入侵对抗体系建设漫谈 江虎 2016.7 自我简介 网络ID:xti9er 十六年安全研究与工作经验 曾混迹于黑盟、灰色轨迹、幻影等社区 久游 à 腾讯 à 阿里巴巴 负责集团安全体系架构 专注入侵检测体系建设、取证分析研究 《互联网企业高级安全指南》 HOW TO … Kill chain WHY? 体系初建 • 风险分析 • 工程化建设 • 运营能力建设 数据hack • 我们在对抗什么？ • 数据化的安全能力建设 成熟度模型 •我理想中的入侵检测成熟度模型 知己-风险识别 目标 风险识别 途径 外部事件 手段 安全能力实 战检验 蓝军渗透测 试 完善攻击向 量知识库 发现对抗能 力短板 资产分析 识别攻击链 路 识别攻击面 风险识别-攻击链 风险识别-资产分析-攻击面 APP Tengine ACL 攻击链路 资产分析 攻击面 实际连通 性 资产数据系统 基础软件 数据 分布 案例Web漏洞分类 nginx php webx tomcat struts spring jetty jboss java php sql注入 风险识别-案例-攻击向量 案例原因 蓝军渗透 测试 风险输入 外部事件 11% 2% 攻击向量 安全短板 28% 22% 5% 安全能力 检验 32% 弱口令 社工 web漏洞 ACL 信息泄露 管理后台 工程化-用户体验 安全大牛与运维大拿的不同视角 安全大牛：“你们这个方案太 了，分分钟绕过！” 运维大拿：“你们这个方案太大胆 了，应用系统的 都敢动！” 理想与现实的差距 用户体验 场景覆盖 风险规避 数据丰富 运行稳定 链路覆盖 耗用资源少 行为覆盖 工程化-项目运作 项目要素 收益 必要性论 证 安全能力 贡献度 重点是解决问题，而非炫技 贪多嚼不烂 风险 业务系统 新增风险 风险规避 方案 工程化-纵深防御 • 攻击面 • 安全系统，交叉覆盖 • 攻击向量 • 行为数据模型 • 检测能力纵深 • 高维防守 运营能力建设 • 技术 • 攻防场景的技术研究与深刻理解 是设计基础 • 产品代码的强壮性是生死存亡的 关键 • 项目 • 项目化运作 • 执行力 • 产品 • 用户体验是项目推动的助推器 • 更新迭代进化能力是项目效果能 力的关键 “数据hack” 数据化对抗 知其然（攻击手法），知其所以然（背景知识） 源于攻防，但不止于此 宏观数据趋势分析、微观数据技术分析 对抗方式的选择 技术情节，陷入了与黑客单纯比拼黑客技术的怪圈。 知识库更新滞后 • 基于业务场景的通用解决 方案 • 源于技术对抗，不止于此 对业务更熟悉 • 丰富的业务数据，刻画黑白模 型 • 聚焦解决业务面临的风险 我们在对抗什么？ “苍蝇不叮无缝的蛋” 我们并非在对抗黑客，而是在解决我们犯的错 更快更准更全的风险数据运营能在对抗开始占得先机 资产 分析 威胁 情报 风险 大图 数据化的安全能力建设 风险 识别 数据的分析运营融入每个建 设和能力迭代阶段 迭代 优化 能力 建设 能力建设 事件 数据 能力 建设 规则 模型 测试 数据 优化迭代 每一次的安全事件都是能力迭代更新 进化成长的机会！ 优化迭代-事件分析 攻击向量 攻击链 公有云 ③转发 ⑤反弹shell 生产网 ✔ ②代理 ✔ webserver ④命令注入 ✔ ①肉鸡上线 ✔ 肉鸡 办公网 溯源定损