熊耀富-快速提高安全响应时效-集成自动化（24页）.pdf

1、快速提高安全响快速提高安全响应时效应时效-集成自动集成自动化化CONTENTCONTENT1、面临的安全挑战、面临的安全挑战2、应对的策略思路与实践、应对的策略思路与实践01面临的安全挑战面临的安全挑战D a t a c o n t e n t s o u r c e双方信息不对称双方信息不对称VS1、专业性人员、专业性人员(专职安全专职安全)规模对比规模对比p 防守：1-3个人(小)、5-8(中)、10+p 攻方：国家队、省级安全支撑单位、安全厂商、安全测评厂商、各路白/黑帽子等2、专业攻防武器库对比、专业攻防武器库对比p 防守：可预知的WAF、IPS、态势感知、威胁情报、EDR(x云、x服

2、、x恒、x信)p 攻方：0day、自动化攻击测试平台、一键getshell3、实际参与程度和范围对比、实际参与程度和范围对比p 防守：上下动员，人具有不可确定性，木桶短板效益明显p 功方：安全渗透就是一把梭，社工、鱼叉、水坑等等监控缺乏层次感监控缺乏层次感WAF、高防、态势感知、安骑士、千金投入，可否万无一失了！、高防、态势感知、安骑士、千金投入，可否万无一失了！cat/etc/passwd原始payloadcat%20%2Fetc%2Fpasswd编码绕过cat$IFS/etc/passwd空字符绕过cat/”e”tc/passwdcat/etc/passwd转义绕过字符拼接赋值绕过a=ca

3、;b=t;$a$b/etc/passwdcat/et?/p?*wd通配符绕过cat/etc/passwd#anything注释绕过cat/etc highway正常业务ping-4 127.0.0.1Windows特定语法 缓冲区绕过 哪告警,看哪 告警了,代表意义 是否存在监控盲区D a t a c o n t e n t s o u r c e日志来源类型多样化日志来源类型多样化WAF日志字段格式日志字段格式堡垒主机堡垒主机日志字段格式日志字段格式日志来源多样、格式多样整体响应时效整体响应时效“慢慢”花钱买的设备多或使用开源的产品多，人少，事多，平时攻击少或日志太多，没时间看、看不来。事件

4、缺乏闭环管理事件缺乏闭环管理不闭环的理由不知道怎么应急处理攻击太多，看不过来事情岔开了，忙晕了思想麻痹了责任心差猪队友02应对策略思路应对策略思路与与实践实践1.监控层次化u被保护的资产每天异动(增/减)情况u哪些直接暴露目标正在遭受攻击、可能面临威胁隐患u是否一些攻击行为已绕过防护设备2.日志集中化 安全检测类日志、安全监测类日志 安全防护类日志、安全行为类日志 利用Grok、Dissect、mutate、geoip、kv、split进行日志切分、基于logstash-jdbc，进行mysql增量同步告警自动化l 预设安全规则(聚合、阈值)l 邮箱、企业微信、钉钉、机器人、语音自动化告警应对

5、策略思路应对策略思路4.运营平台化p 事件工单受理p 巡检值班安排p 处置问题跟踪报表5.管理制度化 各类事件处理预案 日常安全演练计划 安全事件管理规范 安全运营KPI考核监控层次化监控层次化 公网IP/弹性IP/SLB/端口/域名 掌控是否有公网IP、高危端口服务、未加入WAF域名 API接口、文件目录、第三方组件 掌控各条业务线新增API接口、暴露的敏感目录文件、第三方漏洞组件资产异动变化 正在遭受的攻击(web攻击、溢出、撞库、拒绝服务)分析攻击类型、攻击成功状态 潜在的威胁(最新披露漏洞、github代码泄露)结合版本匹配和POC复现，快速定位受影响主机攻击和威胁 有没有反弹链接、端

6、口外联 可疑目的端口、恶意信誉IP、恶意信誉domain 有没有横向攻击 蜜罐告警、内网账号登陆尝试 有没有异地登陆 登陆地址是否常驻IP和City 有没有指纹聚合 登陆IP、DeviceID有无聚合 暗网等外部平台有没有交易 暗网和黑市有无交易 登陆时间异常 月黑风高、三更半夜 频繁查询、导数 大量查询、蚂蚁搬家 Gitlab代码拉取异常-拉取核心仓库代码 CPU突然暴涨、网络流量突然暴增 海量查询、备份、外发异常行为分析日志集中化日志集中化告警自动化告警自动化SDKPub