2018年远离应急实现安全响应自动化运营.pdf

1、远离应急，实现安全响应自动化运营安全响应的现状和挑战123456目录安全响应的支撑平台建设安全响应需要的数据和威胁情报的作用安全响应“必修课”终端检测响应/EDR主要工具集安全响应的playbook某次内网红蓝对抗暴露的问题单一的EPP解决方案存在检测盲点1、安全响应的现状和挑战没有完美的防护入侵事件始终存在多维度的检测纵深的分析研判完善丰富的响应流程不断降低的MTTR持续循环迭代形成闭环红蓝对抗引发的思考1、安全响应的现状和挑战（续）安全响应的现状和挑战123456目录目录安全响应的支撑平台建设安全响应“必修课”终端检测响应/EDR主要工具集安全响应的playbook安全响应需要的数据和威胁

2、情报的作用安全响应依赖的基础数据与Kill-Chain各阶段对应ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&ControlAction&Objective流量IPS、IDS告警应用认证日志邮件网关（如特定扩展名命中）Sandbox告警PC的终端安全（含HIPS等）告警互联网访问网关的威胁告警服务器上尽可能多的监控信息，如进程hash和行为HTTP访问日志、完整请求payload和响应payload的前150字节NGFW告警，WAF告警墙后的南北向流量监控HIPS/HIDS告警漏洞信息主机OS日志和Sysm

3、on/Osquery等实现的增强日志HTTP访问，应用（如登录、访问），邮件，AD日志等入站FW日志或者入站流量监控日志东西向流量DNS日志出站流量中的域名或IP访问，证书出站FW日志服务器上尽可能多的监控信息，如进程hash和行为是不是被搞了？谁搞的我？我被搞的多惨？如何被搞的？我被盯上了？2、安全响应需要的数据和威胁情报的作用Kill-Chain各阶段常用到的威胁情报数据应急响应与安全分析的催化剂ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&ControlAction&Objective收件人邮件地址目

4、标国家目标行业目标个体扫描特征算法密钥特定互斥量执行流程加解密方式特定功能模块对抗分析措施源码工程路径特定数据字串语言编译环境特定数字签名组件组织架构特别的错误邮件名特征邮件正文特征目标邮件和地址恶意代码进入方式 鱼叉邮件 水坑攻击 U盘 主动渗透主机特征：Mutex、写入的注册表项、文件名或路径等Yara rule特定主机监控程序，如Sysmon/Osquery规则集Webshell特征初始启动路径持续启动方式伪装正常模式特定特定事件的CVE、0-day通用payload特征域名、URL、历史解析IP、WHOISSSL证书域名注册信息域名使用偏好域名命名偏好IP、IP反查域名、历史域名解析、

5、RDNSIP所在ASN、地址位置域名或IP信誉评级、标签、关联事件和关联通信样本通信协议后门工具工具类型工具配置认证凭据目标数据打包方法传输方法破坏功能是不是被搞了？谁搞的我？我被搞的多惨？如何被搞的？我被盯上了？2、安全响应需要的数据和威胁情报的作用安全响应的现状和挑战123456目录目录安全响应“必修课”终端检测响应/EDR主要工具集安全响应的playbook安全响应的支撑平台建设安全响应的支撑平台建设安全响应需要的数据和威胁情报的作用泰坦人工智能安全态势感知平台基于大数据技术，对企业全面的安全信息进行集中采集、存储和分析，利用流式计算、智能分析引擎、和可视化等手段，结合丰富的威胁情报，对

6、企业面临的外部攻击、内部违规行为进行检测，为企业建立快速有效的威胁检测、分析、处置能力和全网安全态势感知能力，使得企业的信息安全可知、可见、可控。大数据智能分析引擎威胁情报可视化3、安全响应的支撑平台建设泰坦-系统架构数据预处理传感器NETWORKWAFIAM/ADAVNGFWEDRDNS安全智能分析大数据存储威胁情报态势感知事件响应威胁猎捕行为分析知识图谱数据检索告警中心JIRA资产库安全设备3、安全响应的支撑平台建设(续)SYSLOGSYSLOGHIPSHIPSThreat Intelligence Threat Intelligence windows/sysmonKIBANAKIBAN