2024大型互联网企业的入侵检测.docx

Ie信大81倒闭破产3业务受阻数据泄露巨额罚款人身安全高管退休负面PR用户弃用政治格局入侵案例20106震网病毒，伊朗核武器化进程被延缓数年2015.3希拉里邮件门，干扰总统选举结果2015.7HackingTeam.400G数据，7个Oday,邮件、代内、武器摩泄羯2015.12乌克兰电网被黑客控制关闭，2019年委内瑞拉大停电事件2016.5孟加拉银行指控黑客尝试转账10亿美元，成功窃取810OW美元2016.12Yahoo!被黑.30亿账号数据,3.5亿美元2017.5EqUifaX1.3亿用户数据,CEO/QO/CSO退休,股价下跌17%入侵的定义与特征未经授权，强行闯入，视为入侵闯入的对象承我企业的资产，即可能造成灾难性的后果。ATT&CK整理的攻击手法大盘EnterpriseMatrixNSA/CSS技术网空威胁框架入侵检测方法论的演进1980198619871990199119982015NSA提出用户访问日志文件访问日志系统车件口志首个IDS模型规则异常检测神经网络不可能检测到所有入侵资源所需量会大量增加用户行为顺序的异常检测NlDS原型诞生SnorI诞生I。T的关注机器学习的引入入侵检测的本质：采集数据标记异常数据结构化BIS啕应主机"IIOS'HwuPEV)IElV模式匹配本井网络<N1QSTIP)舁常UlM擀豚(DMudIi)忏为於（美联）WMR叩>n>根除：“*7ATCKmatrix俵史送行时环境（RASP）Ufi1.沙箱哎肿情技CMDB/1TSM.大数据平台（分析引擎）、覆盖率、数据完整度、联动/行为分析中小企业没仃/个位数的安全专家无力承担安全产品的成本生存优先,安全靠后入侵检测的代价很昂贵大型瓦联网企业信息资产庞大数十万/百万计的OS、DOCker实例数以万计的雇员、办公终端数以亿计的代码数以千计的项目数数以百次的日迭代涵靛几乎所有主流技术枝中间件日志量级在数百T/日告警数量数以万计残酷的真相：无论大中小企业,安全投入的资源远远不足以应付高级入侵工程能力决定入侵发现效果HIDS/EDR/D1.P/AV覆盖率系统调用/运行时环境WDS数据完整度日志完整性重点业务日志历史案例TTPS圈盖ATT&CK关键路径覆盖2敛攻击面加固运营极低的误报容忍可解择/可行动追溯/应急平台化应对之道ATT&CK的I个techniques面向公众的服务包罗万象试图全覆盖会筋疲力尽。ExploitPublic-FacingApplication对外：高危端口+Web攻防对内：失陷假设+横向移动全网一罐(Hn)S、EDR)重点系统纵深防御AD,邮件、知识库运维平台、Agent平台攻击尝试canbeabug.aglrtc.oradesignvulnerabilityTheseapbcatonsarcoftenwebsites,butcanincludedatabases(likSQ1.),.standardservices(lik«SMB!，orSSH)QndanyotherapplicationswithInternetaccessibleopensockets,suchaswebserversandrealedservices.j,DvpendingontheflawbeingexploitedthismayincludeExploitationforOefenseEvasion.Forwd>sitesanddatabases,theOWASPtop10andCWElop25highlightthemostcommonweMwsedvuln«rabihtw$国.最低成本防御/检测效果展示：大事件里的小失误自动感染内网其它机器符合StrutsS02-045,pwdump/mimikatz,AD非预期登录、AD管理员登录员工机器NIDS端口扫描告警】2019-05-1010:35:45从OA网发起的流量监测到北京-XX办公网172.X.X.X（ZhangSan/张三）自2019-05-1010:33:36起对IOxxx进行了PortSCan,端口数量达到161个,触发规则10次,涉及敏感端口80,1080【HlDS发现疑似恶意进程】2019-05-2714:33:26jenkins-slave-testl93（内网服务）触发了UaVa命令执行规则，符介目录探测）特征。进程用户：jenkinsPID：294373命令：pwd父进程：java-Dsun.jnu.encoding=UTF-8-Dfile.encoding=lF-8-jarslave,jar-JnlpUrI祖父进程：python从。开始建设怎么做H<*/vjw.Wb11M调才1.化、P由化,f'f!1t米基故斜 OfiefK自我 ZhS济发<xwcmu> WAFlI也/“<itHltkMJ nss身紧?'NiiisWKi.11«»») flttHXlt(SS0UlPttMff:.un.CcftftlVU£>总结1. 入侵很可怕，危害很大2. 入侵检测的代价很高，大型企业有资源，但依然不铭，应主动追求Rol3. 入侵检测的方法论我实已成熟多年，之后演进的方向集中在数据十富多样化、攻击场景体系化、响应过程标准化和平台化4. 工程能力决定入侵发现效果5. 检测思路要扬长避短6. 维持一贯的高标准要求，很多APT也可能大意被捕获提醒：维护公司对安全产品的信任，宁可少/漏数据,也不要造成业务事故一Stoe3JU3d3JUOJEllHg51U3XJ31一5XUHH1