2015-《应对新威胁：威胁情报助力互联网应急响应-云晓春》

2015 中国互联网安全大会 China Internet Security Conference 应对新威胁：威胁情报助力互联网应急响应 2015.9.30 SONY被黑的启示 2014年12月，在圣诞节即将到来之际，索尼公司遭遇了重大的APT攻击。上万台电脑受到影，超过100TB的数据遭到盗窃。早在数个月前，黑客组织便已经开始在黑客社区谋划并实施低频攻击，而直到12月初攻击大规模发挥作用时，索尼公司才发觉自己已经被黑。事后，FBI介入调查，可目前仍不能确认攻击者身份与定位。 2015 中国互联网安全大会 China Internet Security Conference 现有安全策略不足以应对新威胁 2015 中国互联网安全大会 China Internet Security Conference 防御的关键在于发现攻击、尽早做出响应 2015 中国互联网安全大会 China Internet Security Conference 我国网络安全应急能力的能力与不足缺乏及时应对重大突发事件的决策能力应急处置效果评估能力不足大量网络安全事件的处置经验有效处置范围外的攻击事件无法追踪攻击还原及网络层追踪能力全面追踪基础资源中国互联网安全掌握不全大会多层次 China Internet Security Conference 及时和覆盖广的监发现测体系未知漏洞和未知攻击监测能力不足 2015 及早预警网络安全状态的全面感知能力缺乏对APT攻击的溯源手段有态无势：微观事件的预警能力不足宏观状态评估的准确性不足威胁情报是解决之道发现未知威胁，快速启动应急措施，阻断攻击中国互联网安全大会 2015 China Internet Security Conference 组织间协同，一经发现威胁出现，多方面联动防御美成立网络威胁与情报整合中心美国建立起网络与情报整合中心并以此来国土安全部、联邦调查局等多部门的威胁情报，用来应对越来越复杂的网络攻击。 CTIIC将归国家情报总监办公室管，今中国互联网安全大会后将是美国政府防范和应对网络威胁的 China Internet Security Conference 主要部门、一个全国性的网络威胁情报中枢。白宫旨在加强政府各部门之间、政府与企业之间的协调，使相关机构能尽早意识到面临的网络威胁，并采取相应对策。 2015 威胁情报定义 Gartner：威胁情报是针对一个已经存在或正在显露的威胁或者危害资产行为的，基于证据知识的，包含情境、机制、影响和应对建议的，用于帮助解决威胁或危害决策的知识。 iSIGHT: 2015 中国互联网安全大会 China Internet Security Conference 网络威胁情报是关于已经收集、分析、分发的，针对攻击者和其动机、目的手段的，用于帮助所有安全级别的和业务员工用于保护其企业核心资产的知识。关于知识 •不同安全需求的问题模型、分析对象、分析方法各不相同。知识的综合运用及能力，判断及预测 •分析员基于对数据源的理解，针对性确定分析逻辑，通过挖掘数据关系，总结规律，进而形成知识 2015 预测规律关系信息的本质、原则、经验，形成规律中国互联网安全大会 China Internet Security Conference 数据之间的关系客观世界和事实的描述基于威胁情报，感应未知威胁威胁情报信誉情报不可信或有问题的IP 地址、URL、域名、 C2服务器信息... 攻击情报攻击源、攻击工具、利用的漏洞、采取的方式... 其他情报僵尸网络地址、0day 漏洞... 情境感知 Who 低信誉或存在攻击行为的用户 2015 中国互联网安全大会 To What China Internet Security Conference 是否申请访问敏感数据 When 访问时间是否异常 What 客户端是否存在异常 How 访问行为异常 …… 威胁情报价值分类 TTPs 攻击工具 2015 网络或主机特征中国互联网安全大会域名 IP地址 Hash值 China Internet Security Conference 威胁情报与应急响应情报来源恶意样本分析产品反馈用户反馈威胁情报网络数据 DNS等第三方APT 信息跟踪黑客组织、社区跟踪联动的安全管理与应急响应 SOC/SIEM APT事件报告 NGFW/IPS 2015 可机器读取的IOC 中国互 SEG/SWG 联网安全大会 China Internet Security Conference WAF 应急响应情报共享信息网络爬虫 Crowing、漏洞信息开源MRTI信息大数据分析 “可行动”的情报策略安全服务案例：基于网络大数据的情报分析 2015 中国互联网安全大会 China Internet Security Conference 从十亿个网站入手的相似性发现已知目标网站 2015 中国互联网安全大会 China Internet Security Conference 相似未知网站真假银行网站 2015 中国互联网安全大会 China Internet Security Conference 在大数据环境下的小概率发现问题 2 2015 全球网站入口 3 1 中国互联网安全大会 China Internet Security Conference 大数据的爬取、提取、萃取探测爬取解析提取分析萃取 • 原始网页 • HTTP包头 • 结构化 • 属性特征原始数据 2015 浅表云平台中国互联网安全大会 China Internet Security Conference 信息大数据平台 • 非结构化 • 语义特征深层信息全球网站的爬取基于被动域名监测的基础数据全球网站基础信息采集 2015 十亿域名中国互联网安全大会 China Internet Security Conference 工商银行首页的文本信息 2015 中国互联网安全大会 China Internet Security Conference 文本相似性的计算 TF-IDF 分词，停用词词干提取 2015 从三维到M维超大规模矩阵的分解问题余弦相似度中国互联网安全大会 China Internet Security Conference M: 词库规模（几十万量级） N: 文档规模（上亿数量级）