报告机制、情情报共享机制报共享机制、研判处置机研判处置机制制，准确把握网络安全风险发生的规律、动向、趋势态势感知兴起时建设阶段的必然在系统规划、建设和维护的过程中充分考虑安全防护在无人介入情况下，附加在系统架构上可提供持续威胁防御或威胁洞察的系统分析人员对处于防御网络中的威胁进行监控、响应、学习和应用知识的过程收集数据，将数据利用转化为信息，并将信息生产加工对抗攻击者进行法律反制措施、自卫反击行为自身足够强壮提高攻击门槛，将大多数攻击拒之门外发现有针对性攻击或者未知的攻击面、防御弱点对对手有足够的了解，产生针对性的情报威慑与反制关键要素全天候、全方位1.基于

3、流量特征的实时检测；（WAF、IPS、NGFW等）2.基于流量日志的异常分析机制；（流量传感器、Hunting、UEBA）3.针对内容的静态、动态分析机制；（沙箱）4.基于终端行为特征的实时检测；（ESP）5.基于终端行为日志的异常分析机制；（EDR、Hunting、UEBA）态全局角度看到的现状关键要素：态1.是真实的攻击吗，是否可能误报，是否把扫描识别为真实攻击？2.是什么性质的攻击，定向或者随机？3.可能的影响范围和危害？4.缓解或者清除的方法及难度？5.重要的事件都体现出来了吗？势未来可能的事件或状态关键要素：势基于情报分享和情报分析1.是新的攻击团队还是已知团伙；2.攻击者的意图；3

4、.攻击者的技战术水平及特点；4.是否属于一次大型战役的一部分；关键技术分析PALANTIR 的观点1.THE DATA COMES FROM MANY DISPARATE SOURCES2.THE DATA IS INCOMPLETE AND INCONSISTENT3.YOURE LOOKING FOR SOMEONE OR SOMETHING THAT DOESNT WANT TO BE FOUND,AND THAT CAN ADAPT TO AVOID DETECTION.关键技术分析关键技术分析IOC检测响应基于报警基于内置分析模型情报能力数据能力基于TTP创建新的分析过程尝试将主要分

5、析过程自动化近两年应在此区间内逐步向右发展目录态势感知威胁情报检测中的作用事件响应中的作用预警、预防威胁情报小结检测环节的威胁情报MRTI 失陷检测情报有关APT事件、木马后门、僵尸网络、黑客工具使用的远控服务器信息 文件信誉利用云端更多检测机制对文件的综合判定信息，包括是否恶意、恶意类型、家族信息、C2地址等 IP信誉已知恶意IP（扫描、撞库等）、IP白名单（不同类型的网关）、IP的上下文（事件历史、开发端口、OS、应用、基本属性等）响应环节的威胁情报威胁分析平台报警研判响应环节的威胁情报威胁分析平台攻击定性响应环节的威胁情报威胁分析平台攻击优先级分析针对某服务器攻击的两个IP外部威胁情报查

6、询出现在过其它已知随机性攻击上大概率不是定向攻击地理位置分别在中国、德国分属IDC主机和个人PC操作系统分别是windows、Linux大概率不是同一团伙响应环节的威胁情报威胁分析平台攻击背景分析内部发现一个C2地址样本和域名上没有特别线索C2指向的历史IP某IP上同期存在黑域名域名相关样本有特色工具注册信息揭示的区域和工具一致初步确定攻击方及性质响应环节的威胁情报威胁分析平台自动化关联分析演示https:/ 攻击事件分析预警 恶意样本分析预警 漏洞分析建议预警 关键性内容：