01網(wǎng)絡(luò)隔離基本概念03隔離網(wǎng)信道建立方法042020年新增案例05總結(jié)網(wǎng)絡(luò)隔離的基本概念威脅框架:細(xì)粒度對(duì)抗Page4威脅框架:細(xì)粒度對(duì)抗隔離網(wǎng)絡(luò)基本概念氣隙網(wǎng)絡(luò)（AirGapNetwork指對(duì)應(yīng)用場(chǎng)景：如能源、交通、電信、政府、軍事、銀行等重要單位的關(guān)鍵數(shù)字資產(chǎn)不允許對(duì)外聯(lián)網(wǎng)，且訪問(wèn)應(yīng)受2211侵入軟硬件破壞干擾侵入軟硬件破壞干擾經(jīng)典隔離網(wǎng)侵入案例黑袋行動(dòng)(Blackbagoperation黑袋行動(dòng)(Blackbagoperation)：特工闖入。人工拷貝、安裝軟硬件。威脅框架:細(xì)粒度對(duì)抗突破隔離方法攻擊目標(biāo)可移動(dòng)存儲(chǔ)媒介傳播：利用快捷方式解析漏洞MS1數(shù)家伊朗國(guó)防和關(guān)鍵基礎(chǔ)工業(yè)企業(yè)?？梢苿?dòng)存儲(chǔ)媒介傳播：利用快捷方式解析漏洞伊朗、以色列等中東國(guó)家。可移動(dòng)存儲(chǔ)媒介傳播：利用快捷方式解析漏洞可移動(dòng)存儲(chǔ)媒介傳播：疑似未知0day。U盤(pán)俄羅斯、中國(guó)、伊朗等國(guó)?？梢苿?dòng)存儲(chǔ)媒介傳播：將U盤(pán)設(shè)置成自動(dòng)運(yùn)行(Aut）：可移動(dòng)存儲(chǔ)媒介傳播：利用快捷方式解析漏洞、Junc美方認(rèn)為的攻擊目標(biāo)。美方認(rèn)為的攻擊目標(biāo)。威脅框架:細(xì)粒度對(duì)抗Page6威脅框架:細(xì)粒度對(duì)抗可行信道建立方法利用目標(biāo)攜帶出入設(shè)備；利用隔離內(nèi)部固定設(shè)備；帶入新的收發(fā)裝置。利用可移動(dòng)存儲(chǔ)媒介的本身、或存儲(chǔ)的文件。手段可以是隱藏文件、隱藏目錄、文件感染附加、扇區(qū)高偏移設(shè)備如U盤(pán)、光盤(pán)、SD卡、聲光熱電磁信號(hào)。聲光熱電磁傳輸。如利用揚(yáng)聲器和麥克風(fēng)傳遞人耳聽(tīng)力范圍外的超聲波信號(hào)。屏幕刷新頻率、電纜輻射。利用周?chē)催B通的WiFi或藍(lán)牙信號(hào)的基礎(chǔ)設(shè)備如揚(yáng)聲器和麥克風(fēng)、屏穩(wěn)定性較差，易受2020年新增的代表性案例威脅框架:細(xì)粒度對(duì)抗Page9威脅框架:細(xì)粒度對(duì)抗Ramsay滲透隔離網(wǎng)絡(luò)流程還原圖+初始攻擊：①②建立初始的據(jù)點(diǎn)。隔離網(wǎng)突破方案：③蠕蟲(chóng)式感染軟件入侵；④可移動(dòng)媒介建立信道。+威脅框架:細(xì)粒度對(duì)抗Page10威脅框架:細(xì)粒度對(duì)抗傳播能力%System32%\\Identities\\wides%System32%\\Identit%System32%\\Identiti感染能力：感染本地和內(nèi)網(wǎng)共享中的EXE，威脅框架:細(xì)粒度對(duì)抗Page11威脅框架:細(xì)粒度對(duì)抗?jié)B出能力U盤(pán)磁盤(pán)偏移覆寫(xiě)2019至今策略:文檔末尾附加威脅框架:細(xì)粒度對(duì)抗Page12威脅框架:細(xì)粒度對(duì)抗命令與控制指令數(shù)據(jù)附加結(jié)構(gòu)：竊密對(duì)象：系統(tǒng)近期/瀏覽器緩存的文檔文件。威脅框架:威脅框架:細(xì)粒度對(duì)抗PackagePD木馬滲透隔離網(wǎng)絡(luò)流程還原圖威脅框架:細(xì)粒度對(duì)抗Page16威脅框架:細(xì)粒度對(duì)抗?jié)B出能力系統(tǒng)信息：網(wǎng)絡(luò)配置、主機(jī)信息、防火墻配置、任務(wù)計(jì)劃、當(dāng)前進(jìn)程、系統(tǒng)服務(wù)、驅(qū)動(dòng)列表、已安裝軟件等。威脅框架:細(xì)粒度對(duì)抗Page17威脅框架:細(xì)粒度對(duì)抗2020其他案例：/en_us/research/20/e/tropic-troopers-back-usbferry-attack-targets-air-gapped-environments.htmlUSBferry設(shè)置USBferry設(shè)置U盤(pán)自動(dòng)運(yùn)行/cycldek-bridging-the-air-gap/97157/威脅框架:細(xì)粒度對(duì)抗Page18威脅框架:細(xì)粒度對(duì)抗2020其他案例：USBWorm（USB蠕蟲(chóng))威脅框架:細(xì)粒度對(duì)抗Page19威脅框架:細(xì)粒度對(duì)抗總結(jié)大多數(shù)的威脅組織缺少類(lèi)似美方的超高能力網(wǎng)空威脅行為體的裝備化支撐，總體物理隔離依然是很重要的安全保障能力環(huán)節(jié)，但本身僅是眾多的安全技能環(huán)節(jié)之安天對(duì)隔離網(wǎng)的威脅防護(hù)能力威脅框架:細(xì)粒度對(duì)抗Page21威脅框架:細(xì)粒度對(duì)抗安天智甲USB外設(shè)管控功能?U盤(pán)、移動(dòng)硬盤(pán)、USB接口形式光盤(pán)、HID、USB網(wǎng)卡、打印機(jī)、智能卡、USB藍(lán)牙、USBWIFI、USB接口設(shè)備等通用類(lèi)與常用類(lèi)USB接口與設(shè)備.?限范圍：1.識(shí)別USB設(shè)備類(lèi)型；2.設(shè)置允許接入U(xiǎn)SB設(shè)備類(lèi)型?定身份：1.提取USB設(shè)備特征；2.建立USB設(shè)備信任列表?控權(quán)限：1.設(shè)置設(shè)備可使用范圍；2.設(shè)置設(shè)備使用權(quán)限（只讀/?做記錄：1.設(shè)備接入記錄；2.文件操作記錄?阻止未知設(shè)