13.网络安全

Page1网络安全李伟明Page21.网络安全发展网络安全形势非常严峻：2014年Heartbleed和Shellshock可以说是有史以来“最严重”的漏洞利用。Heartbleed几乎无法追踪，而Shellshock/Bashdoor可能是有史以来最简单的远程代码执行，它根本不需要身份验证，但可以影响大多数物联网嵌入式设备。Page31.网络安全发展2014年79790家公司被黑泄漏数据；2122家公司公开确认信息被窃取；（500强企业超过半数）60%的案例里，攻击者仅需要几分钟就可以得手；70%-90%的样本都是有针对性的（APT，AdvancedPersistentThreat）；75%的攻击会在24小时内从一个受害者快速扩展到其他受害者。Page41.网络安全发展2015-Kaspersky(Duqu2.0)2015-HackingTeam2014–SONY（黑客攻击电影泄露）2014–APPLE（利用FindMyiPhoneAPI来进行字典攻击）Page51.网络安全发展-Duqu2.0卡巴斯基实验室公开承认其公司网络遭APT攻击，而且被入侵长达数月未发现，入侵卡巴斯基和入侵伊朗核问题“六方”会谈承办酒店电脑的都是超级计算机病毒Duqu2.0。而且其所使用的合法数字证书盗自富士康公司。Duqu2.0是现今为止最为复杂的蠕虫，广泛应用于各种APT攻击事件中。Page61.网络安全发展-Duqu2.0针对卡巴斯基实验室的初始攻击，以亚太区的一个较小规模分支机构的某个员工为目标。Duqu2.0的初始感染向量目前未知，但是因为第一批感染源的邮箱和网络浏览器的记录被清除了，推测其目的是隐藏攻击痕迹。鉴于相关的各台机器都打了完整的安全补丁，相信攻击者使用了一个0day漏洞完成初始攻击。2011年，发现了Duqu攻击使用了包含0day漏洞（CVE-2011-3402，依赖于一个恶意的嵌入式TrueType字体文件）利用代码的Word文档。该漏洞允许攻击者通过Word文档直接攻入内核模式。Page71.网络安全发展-Duqu2.0在Duqu2.0的情况下，攻击者利用了另一个0day漏洞（CVE-2014-6324）实现横向运动。该漏洞利用代码允许普通权限的域用户将访问凭证提权至域管理员帐户。一旦攻击者获得了域管理员权限，他们就能够利用这些权限感染该域中的其他计算机。Page81.网络安全发展-HackingTeam客户Page91.网络安全发展-HackingTeam客户Page101.网络安全发展-HackingTeam产品Page111.网络安全发展-HackingTeam产品Page121.网络安全发展传统的网络安全设备和系统：1.Anti-VirusSoftware/Hardware2.Firewall（IPTables）3.VPN，TOR4.WAF（WebApplicationFirewall）5.IDS（IntrusionDetectionSystem）+SIEM（SecurityInformationandEventManagement）6.UTM（UnifiedThreatManagement），NGFW除了3属于加密通信，其他本质上都是基于特征的检测方法Page131.网络安全发展Verizon联合了19个组织机构一起撰写报告（DBIR2013），分析的数据更加丰富和全面，包括了47000多起数据破坏安全事故，621宗确认的数据泄漏案例，以及至少4400万份失窃的记录。1.成功的攻击中，92%是由于外部攻击者《DBIR2013》2.攻击大多不能通过现有安全设备发现，87%源自外部的报告《DBIR2013》3.互联网上的传播的病毒，54%不能通过AV检查出来（NTTGroup）Page141.网络安全发展-APTStuxnet蠕虫病毒（超级工厂病毒）又名“震网”，是世界上首个专门针对工业控制系统编写的破坏性病毒。2010年被发现，至少在2009年之前就开始大规模传播。传播途径：该病毒主要通过U盘和局域网进行传播。“历史贡献”：曾造成伊朗核电站推迟发电。Page151.网络安全发展-APTStuxnet能够利用5个针对windows系统和两个针对西门子SIMATICWinCC系统的漏洞进行攻击。特别是针对西门子公司的SIMATICWinCC过程监控与数据采集(SCADA)系统的攻击。由于该系统在我国被广泛用于钢铁、电力、能源、化工等的人机交互与监控。。Page161.网络安全发展-APTStuxnet的攻击目标主要是SIMATICWinCC软件，主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图所示：Page171.网络安全发展-APTmrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件Page181.网络安全发展-APTStuxnet让公众知道：“原来真有这种事”Snowden让公众知道：“原来这种事这么多”HackingTeam让公众知道：“原来这种事都正经当买卖干了”Page191.网络安全热点领域传统安全设备从本地网络或终端数据中发现未知威胁，对于互联网而言，仿佛研究森林中的一片叶子。通过对互联网海量多维数据的分析、挖掘和关联，才能真正解决在本地数据中快速发现未知威胁的难题：1.复合型的安全产品举例2.威胁情报平台Page202.复合型的网络安全产品CyberBIT是以色列国防部门和情报界的一个主要网络安全解决方案提供商。以色列99%电力公司，66%银行，75%国防部门使用它们的产品。能够满足石油能源、交通、IT、政府、银行行业的安全需求。Page212.复合型的网络安全产品Page222.复合型的网络安全产品主要产品有三个：用于训练和模拟的CyberShieldTnS（TrainingandSimulation）用于网络安全分析和检测的CyberShieldAnD（AnalysisandDetection），类似产品包括：Firewall、IDS、SIEM用于网络攻击抑制和响应的CyberShieldMnR（MitigationandResponse），类似产品包括：SOC其中后两个产品可以集成起来，形成更加完善的网络安全产品Page232.复合型的网络安全产品用于网络安全分析和检测的CyberShieldAnD由两个部分组成：Sensors负责收集数据以及检测本地异常信息分析部分负责：行为模式异常检测（Anomaliesdetectionofbehavioralpattern）一般是通过规则，将多个Sensor搜集的异常进行模式匹配跨域的关联分析（Crossdomaincorrelation）一般是对多种类型的Sensor数据进行关联分析，将不同类型数据关联到一起，呈现更复杂的安全事件Page242.复合型的网络安全产品用于网络安全分析和检测的CyberShieldAnDCyberShieldAnD针对不同行业有不同行业的CyberShieldAnD定制版本：AnDForIT（forIT行业）搜集内部网络和主机信息、其他资源基于大数据的多层次异常检测事件取证和实时分析AnDForSCADA（for工控行业）非入侵式，网络协议和硬件诊断深度报文分析工控系统异常分析和取证Page252.复合型的网络安全产品用于网络攻击抑制和响应的CyberShieldMnR（MitigationandResponse）减少网络安全事件处理时间，利用最佳实践提高响应过程，实际上是一个安全运维中心（SOC）核心功能：智能化安排信息，降低管理员负担集成所有的SOCSensors（影响分析、事件管理、信息共享和协作、事件报告、任务调度、策略和知识管理）保护各种资产主要模块安全事件管理安全事件分析和态势感知决策支持和解决方案推荐Page263.威胁情报平台（进一步的解决方案）Splunk:thethreatintelligencecompanyIBM:intelligenceisthenewdefenseNorse:Norsemaintainstheworld’slargestdedicatedthreatintelligencenetworkPage273.威胁情报平台威胁情报：是应对资产所发生的威胁的基于证据的知识。包括威胁产生上下文、工作原理、检测方法、响应建议等。机器可访问的威胁情报：machine-readablethreatintelligence(MRTI)威胁情报平台是用来搜集、关联、分类、集成威胁情报数据的平台，可以实时的支持防御行动优先级划分。Page283.威胁情报平台Page293.威胁情报平台很多研究人员和安全公司，认为威胁情报平台最大的创新是提出了可见性：Visibility可见性Visualization可视化VisualAnalytics可视分析机读情报可有效解决跨组织、跨设备、跨厂家的快速协同联防，在国外已经认为是安全防御发展的趋势，美国甚至专门成立了相关国家级组织、颁布了相关法令来改进其国家级基础设施防护Page303.威胁情报平台Page313.威胁情报平台除了可见性，威胁情报平台主要功能：•Collect•Correlate•Categorize•Integrate•Action•SharePage323.威胁情报平台•Collect•从多个数据源搜集和正规化数据，而且比普通的SIEM具有更强的异构数据处理能力，除了结构化的日志、告警数据，还可以分析非结构化的数据（Webpages,blogs,documentsandsocial）Page333.威胁情报平台•Correlate•根据数据内容将多个数据关联起来：Asingleemailaddress,URL,domain,IPaddressorfilecanbethecatalystthatconnectstogetheralloftheexistinginformationPage343.威胁情报平台•Categorize•数据搜集和关联好之后，威胁情报平台就可以就可以进行分类，并开发更多的相关信息，形成威胁情报。例如：anemailaddressviatheTIP‘sabilitytoperformrelationshipmodeling，add：•Whohassentemailtoit•Whohasreceivedemailfromthisaddress•Whichdomainsthisemailhasbeenusedtoregister•WhichIPaddressesareknowntoresolveviaDNStothosedomains•WhichISPdetailsregisteredthesedomainsrevealsfurtherrelationships,suchas:•WhichotherdomainsusethesameDNSresolver•WhichinternalhostshavetriedtoconnecttothisDNSresolver•WhatotherDNShost/domainnamerequestshavebeenattemptedtothisresolverPage353.威胁情报平台•Integrate•对搜集的数据，用更多其他工具分析，并集成分析结果•Forensictools搜集更多证据•Intrusiondetectionsystem(IDS)/intrusionpreventionsystem(IPS)对当前威胁相关actor是否存在其他攻击•IP/hostname/URL/filenamereputationfeedsforIPS,Webapplicationfirewall(WAF),next-