大数据在应急响应中的应用.pdf

《大数据在应急响应中的应用.pdf》由会员分享，可在线阅读，更多相关《大数据在应急响应中的应用.pdf（28页珍藏版）》请在三个皮匠报告上搜索。

1、360企业安全高级安全研究员360观星实验室总监大数据在应急响应中的应用目录一、企业在应急响应中的痛点二、数据驱动的应急响应理念三、安全大数据在应急响应中应用场景四、安全大数据在应急响应中的实践五、企业如何提升应急响应的能力企业在应急响应中的痛点企业在应急响应中的痛点-复杂的网络结构企业在应急响应中的痛点-外部威胁新的威胁环境新的威胁环境对立面的信息对立面的信息已有的应急响应体系是否可以应对新形式下的挑战？APT攻击 0-day Web Shell“免杀”型木马 企业对外部对立方的信息一无所知，无法做到知彼知己，在攻防过程中处于被动局面。是否可以扭转被动挨打的局面？攻击者是谁？（Who）采用什

2、么攻击手段？（How）什么时间攻击？（When）攻击的目的是什么？（What）攻击者的位置？（Where）攻击目标？（Target）攻击进展？（Progress）企业在应急响应中的痛点-内部威胁Webshell远控木马反弹shell隐蔽隧道数据泄露潜伏后门内部失陷通过持续监控与分析组织的终端行为数据，并结合外部威胁情报的数据，可以找出组织内部已经被攻陷的终端。主要包括：失陷主机：Web Shell、反弹shell、远控木马、Tunnel、潜伏后门、数据泄露l等。内部威胁通过持续监控与分析组织的内部安全大数据，并结合云端安全情报，发现客户内部的攻击面、漏洞信息、内部攻击和违规操作等威胁，主要包括

3、：资产管理内部攻击：非法扫描、恶意探测、暴力破解等违规操作：越权访问、非法业务数据查询内部威胁攻击面漏洞内部攻击违规操作企业在应急响应中的痛点-致命点乌龙事件历史遗留问题安全设备当摆设（缺少安全运营人员）资产管理混乱管理制度问题（特权账号问题）没有日志（或者没有开启日志）弱口令问题溯源困难无法还原事件现场（无备份机制）缺少日常安全巡检企业在应急响应中的痛点数据驱动的应急响应理念数据驱动的应急响应理念数据驱动的应急响应一定是具备大数据能力的安全厂商和企业私有安全大数据的结合企业360大数据360企业安全企业数据安全大数据在应急响应中的场景安全大数据在应急响应中的应用场景准备阶段 应急预案 备份机

4、制 应急演练检测阶段 安全设备告警 设备日志 应急工具箱分析阶段 事件告警分析 设备日志分析 事件关联分析处置阶段 确定影响范围 定位受影响机器 清除取证总结阶段 事件复盘 完善监测策略 归纳不足应急响应事件处理流程安全大数据发挥的作用取决于在各个阶段做的工作是否到位，只有在各个环节上充分准备，才能支撑整个事件的处置。安全大数据在应急响应中的应用场景场景一：检测阶段日志+流量DNSFTPHTTPSSLSMB基于双向会话分析的Web入侵检测基于沙箱的webshell上传检测基于规则的网络入侵检测基于人工智能机器自学习的入侵检测nbt引擎产生准确的入侵告警告警信息存入分析平台，与威胁情报告警信息相

5、辅助，作为攻击取证及快速溯源的数据支撑协议分类检测引擎数据采集检测结果安全大数据在应急响应中的应用场景场景二：分析阶段基于状态检测威胁基于行为识别威胁资产监测内网恶意DNS数据库攻击其他状态可信可疑域名检测恶意域名检测SQL注入WEBSHELL检测反序列化Struts2SOCKS隧道IRC协议TeamView协议HTTP代理反弹SHELL第三方漏洞（REDIS）暴力破解成功检测资产人ACL访问规则梳理ACL访问规则验证敏感操作（增删改）危险函数异常数据查询异地登陆非工作时间登陆非境内登陆LDAP行为分析弱口令识别默认口令识别密码排序TOP N常见口令字典恶意邮件钓鱼邮件勒索邮件检测通过工具，协

6、助客户缩短内部安全检测发现的周期，提升客户安全事件的持续检测能力。持续检测能力采用攻击专家模型对流量深度分析，提升客户对安全事件的分析和研判能力分析研判能力通过工具的自动化和可视化，提升客户对安全事件监控能力。可监控能力安全大数据在应急响应中的应用场景场景三：处置阶段 除了告警发现的机器之外，还有哪些机器可能中招的？除了告警发现的机器之外，还有哪些机器可能中招的？当前发现的线索是否可以拓展，从而发现其它的潜在威胁？当前发现的线索是否可以拓展，从而发现其它的潜在威胁？如果客户端没有装终端管控之类的软件，那么怎么找到受