以《网空威胁框架》 构建全流量监测 林榆坚 安赛CEO 目录 议题简介 ABOUT：安赛CEO 林榆坚 攻方：参与多届攻防演练 防护：参与G20峰会、金砖国家峰会、一带一路、十九大、 全运会等活动防护 信息化 > 合规 > 攻防 选择系统化模型：用三大模型，细化事前、事中、事后的 防护策略 纵深防御：构造多层防线，即时某一防线失效也能被其他 防线弥补、纠正；不同源 攻防演练经验 攻防演练经验 业务越复杂：问题越多（银行[信用卡等]、学校）、WEB是主要突破口之一 通用防护手段失效：应用安全时代，企事业的业务千变万化，需要纵深防护 木桶理论的应对：识别攻击链的任何一个链条，就能实现发现、瓦解 防火墙&IDS：阻断设备&分析设备；作用于攻击链的不同位置；不同源 明处&暗处：没有开不了的锁，防护终究是被绕过[必有痕迹]。拔网线是好方法 防护永远落后与攻击：0DAY各不一样，却有共性特征 协议安全&应用安全：HTTPS保证协议安全，应用安全却成了盲点（可视） 成本对抗：封锁IP仍然是有效模式（任务多，挑简单的） 目录 目录 三大模型：对事前、事中、事后的细化 1 攻击者视角：杀伤链模型KILL CHAIN 2 防护视角：ATT&CK模型（ACK模型） 3 管理视角：NSA/CSS网空威胁框架 4 系统化的应对方案 3大安全模型：攻击视角、防护视角、管理视角 杀伤链模型:7个阶段 网空模型： 6个阶段， 21个目标， 188多种攻击方式 ATT&CK（ACK）模型:12个阶段，240多种攻击方式 目录 目录 三大模型：对事前、事中、事后的细化 1 攻击者视角：杀伤链模型KILL CHAIN 2 防护视角：ATT&CK模型（ACK模型） 3 管理视角：NSA/CSS网空威胁框架 4 系统化的应对方案 攻击者视角：网络杀伤链KILL CHAIN 攻击者视角：网络杀伤链KILL CHAIN防御应对思路 阶段 检测 拒绝 中断 侦查跟踪 WebIDS/NIDS WAF/NIPS/旁 路阻断/ACL 武器构建 WebIDS/NIDS WAF/NIPS/旁 路阻断/ACL 载荷投递 WebIDS/NIDS WAF/NIPS/旁 路阻断/ACL In-line AV 漏洞利用 WebIDS/NIDS WAF/NIPS/旁 路阻断 DEP 安装植入 WebIDS/NIDS/ HIDS WAF/NIPS/旁 路阻断/ACL AV 命令与控制 WebIDS/NIDS/ HIDS Firewall/旁路 阻断/ACL Firewall ACL 目标达成 WebIDS/NIDS/ HIDS/审计 降级 欺骗 DNS 蜜罐 毁坏/反制 目录 目录 三大模型：对事前、事中、事后的细化 1 攻击者视角：杀伤链模型KILL CHAIN 2 防护视角：ATT&CK模型（ACK模型） 3 管理视角：NSA/CSS网空威胁框架 4 系统化的应对方案 防守方视角：ATT&CK模型： ATT&CK（ ACK模型：ADVERSARIAL TACTICS, TECHNIQUES, AND COMMON KNOWLEDGE）即对抗战术、技术和通用知识库。是一个反映各个攻击生命周期的 模型和知识库。ATT&CK的12个战术类别是对杀伤链后C2阶段后的细化，对攻击者 获取权限后的行为提供了更精细的粒度描述。 ATT&CK框架（ACK模型） MITRE提出的ATT&CK框架，是将入侵期间可能发生的情况，做出更细的画分，区隔出12个策略阶 段。包括：入侵初期、执行、潜伏、权限提升、防御逃避、凭证访问、发现、横向移动、采集数据、 指挥与控制、透出、冲击。截止2019年4月，ATT&CK 矩阵收集了244多种攻击者战术和技术。 ATT&CK框架（ACK模型） 86种APT示例：HTTPS://ATTACK.MITRE.ORG/GROUPS/ ATT&CK框架（ACK模型） APT33是一个可疑的伊朗威胁组织，自2013年以来一直在开展攻击。该组织针对美国， 沙特阿拉伯和韩国多个行业的组织，特别关注航空和能源领域。 ATT&CK框架（ACK模型） APT28：在2018年7月美国司法部起诉后归因于俄罗斯总参谋部的俄罗斯主要情报局。 据报道，该组织在2016年破坏了希拉里克林顿竞选活动，民主党全国委员会和民主党国 会竞选委员会，试图干涉美国总统大选。 APT28自2007年1月以来一直活跃。 目录 目录 三大模型：对事前、事中、事后的细化 1 攻击者视角：杀伤链模型KILL CHAIN 2 防护视角：ATT&CK模型（ACK模型） 3 管理视角：NSA/CSS网空威胁框架 4 系统化的应对方案 ANSA/CSS技术网空威胁框架：2018年发布 《NSA/CSS技术网空威胁框架》共包含6个阶段（STAGE）、21个目标（OBJECTIVE）、188种行 为（ACTION）和若干个关键词（KEY PHRASES） 目录 目录 三大模型：对事前、事中、事后的细化 1 攻击者视角：杀伤链模型KILL CHAIN 2 防护视角：ATT&CK模型（ACK模型） 3 管理视角：NSA/CSS网空威胁框架 4 系统化的应对方案 防护组响应模式 通过数据发掘、防泄漏、 应用控制、攻击追踪等技 术，防止信息资产被非法 访问或外泄 （1）排查安全隐患 （2）被攻击 （3）已受控 防护组 清除危害、加固 利用线索，回溯分析场景、 全局关联分析，评估影响 范围 《网空威胁框架》全周期应对