大型互聯(lián)網(wǎng)企業(yè)的入侵檢測(cè)RONG工程化下的攻防對(duì)抗入侵案例2006震網(wǎng)病毒，伊朗核武器化進(jìn)程被延緩數(shù)年2015.3希拉里郵件門，干擾總統(tǒng)選舉結(jié)果2015.7HackingTeam，400G數(shù)據(jù),7個(gè)0day，郵件、代碼、武器庫泄露2015.12烏克蘭電網(wǎng)被黑客控制關(guān)閉，2019年委內(nèi)瑞拉大停電事件2065孟加拉銀行指控黑客嘗試轉(zhuǎn)賬10億美元，成功竊取800w美元2062Yahoo!被黑，0億賬號(hào)數(shù)據(jù)，3億美元205EquifaxCEO/CO/CSO退休，股價(jià)下跌入侵的定義與特征未經(jīng)授權(quán)，強(qiáng)行闖入，視為入侵闖入的對(duì)象承載企業(yè)的資產(chǎn)，即可能造成災(zāi)難性的后果。ATT&CK整理的攻擊手法大盤NSA/CSS技術(shù)網(wǎng)空威脅框架入侵檢測(cè)方法論的演進(jìn)1980 1986 1987 1990 1991 1998 2015NSA提出首個(gè)IDS模型不可能檢用戶行為NIDS原Snort誕IoT的關(guān)注用戶訪問日志規(guī)則測(cè)到所有順序的異型誕生生機(jī)器學(xué)習(xí)的引入文件訪問日志異常檢測(cè)入侵常檢測(cè)系統(tǒng)事件日志神經(jīng)網(wǎng)絡(luò)資源所需量會(huì)大量增加入侵檢測(cè)的本質(zhì)：采集數(shù)據(jù)標(biāo)記異常數(shù)據(jù)結(jié)構(gòu)化主機(jī)網(wǎng)絡(luò)（NIDS\TIP）udit）應(yīng)用日志（AD\Exchange）安全產(chǎn)品（）運(yùn)行時(shí)環(huán)境(RASP)沙箱威脅情報(bào)

模型簽名/模式匹配異常行為鏈（關(guān)聯(lián)）&CK

響應(yīng)準(zhǔn)備識(shí)別抑制恢復(fù)復(fù)盤CM/TSM、大數(shù)據(jù)平臺(tái)（分析引擎）、覆蓋率、數(shù)據(jù)完整度、聯(lián)動(dòng)/行為分析入侵檢測(cè)的代價(jià)很昂貴大型互聯(lián)網(wǎng)企業(yè)信息資產(chǎn)龐大數(shù)十萬/百萬計(jì)的OS、Docker實(shí)例數(shù)以萬計(jì)的雇員、辦公終端數(shù)以億計(jì)的代碼涵蓋幾乎所有主流技術(shù)棧中間件日志量級(jí)在數(shù)百T/日告警數(shù)量數(shù)以萬計(jì)

中小企業(yè)沒有/個(gè)位數(shù)的安全專家無力承擔(dān)安全產(chǎn)品的成本生存優(yōu)先，安全靠后殘酷的真相：無論大中小企業(yè)，安全投入的資源遠(yuǎn)遠(yuǎn)不足以應(yīng)付高級(jí)入侵工程能力決定入侵發(fā)現(xiàn)效果入侵發(fā)數(shù)據(jù)完 場(chǎng)景覆閉環(huán)率入侵發(fā)數(shù)據(jù)完場(chǎng)景覆閉環(huán)率/ELV覆蓋率系統(tǒng)調(diào)用/運(yùn)行時(shí)環(huán)境NIDS數(shù)據(jù)完整度日志完整性重點(diǎn)業(yè)務(wù)日志…

歷史案例TTPs覆蓋ATT&CK蓋收斂攻擊面加固運(yùn)營

極低的誤報(bào)容忍可解釋/可行動(dòng)追溯/應(yīng)對(duì)之道ATT&CK的1個(gè)techniques面向公眾的服務(wù)包羅萬象試圖全覆蓋會(huì)筋疲力盡。Web(SED重點(diǎn)系統(tǒng)縱深防御AD、郵件、知識(shí)庫運(yùn)維平臺(tái)、Agent平臺(tái)攻擊嘗試...最低成本防御/檢測(cè)管理準(zhǔn)備交互存在影響持續(xù)規(guī)劃資源開發(fā)研究偵察環(huán)境預(yù)置投放利用安裝、執(zhí)行內(nèi)部偵察提權(quán)憑證訪問橫向移動(dòng)持久化監(jiān)控滲出修改拒絕破壞分析、評(píng)估、反饋命令與控制規(guī)避N/A口管理WAF命令RASPWhll\掃描\蜜罐提權(quán)\異常登錄\C2EDR\系統(tǒng)調(diào)用分析N/AC2效果展示：大事件里的小失誤震網(wǎng)病毒：自動(dòng)感染內(nèi)網(wǎng)其它機(jī)器符合掃描特征Equifax：StrutsS02-045，Java啟動(dòng)異常子進(jìn)程HackingTeam：nmap慢速掃描、pwdump/mimikatz、AD非預(yù)期登錄、AD管理員登錄員工機(jī)器【NIDS端口掃描告警】2019-05-1010:35:45從OA網(wǎng)發(fā)起的流量監(jiān)測(cè)到北京-xx辦公網(wǎng)172.x.x.x(zhangsan/張三)自2019-05-1010:33:36起對(duì)10.x.x.x進(jìn)行了PortScan,端口數(shù)量達(dá)到161個(gè),觸發(fā)規(guī)則10次,涉及敏感端口80,1080

S2019-05-2714:33:26jenkins-slave-test193(內(nèi)網(wǎng)服務(wù))觸發(fā)了[Java命令執(zhí)行]規(guī)則，符合[目錄探測(cè)]特征。進(jìn)程用戶：jenkinsPID：294373命令：pwd父進(jìn)程：java-Dsun.jnu.encoding=UTF-8-Dfile.encoding=UTF-8-jarslave.jar-jnlpUrlhttp://祖父進(jìn)程：pyonloalpy從0開始建設(shè)怎么做迭代優(yōu)化高運(yùn)營標(biāo)準(zhǔn)下建模采集數(shù)據(jù)總結(jié)入侵很可怕，危害很大入侵檢測(cè)的代價(jià)很高，大型企業(yè)有資源，但依然不夠，應(yīng)主動(dòng)追求OI入侵檢測(cè)的方法論其實(shí)已成熟多年，之后演進(jìn)的方向集中在數(shù)據(jù)豐富多樣化、攻擊場(chǎng)景體系化