PDF《ALIBABA SECURITY》

攻击过程的威胁情报应对体系 --安全威胁情报中心 ALIBABA SECURITY 自我介绍 ? 阿里安全-安全威胁情报中心 ?技术情报负责人 ?主要负责: ?疑难案件调查溯源 ?威胁情报外部信源建设与监控体系 ?黑产情报分析 ? 网名 instruder 微信号instruder_cn

0、概述

1、攻击前-提前感知

2、攻击中-线上阻击

3、攻击后-自动溯源

4、总结 ALIBABA SECURITY 威胁情报特性 威胁情报无法兜底性 ? 情报也无法替代风控、已有的防御检测 ? 更多的是强化、内外弥补 威胁情报外向性 威胁为核心? 威胁=能力*意图 久守必失 各自为战 知己知彼 情报更强调知彼! 主动出击 攻击敌人-提前 威胁情报拼图和推理性 威胁情报-溯源特性 WHY WHO HOW 攻击生命周期中的威胁情报 攻击生命周期 攻击酝酿阶段 攻击发起阶段 攻击持续阶段 攻击收尾阶段 战果整理、交流、汇报、出售阶 段 攻击酝酿阶段 线上攻击周期 攻击开始 攻击经过关键资源路径 攻击到达受害者 整个攻击周期 线下攻击前准备 线下攻击后整理 工具下 载、购买论坛交 流、学习社交群 交流 资源获 取 接单 团伙组 织 环境准 备 各种渠 道 肉鸡 匿名VPN 各种资 源平台 调用 黑市售 卖 收钱结 算 洗钱 变现 移交下 一链条 情报面对的整个生命周期 攻击酝酿阶段 攻击发起阶段 攻击持续阶段 攻击收尾阶段 战果整理、交流、汇报、出售阶段 攻击酝酿阶段 线上攻击周期 攻击开始 攻击经过关键资源路径 攻击到达受害者 整个攻击周期 线下攻击前准备 线下攻击后整理 社交 监控 舆情 监控 人员 监控 行为 监控 情报感 知 资源 监控 社交 监控 舆情 监控 监控 黑市 线上阻 击 关键 路径 监控 攻击溯 源 人际 情报 人际 情报 手法 监控 威胁情报应用-线上 vs 线下 ? 情报线下应用 ? 越提前 ? 越能提前防御,减少损失 ? 事实越难还原 ? 不容易与攻击直接关联 ? 效率,单个CASE性?情报在线应用 ? 系统化解决 ? 比如线下应用晚,但是比风控、防御早 ? 效率高 攻击前-情报提前感知 情报提前感知-核心思想 ? 为什么要这么做: ?情报一定要是提前的! ?以攻击人员(组织、特征)或人员使用的关键资源作为抓手,在攻击 中能够先于到达被攻击端防控(防御边界)感知,称之为攻击的威胁 情报提前感知体系;

四要素 ?A、时间要素: ?比到达被攻击端防控(防御边界)时间要早;

?B、周期要素: ?在攻击发起前期、攻击酝酿阶段就能感知到;

?C、位置要素: ?一定不是被攻击端防控(防御边界)感知;

?感知的地方和被攻击的地方相对于情报一方必须处于不同的位置;

?D、攻击者要素: ?基于攻击者、攻击者控制的资源、平台维度;

情报提前感知-DDOS提前感知 情报主战场 DDoS防御主战场 攻击周期 情报提前感知-DDOS提前感知 情报提前感知-DDOS提前感知 ?提前感知 ?在攻击发起瞬间,就能感知到 ?不仅知道打了我们,还知道他有没有打其他人,打了多长时间? ?攻击方式、攻击程序用的什么? ?背后的中控,此次攻击用了几个中控? ?情报价值 ?攻击溯源 ?源头感知及时防御 ?攻击分析 情报提前感知 ?业界案例 ?基于DGA的监控,第一时间掌握新变种及规模;

?基于网页钓鱼的监控,第一时间掌握最新生成的钓鱼域名;

?…… 攻击中-线上阻击 线上阻击-核心思想 ? 为什么要这么做: ?最好的防御就是主动出击! ?在攻击的持续过程中,能够对攻击者使用的关键资源能够直接给予阻 击拦截,而不是对本身受到的攻击做清洗、拦截、ip、账号封堵;