ALIBABA SECURITY 攻击过程的威胁情报应对体系 --安全威胁情报中心 自我介绍  阿里安全-安全威胁情报中心  技术情报负责人  主要负责：  疑难案件调查溯源  威胁情报外部信源建设与监控体系  黑产情报分析  网名 instruder 微信号instruder_cn ALIBABA SECURITY 0、概述 1、攻击前-提前感知 2、攻击中-线上阻击 3、攻击后-自动溯源 4、总结 威胁情报特性 威胁情报无法兜底性  情报也无法替代风控、已有的防御检测  更多的是强化、内外弥补 威胁情报外向性 各自为战 久守必失 威胁为核心？ 威胁=能力*意图 主动出击 攻击敌人-提前 知己知彼 情报更强调知彼！ 威胁情报拼图和推理性 威胁情报-溯源特性 WHO WHY HOW 攻击生命周期中的威胁情报 攻击生命周期 接单 团伙组 织 工具下 载、购 买 论坛交 流、学 习 攻击酝酿阶段 社交群 交流 肉鸡 攻击酝酿阶段 资源获 取 线下攻击前准备 环境准 备 匿名VPN 攻击开始 攻击经过关键资源路径 攻击到达受害者 攻击发起阶段 攻击持续阶段 攻击收尾阶段 各种资 源平台 调用 各种渠 道 线上攻击周期 整个攻击周期 黑市售 卖 收钱结 算 战果整理、交流、汇报、出售阶 段 移交下 一链条 洗钱 变现 线下攻击后整理 线上阻 击 情报面对的整个生命周期 情报感 知 社交 监控 攻击酝酿阶段 人员 监控 资源 监控 舆情 监控 攻击酝酿阶段 行为 监控 线下攻击前准备 攻击溯 源 人际 情报 攻击开始 攻击经过关键资源路径 攻击到达受害者 攻击发起阶段 攻击持续阶段 攻击收尾阶段 关键 路径 监控 手法 监控 线上攻击周期 整个攻击周期 社交 监控 舆情 监控 战果整理、交流、汇报、出售阶段 监控 黑市 人际 情报 线下攻击后整理 威胁情报应用-线上 vs 线下  情报线下应用  越提前  越能提前防御，减少损失  事实越难还原  不容易与攻击直接关联  效率，单个CASE性  情报在线应用  系统化解决  比如线下应用晚，但是比风控、防御早  效率高 攻击前-情报提前感知 情报提前感知-核心思想  为什么要这么做：  情报一定要是提前的！  以攻击人员（组织、特征）或人员使用的关键资源作为抓手，在攻击 中能够先于到达被攻击端防控（防御边界）感知，称之为攻击的威胁 情报提前感知体系； 四要素  A、时间要素：  比到达被攻击端防控（防御边界）时间要早；  B、周期要素：  在攻击发起前期、攻击酝酿阶段就能感知到；  C、位置要素：  一定不是被攻击端防控（防御边界）感知；  感知的地方和被攻击的地方相对于情报一方必须处于不同的位置；  D、攻击者要素：  基于攻击者、攻击者控制的资源、平台维度； 情报提前感知-DDOS提前感知 情报主战场 DDoS防御主战场 攻击周期 情报提前感知-DDOS提前感知 情报提前感知-DDOS提前感知  提前感知 在攻击发起瞬间，就能感知到 不仅知道打了我们，还知道他有没有打其他人,打了多长时间？ 攻击方式、攻击程序用的什么？ 背后的中控，此次攻击用了几个中控？  情报价值 攻击溯源 源头感知及时防御 攻击分析 情报提前感知  业界案例 基于DGA的监控，第一时间掌握新变种及规模； 基于网页钓鱼的监控，第一时间掌握最新生成的钓鱼域名； …… 攻击中-线上阻击