基于威胁情报驱动的云安全实践 陈 奋 安全狗 CEO 目 录 Contents 1 基于威胁情报驱动的云安全平台架构 2 基于云安全平台攻防数据的威胁情报分析模型 3 基于云安全平台攻防数据提取到的威胁情报 4 威胁情报在云安全平台的应用 Section. 01 基于威胁情报驱动的云安全平台架构 威胁情报（TI）研究的重要意义 Gartner 对威胁情报的定义： 基于证据、关于资产所面临的现有或新兴威胁及风险的 认识，包括环境、机制、 指标、可能结果及可付诸行动的建议，可为威胁或风险应对 决策提供信息。 谁/为什么/哪里 什么/何时 如何 战略 战术 运营 基于威胁情报驱动的云安全平台架构 漏洞情报 输入 以 威 胁 情 报 为 驱 动 威胁情报 威胁情报 输入 输入 漏洞情报 威胁情报 输入 公有云用户 云安全管理平台 风险管理 漏洞风险 配置风险 基线安全 权限风险 人员/资产风险 产生 漏洞情报 攻击威胁 持续监测 攻击分析 行为监测 定向攻击 日志监测 高级威胁 完整性监测 日志分析 流量监测 产生 威胁情报 产生 威胁情报 联动响应 安全加固 安全策略/规则 黑白名单 … 私有云平台 Section. 02 基于云安全平台攻防数据的 威胁情报分析模型 威胁情报研究的基础 数据！ 大量的数据！ 大量的实时数据！ 大量的、实时的有效数据！ 深 度 分 析 和 挖 掘 安全狗用户全球分布图 2,800,000+ 日均拦截超过 2亿 次攻击，涵盖WEB攻击、系统攻击和网络攻击 进行威胁情报研究的数据优势 安全狗拥有海量、持续且多维的独有数据 安全狗 • 服云已覆盖超两百八十万台的（云）服务器，解决了循证观测中单点数据 量少与随机性不足的问题 日均拦截超过两亿次攻击，获取的威胁数据和事件实时性强、随机性大、可观测度高、攻 击信息和特征丰富，足以支撑对威胁的证据提取，以及对事件（现象）场景的构建 具备实时应对活动数据的采集能力，足以支撑应对活动有效性的判断，指导建立应 对活动的经验决策模型和应急式响应的效果观测 安全元数据 攻防情报推演 攻击时间线 攻击者 TIME WHERE WHO 利益链 攻击链路 HOW WHY TARGET 目标族群 攻击技法 黑 客 族 群 定 位 安全威胁情报产生 恶意IP 攻击组织者 恶意URL 攻击目的 恶意DNS 威胁情报生产平台 恶意行为 行业覆盖度 活跃程度 大数据分析平台 公有云 外部情报  只有 经过分析并打上更深层次属性标签的安全数据，才具备情报价值， 否则还只是传统安全规则类型的数据。  每家公司都有自己数据的特点和分析的视角，需要 加强数据共享和碰撞 才能使数据的情报价值全面提升。 Section. 03 基于云安全平台攻防数据 提取到的威胁情报 （1）黑IP的故事 举例：关于黑IP趋势的观测 安全狗每天可捕获超过 100,000 个黑IP，并同步给所保护的用户设备 黑IP的价值链  长期活跃的  被控制主机  短期活跃的  其他基础属性  基于代理跳板的 （WHOIS、机房信息及 地理位置）  扫描器家族  暴力破解家族  批量扫漏洞家族（扫系统漏洞、 WEB漏洞） 标签属性越丰富的黑 IP，价值越高  “黑色”SEO组织  针对金融等行业目标的渗透组织  羊毛党 黑IP家族追踪分析：暴力破解党 （1） 暴力破解党  针对（云）服务器攻击占比最大（相信各大云厂商也是这个结论）  控制大量肉鸡进行分布式破解  无特定目标分类，全网盲扫 先看一组图 暴力破解类型分布图 黑IP家族追踪分析：暴力破解党 暴力破解IP族群地理位置分布 北京、江苏、浙江、福建、广东