2019年以《网空威胁框架》构建全流量监测.pdf

《2019年以《网空威胁框架》构建全流量监测.pdf》由会员分享，可在线阅读，更多相关《2019年以《网空威胁框架》构建全流量监测.pdf（24页珍藏版）》请在三个皮匠报告上搜索。

1、以网空威胁框架构建全流量监测目录ABOUT：安赛CEO 林榆坚攻方：参与多届攻防演练防护：参与G20峰会、金砖国家峰会、一带一路、十九大、全运会等活动防护信息化 合规 攻防选择系统化模型：用三大模型，细化事前、事中、事后的防护策略纵深防御：构造多层防线，即时某一防线失效也能被其他防线弥补、纠正；不同源议题简介攻防演练经验攻防演练经验业务越复杂：问题越多（银行信用卡等、学校）、WEB是主要突破口之一通用防护手段失效：应用安全时代，企事业的业务千变万化，需要纵深防护木桶理论的应对：识别攻击链的任何一个链条，就能实现发现、瓦解防火墙&IDS：阻断设备&分析设备；作用于攻击链的不同位置；不同源明处&暗

2、处：没有开不了的锁，防护终究是被绕过必有痕迹。拔网线是好方法防护永远落后与攻击：0DAY各不一样，却有共性特征协议安全&应用安全：HTTPS保证协议安全，应用安全却成了盲点（可视）成本对抗：封锁IP仍然是有效模式（任务多，挑简单的）目录三大模型：对事前、事中、事后的细化攻击者视角：杀伤链模型KILL CHAIN防护视角：ATT&CK模型（ACK模型）管理视角：NSA/CSS网空威胁框架系统化的应对方案目录12343大安全模型：攻击视角、防护视角、管理视角ATT&CK（ACK）模型:12个阶段，240多种攻击方式杀伤链模型:7个阶段网空模型：6个阶段，21个目标，188多种攻击方式目录三大模型：

3、对事前、事中、事后的细化攻击者视角：杀伤链模型KILL CHAIN防护视角：ATT&CK模型（ACK模型）管理视角：NSA/CSS网空威胁框架系统化的应对方案目录1234攻击者视角：网络杀伤链KILL CHAIN攻击者视角：网络杀伤链KILL CHAIN防御应对思路阶段阶段检测检测拒绝拒绝中断中断降级降级欺骗欺骗毁坏毁坏/反制反制侦查跟踪WebIDS/NIDSWAF/NIPS/旁路阻断/ACL武器构建WebIDS/NIDSWAF/NIPS/旁路阻断/ACL载荷投递WebIDS/NIDSWAF/NIPS/旁路阻断/ACLIn-line AV漏洞利用WebIDS/NIDSWAF/NIPS/旁路阻断

4、DEP安装植入WebIDS/NIDS/HIDSWAF/NIPS/旁路阻断/ACLAV命令与控制WebIDS/NIDS/HIDSFirewall/旁路阻断/ACLFirewallACLDNS目标达成WebIDS/NIDS/HIDS/审计蜜罐目录三大模型：对事前、事中、事后的细化攻击者视角：杀伤链模型KILL CHAIN防护视角：ATT&CK模型（ACK模型）管理视角：NSA/CSS网空威胁框架系统化的应对方案目录1234防守方视角：ATT&CK模型：ATT&CK（ACK模型：ADVERSARIAL TACTICS,TECHNIQUES,AND COMMON KNOWLEDGE）即对抗战术、技术和

5、通用知识库。是一个反映各个攻击生命周期的模型和知识库。ATT&CK的12个战术类别是对杀伤链后C2阶段后的细化，对攻击者获取权限后的行为提供了更精细的粒度描述。ATT&CK框架（ACK模型）MITRE提出的ATT&CK框架，是将入侵期间可能发生的情况，做出更细的画分，区隔出12个策略阶段。包括：入侵初期、执行、潜伏、权限提升、防御逃避、凭证访问、发现、横向移动、采集数据、指挥与控制、透出、冲击。截止2019年4月，ATT&CK 矩阵收集了244多种攻击者战术和技术。ATT&CK框架（ACK模型）86种APT示例：HTTPS:/ATTACK.MITRE.ORG/GROUPS/ATT&CK框架（A

6、CK模型）APT33是一个可疑的伊朗威胁组织，自2013年以来一直在开展攻击。该组织针对美国，沙特阿拉伯和韩国多个行业的组织，特别关注航空和能源领域。ATT&CK框架（ACK模型）APT28：在2018年7月美国司法部起诉后归因于俄罗斯总参谋部的俄罗斯主要情报局。据报道，该组织在2016年破坏了希拉里克林顿竞选活动，民主党全国委员会和民主党国会竞选委员会，试图干涉美国总统大选。APT28自2007年1月以来一直活跃。目录三大模型：对事前、事中、事后的细化攻击者视角：杀伤链模型KILL CHAIN防护视角：ATT&C