关键信息基础设施保护实践-v1.3公开版-阿里云

关键信息基础设施保护实践阿里云宋杰13901129968jefftimessong.sj@alibaba-inc.com关键信息基础设施面临的安全挑战：网络杀伤链（CKC）攻击生命周期分析踩点构建CyberWeapon投递突防安装C&C行动踩点投递突防安装C&C行动本地提权内部踩点横向移动持久后门数据提取CyberKillChain攻击链Mitre扩展攻击链感知不到未知威胁感知不到横向移动传统安全防护体系最薄弱的环节在感知能力响应：体系对抗，唯快不破数据来源：《Verizon：2015DBIR》数据：安全已演变为数据能力的对抗单点防御•防火墙•IPS/IDS•WAFSIEM（安全事件管理）•二手数据：安全日志•关联分析：规则+正则态势感知•原始数据：流量、端、应用•威胁情报数据•大数据算法能力•大数据计算能力安全新常态攻击越来越隐蔽（未知威胁）感知能力是关键，也是短板天下武功唯快不破威胁情报大数据阿里巴巴CII保护实践安全开发生命周期管理（SDL）防DDoS+WAF+主机入侵防护……应急响应红蓝对抗态势感知安全开发纵深防御人技结合借力生态大数据化风险收敛安全效果衡量指标：漏洞数安全事件数红蓝对抗（TTP，Tool、Technique、Procedure）蓝军红军模拟真实黑客攻击隐藏痕迹模拟窃取数据新型TTP检测黑客攻击发现隐藏痕迹检测数据窃取检测新型TTP攻击ASRC白帽子社区阿里云云盾先知专业公司专业人员专业技术攻防数据沉淀专业化SPD数据化社会化红蓝对抗渗透测试•内部团队或外部公司•通常在限定环境•挖掘漏洞安全众测•白帽子生态力量•生产环境•挖掘漏洞红蓝对抗•顶尖白帽子+顶尖安全公司•生产环境•挖掘漏洞+全链路验证防御、检测和响应能力01EDR03PayLoad检测02NTAEDR进程主机网络行为文件异常PayLoad检测APT沙箱检测NTA五元组Meta信息DPI协议分析横向移动（Movement）检测自动化响应（AutomationPlaybook）123数据源Playbook自动响应数据源登录日志URL地址EDR报警等自动响应搜索文件拦截URL隔离设备提交文件到沙箱阻拦IP访问等Playbook应急响应场景入侵调查场景Malware分析阿里巴巴安全架构总结态势感知安全运营纵深防御从硬件盒子化交付向SaaS化交付演进从基于规则和正则向大数据模型演进从渗透测试向红蓝对抗演进1认知-理解-预测2采集海量的原始数据进行分析3实体识别4决策支持态势认知包括攻击状态识别与确认。态势理解包括了解攻击的影响，了解对手的行为。态势预测了解态势演化，评估当前态势发展的趋势。原始网络数据是最可靠的数据抽样方法很有可能错过关键流量预测的结果也会回溯原始数据重复认知过程资产的识别威胁实体识别，包括攻击者、攻击组织多维度信息融合、可视化人工智能辅助理解态势阿里云态势感知实践基于实体的态势感知撞库攻击检测批量小号登录webshell连接发现webshell行为分析webshell黑客溯源webshell植入原因分析RDS异常连接下载敏感文件CMS异常登录针对性WEB攻击针对性ECS爆破未授权代理服务黑客非法登录对外连接中控连接恶意传播源反弹BASH短信接口遍历邮箱接口遍历SQL安全检测连接/登录异常后门分析溯源威胁检测业务安全受感染的网站数量全球范围内超过12万个，其中约78%都使用了开源CMS框架，以Wordpress和Joomla为主，尤其是Wordpress，占比高达57%。案例1：黑客组织（代号BBOSS）大规模挂马事件由已知寻求未知从正常中发现异常案例2：DDoS攻击溯源20%CNCERT统计打击前后全国DDoS攻击下降56%Akamai统计全球Q3来自中国的DDoS攻击下降0国外某公司统计该DDoS犯罪集团3个月内DNS攻击活动为0数十全国攻击抓捕嫌疑人案例3：航空电商防恶意爬虫客户端航空电商网站纵深防御体系精准访问控制基于频率统计分析的封禁人机识别基于大数据的安全专家分析基于威胁情报（恶意爬虫库、恶意指纹库）和精准规则拦截恶意爬虫通过频率统计分析，限流措施封禁恶意爬虫通过人机识别拦截恶意爬虫用户行为分析（UBA）大数据机器学习算法正常请求Bot’s请求变换IP、伪造乘客信息、使用自动化工具带来大量垃圾查询流量，无法防御官网永远买不到低价票、高价票卖不动、上座率低，每月直接经济损失数百万2016.102016.112016.122017.01监测到云上用户遭受XTBL、Wallet加密勒索软件攻击的受影响用户趋势开始增多，攻击手法主要为RDP爆破监测到云上MySQL、SQLServer等数据服务被删除数据并勒索的趋势，阿里云第一时间将此问题原因和云盾态势感知检测方案推送给用户。监测到攻击对象由Mysql转向MongoDB等其他非关系型数据库阿里云预测攻击下一步会转向ElasticSearch、Hadoop等大数据相关应用，提前对34种数据相关的应用进行监测、梳理、排查、通告，第一时间避免了用户的损失。2017.02仍在与加密勒索黑客做对抗案例4：勒索软件安全疫情阿里云CII网络安全实践总结传统安全架构盒子化交付，周期长难以弹性扩展离线无情报规则+正则响应慢：单点防御、控制台操作下一代安全架构敏捷：SaaS化交付，分钟级弹性：按需、随时弹性扩展在线：规则实时更新威胁情报大数据建模：未知威胁检测响应快：威胁联动、一键处置云盾，让互联网更安全