纵深防御和新威胁情报感知的利器：蜜罐 xi4oyu http://xlab.baidu.com 2016-04 Whoami • 王宇 Aka xi4oyu 百度安全实验室XTeam负责人 http://xlab.baidu.com 目录 •互联网的黑暗森林 •Think Out Of The •自适应的新型蜜罐 •部署与捕获 •展望与未来 Box 目录 •互联网的黑暗森林 •Think Out Of The •自适应的新型蜜罐 •部署与捕获 •展望与未来 Box 互联网的黑暗森林 • 危险来自于未知 – 大量暗物质的存在 • 缺乏对于互联网和自身的了解 • 茫然和掌控的无力感 – 不知道自己不知道的困境 • 企业对于『看见』的诉求 • 人力投入，资源，甚至是积极性 的不对等 – 攻防参与方的的目标不同 – 专业人员的稀缺性 – 人员知识和资源构成的差异 – Fp导致的报警疲劳 水面之下『精彩』 信息获取渠道极其不对称 • 获取什么？甚至缺乏努力的方向 • 向谁获取？ – 公开、半公开、未知 • 花多少钱？钱花的出去么？ 防御中的证实偏见 • 马奇诺防线的崩溃 • 逐渐消失的边界 • 现有安全产品的局限性 • 部署性 • 覆盖面 • 运维性 情报的意义  eBusiness Perspective • 由HOW -> WHY的过程 • 知己知彼，百战不殆 • 情报金字塔 – 作战情报 - 近实时，对抗 – 战术情报 – 优劣势和意图 – 战略情报 - 前瞻、趋势 ( e-Business 혁신 단계 ) Strategic Tactical Operational The Pyramid of Pain THE MORE , THE BETTER？ • 数据的爆炸 –现在的数据采集/存储了大 量的数据 –APT的样本很多时候已经静 静的躺在/淹没在每天的大 量样本库中 • 线头的重要性 –发现问题，有时候，就缺一 个hint 目录 •互联网的黑暗森林 •Think Out Of The •自适应的新型蜜罐 •部署与捕获 •展望与未来 Box Think Out Of The Box • 我要看见底牌 –对手是谁？ –目的是什么？ –掌握着什么样的资源？ –对我们有多了解？ –有什么样的手段 • 回归TCO和ROI • 聚焦 Why Honeypot • Honeypot –目的明确 –聚焦威胁 –反馈及时 –成本相对低/部署简单 • 高交互和低交互、Server/Client蜜罐 等选择 蜜罐的本质 A TRAP! 蜜罐现状：诱惑力 Tripwire 着相 业务 蜜罐只用罐装？ 应用 端口 主机 网络 目录 •互联网的黑暗森林 •Think Out Of The •自适应的新型蜜罐 •部署与捕获 •展望与未来 Box Project Chameleon 最基础的开始：端口与服务