<input id="eiiko"></input>
<menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • 网藤PRS2.0 |「场景化」风险感知,从概念到现实

    2018-02-23 829978人围观 ,发现 3 个不明物体 活动

    2017年12月14-15日,由FreeBuf主办的第三届年度互联网安全峰会——FIT 2018互联网安全创新大会在上海成功举办。本次大会吸引近5000人次观众以及70余位全球顶级信息安全专家与会,围绕安全展开精?#23454;?#20998;享讨论。

     

    640.webp.jpg

    在大会首日的X-TECH技术派对环节,斗象科技联合创始人兼CTO张天琪首先登台带来《大道至简?#33322;?#38145;「场景化」风险感知》的分享,受到与会观众的关注。

    新技术环境下的威胁现状

    每年,我们都会看到非常多的数据泄漏?#24405;?#21457;生,人们对?#24605;?#20046;已经麻木。为何这类?#24405;?#24635;是频繁出现?以近期爆出的Uber和大疆的数据泄漏?#24405;?#36827;行对比分析后发现,两个数据泄漏?#24405;?#20135;生的原因有一个共性——使用了云存储服务,而由于掌握有云存储token权限的开发人?#27604;?#20047;安全意识,把token泄漏到了GitHub中,从而被其他开发人员发现并直接利用。

    张天琪在演讲中表示,如今云服务已经被越来越多的企?#21040;?#21463;应用,企业资产数据随之变得无比庞大且复杂,人为因素造成的失误泄漏难以避免,而这些看似毫无技术含量的问题却常能给企业直接造成巨大损失。

    未知攻,焉知防

    当前,许多公司的业务都在向应用层发展,应用层中又以Web应用攻击最为?#29616;亍?#38543;着技术进步,在Web开发领域拥有了越来越多种的前端框架、Web框架、存储组件和?#29616;?#25480;权流程。应用构建的复杂度在提升,构建应用多样化丰富,随之而来的是威胁攻击也在?#20013;?#26356;新升级,愈加复杂。

    640.webp (1).jpg

    在OWASP TOP10 2010-2017年的统计中可以明显感受到这?#30452;?#21270;。例如CSRF一个曾经引起广泛影响的漏洞逐渐淡出了榜单,取而代之的是?#26376;?#27934;进行组合利用,攻击手段更加复杂多样化的XML攻击、不安全的反序列化漏洞攻击?#21462;?#36825;对于风险感知检测,特别是?#36828;?#21270;的风险感知检测提出了更高的要求。传统的使用单一同步检测的手段已经不能够满足需求,异步检测,多种规则手段组合才能完成风险感知告警。

    以资产为核心的新进化

    早在2014年,斗象科技就提出了以资产为核心构建企业安全风险检测防御体系。彼时,许多人对此?#21592;?#26377;疑问,拥有专门的运维团队和管理系统负责企业资产,为?#20301;?#38656;要安全产品来梳理保护?经过近几年安全态势的演进发展,越来越多人意识到,资产管理并不是一件简单的事。张天琪在演讲中举例提到,“漏洞盒子的很多项目中我们时常遇到,在将漏洞提交后,由于人员变动等原因,厂商找不到其对应的源头和负责人,造成安全威胁一直都存在。”

    “以资产为核心”的技术实现

    资产挖掘发现

    通过主动爬取与被动监测对全网资产进行深度抓取,资产挖掘不仅仅只是局限于IP、域名进行分析,而是对企业的所有资产以及指纹信息进行分析监听。

    资产分解&梳理建模

    通过对资产的深度分析结合企业业务对资产进行建模。

    创建资产正常基线,通过一定量的数据,我们可以根据以下部分做为基线的标准:

    静态属性

    资产类型:通过访问与?#29615;夢实?#27969;量情况判别是服务器还是客户端

    端口服务:可以通过nmap的主动扫描与?#29615;夢实?#31471;口情况,以及主动或被动识别到的服务类型、服务版本等

    应用指纹

    用途类别

    动态属性

    资产交互关系:通过协议数据统计每个资产的交互情况,建立交互关系表(包括客户端IP、主动访?#23454;?#26381;务器IP/域名及服务、协议、时间等)

    通过资产发现、威胁建模、安全监测?#36828;?#21270;分析模式,网藤从数据和流量中帮助企业?#36828;?#28165;点IT资产关系及网络边界,深度发现企业暴露在外设备,端口以及应用服务,智能识别资产属性以及重要度,并结合业务特点进行动态变换。

    场景化安全分析&风险监测

    时下,主流的安全产品都以列表的形式展示攻击?#24405;?#21363;一次攻击一次报警,但在实际中,攻击者并不会以列表形式进行一个个?#34892;?#30340;攻击。由于报警信息通常按照时间排序,无法直观的分析哪些攻击是由同一个攻击者造成的。

    除此之外,很多安全公司还会努力给风险感知检测产?#20998;?#21152;入尽可能多的检测规则,这就造成告警数量成?#23545;?#21152;,每一条攻击报警?#23478;?#28335;源分析,徒增用户的工作量和困难度。

    ?#24405;?#20043;间的关系比?#24405;?#26412;身更重要。

    张天琪在演讲中也呼吁安全厂商更多的关注安全?#24405;?#20043;间的关系,利用产品帮助用户分析杂乱无章的数据,为用户输出有用的有价值的信息。

    640.webp (2).jpg

    在网藤PRS2.0产?#20998;校?#36890;过图形化的展示描绘每一个资产、每一个实体数据间的关系。通过可视化的方式展示资产间的关系,用户可以直观的查看每一次数据变动来源以及对其资产造成的影响。

    构建以攻击链模型为导向的风险决策系统

    640.webp (3).jpg

    攻击链模型

    (攻击链:描述一个完整攻击流?#35752;?#30340;每一个环节)

    通过对攻击?#24405;?#21644;传统攻击链的对比,归纳总结,将七步攻击链整合为五步引入网藤风险感知产品,即:信息侦查-载荷投递与攻击-系统控制-环境监测-数据泄漏。

    640.webp (4).jpg640.webp (5).jpg

    钻石模型

    (钻石模型:对每一个攻击环节中的攻击?#24405;?#25286;分)

    640.webp (6).jpg

    钻石模型的帮助,对每一个攻击?#24405;?#19981;再是单一的展示告警,而是对每一个攻击环节中的攻击?#24405;?#36827;行拆分,从中找到攻击?#24405;?#30340;共性,从而挖掘出攻击者。并且,利用钻石模型还能够对攻击行为进行等级划分,描绘攻击者画像。

    机器学习助攻

    场景化的实现缺少不了机器学习的助攻

    在安全中引入机器学习遇到问题,网藤又是如何进行规避的呢?#31354;?#22825;琪在演讲中表示,网藤风险感知产?#20998;?#26426;器学习模型并不是盲目加入的。

    对于非常确认的攻击?#24405;?#32593;藤依然使用传统的规则进?#20449;?#26029;。不够明确的,无法通过规则判断的,则使用统计学的手段进?#20449;?#21035;。当这些手段都无法识别的再引入机器学习模型进?#20449;?#26029;。

    即?#33322;?#21069;两部的结果作为机器学习的检测数据,保证输入机器学习的数据是基本可靠的,保证机器学习检出的结果出现误报或者过度拟合的情况出现。

    640.webp (7).jpg

    网藤风险感知是由斗象科技团队自主研发的新一代以资产为核心的企业级全息安全监控与风险分析系?#22330;?#36890;过网络流量监听与主动探测,侦查企业防护边界,识别风险资产、安全漏?#20174;?#36816;维缺陷,为企?#21040;?#31435;集中式智能安全监控分析体系,网藤风险感知系列包含三款产品:基于公有云SaaS模式的CRS、私有化部署的ARS、及被动流量监测的PRS。

    张天琪(pnig0s) 

    斗象科技联合创始人兼首席技术官,应用安全专家,曾就职于知道?#20174;睢?#38463;里巴巴。国内首家互联网安全新媒体“FreeBuf”创办人之一,国内领先的互联网安全服务平台“漏洞盒子?#20445;?#20840;息安全风险监控与分析系?#22330;?#32593;藤风险感知”技术总负责人。

    Qcon、GSMA、ISC、OWASP等行业峰会演讲者,多次上榜Google,Microsoft,Yahoo,Paypal等国外厂商安全名人堂,Bugcrowd MVP(最有价值专家),360 Hackpwn大赛评委

    *本文作者:网藤风险感知,转载请注明来自FreeBuf.COM

    这些评论亮了

    • 木千之 (5级) 人,既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,... 回复
      将机器学习同传统规则和统计分析结合是个好方法,至于攻击?#27425;?#23548;向的分析的确?#24425;?#30740;究的热点,赞!
      )12( 亮了
    • wuwu 回复
      "?#24405;?#20043;间的关系比?#24405;?#26412;身更重要。", 类似的 可能的数据(线索)间的关系比(可能的恶意)?#24405;?#26356;重要,因为此?#34987;共?#30693;道?#24405;?#30340;好坏。 威胁发现
      )10( 亮了
    • xxx 回复
      看到图里的evil.exe?#25176;?#20102;
      )8( 亮了
    发表评论

    已有 3 条评论

    取消
    Loading...
    css.php 天津11选5开奖
    <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>