目前主要从事威胁情报运营工作,基于多年一线和病毒木马,以及背后的团伙对抗的经验,参与搭建了腾讯的基于大数据的威胁情报自动化生产和运营系统。 目前我们的威胁情报,主要应用在企业办公安全、Web安全,以及集成在腾讯安全的产品中,包括腾讯安全御界高级威胁检测系统、腾讯安全御知网络威胁风险检测系统等,都集成了腾讯安全威胁情报能力。 另一个是威胁情报分别应用于怎么样的场景中。 那么我们可以找到我们之前的这种安全体系的漏洞,那么我们也可以有针对性的去针对这一块做防护的调整和升级,就让整个的体系更加安全。 Q9:企业打造威胁情报系统的难点在哪里?腾讯安全是如何解决的? 谭昱:构建整个威胁情报防护系统,在运营方面有三个较大的难点:第一是必须要有充足的数据;第二,要有强大的数据处理能力;第三就是必须有一个持续的,而且对整个行业了解的一个安全团队,这样才能对数据做针对性的处理
相信现在很多团队,公司都开始为今年的攻防演练做准备,有钱的买设备,买人,没钱的没人的只好自己搭设备,怎么都要有点东西才能跟领导交代。 如果是采用商业方案,斗象目前在做NTA的评估报告,有机会可以参考一下,但有几个指标是建议达到一定标准的的,包括且不限于,依赖AI检测算法在不依赖威胁情报的情况下对反弹外联,隧道传输能力的检测;兼容各威胁情报 在依靠南北向的监控中还有一点须得注意,威胁情报在攻防演练事件中的检测效率大大降低,请务必不要迷信,反倒在真实防护中能起到一定的作用。 据说某些企业已经开始放弃传统的AV系统,开始投奔NGAV+EDR防护,其实这点会触及到一个异构的问题,我的个人建议是保留传统的AV系统,并配置部署EDR系统(含NGAV清除功能),原因跟上面提到的态感产品一样 ,需要保留最大能力,最高效率的检测并对抗已知病毒的能力,否则光靠EDR系统动态识别能力是不够效率的,而大部分EDR系统并不具备本地或者文件静态识别能力,所以必须依靠AV的特征库识别来进行预查杀。
Vite学习指南,基于腾讯云Webify部署项目。
前言 在态势感知火热、威胁情报赚足眼球的今天,这两个信息安全领域当红小生发生碰撞,会产生怎样的火花呢?下面我根据手头上的项目,介绍一种威胁情报在态势感知系统中的落地方案,为大家提供一种思路。 但是在这个长时间的攻击链上,一旦前期检测到威胁,那么采取针对性的响应,还是可以减小损害的。 ? 上图就是攻击链模型,绿色框表明攻击没有造成实质性危害的阶段,我们的目标就是努力在这个阶段发现并解除威胁。 所以正是威胁情报中的大数据和其自身的更新能力,让我们对其爱不释手。 三、怎样与态势感知系统结合 1. 继续回到预测的方面,目前大多数态势感知系统将态势变化趋势作为预测的结果,缺乏潜在威胁的分析,威胁情报实现策略级的预测也是威胁情报给态势感知系统带来的新变化和改进。 在具体实现中,使用了STIX格式的威胁情报,有两种威胁情报来源,一种就是订阅得到的外源威胁情报,另一种是系统内部的内源威胁情报,通过系统内部部署的检测设备得到,内源威胁情报与外源威胁情报统一成STIX格式
传统安全体系中“威胁”的概念需要升级。公有云采用“责任共担模型”进行安全体系的构建,传统安全体系中所面临的安全威胁中的一部分,云服务商将帮助客户进行防护。 但同时,云上客户也将需要应对云上特有的新型威胁,例如异常的云用户操作及异常的云API调用等。 ✍ 传统的安全运营体系在这些新的挑战下存在哪些问题? ; 无法对云原生基础设施的配置风险进行检测; 无法对合规风险持续的自动化评估; 缺乏对云上特有的新型威胁的检测; 缺乏云上自动化响应处置机制与能力; 缺乏全面的云上调查溯源能力。 其次需要构建事中的统一监测和威胁检测体系,将云上安全产品的安全事件统一收集实现安全统一监测和全局管理。 同时,针对云上特有的新型威胁需要搭建检测机制与手段,例如用户风险操作、异常API调用及SecretKey泄漏监测等。
构建自动化的威胁分析能力,需要对网络安全大规模、多源、多维数据进行系统的梳理和组织,以实现基于各类型数据的关联挖掘能力。 首先,ATT&CK本身就是建立在威胁情报的验证与抽象之上,在威胁检测应用中,能够自然打通外部威胁情报与内部的行为分析与检测结果,实现检测告警的上下文扩充。 图6 ATT&CK与CAPEC的映射关系例子 威胁检测的实践不断证明基于行为的检测更能够适应动态环境下的高级威胁分析,不过,特征+行为的组合检测能力,是当前威胁检测效率提升的关键。 无论是基于静态特征特征还是基于机器学习的异常行为检测,各个威胁检测能力提供商往往有自成体系的威胁分析模型和事件命名体系。 很多企业已将Kill Chain攻击链模型作为威胁建模的基础,因此转向全新威胁模型体系的过程必然会给整个企业的威胁检测架构带来一定的冲击。
,怎么才能让网络安全更智能(better)? 那么构建更加自动化、更智能的威胁分析能力,我们应该收集和分析哪些数据,又如何组织这些数据呢? 一、数据层次划分模型,DIKW APT识别/跟踪,攻击溯源,威胁狩猎与响应,团伙分析,态势感知等安全防御目标已经远远超出了传统孤立检测系统的应用范畴。 网络安全数据结构中蕴含的图基因,不仅仅是数据可视化的基础,更是用以对抗网络空间威胁的安全智能构建的基础。那么,智能威胁分析能力的构建需要那些数据图的支撑呢? 三、构建智能威胁分析能力的关键数据图 ? : 环境数据图:如资产、资产脆弱性、文件信息、用户信息、IT系统架构信息等 行为数据图:如网络侧检测告警、终端侧检测告警、文件分析日志、应用日志、蜜罐日志、沙箱日志等 情报数据图:各类外部威胁情报 知识数据图
什么是暴力破解攻击?怎样检测暴力破解攻击以及怎样防护呢? 什么是暴力破解攻击? 这就是为什么时间在检测暴力破解攻击时是如此的重要了。 怎样检测暴力破解攻击? 暴力破解攻击是通过巨大的尝试次数获得一定成功率的的。 有时,攻击者会用不同的用户名和密码频繁的进行登录尝试,这就给主机入侵检测系统或者记录关联系统一个检测到他们入侵的好机会。当然这里头会有一些误报,需要我们排除掉。 安全研究人员开发了一个由内置关联规则驱动的IDS(入侵检测系统)和记录关联系统,它可以及时通知你是否受到了攻击者的暴力破解攻击。系统警报仪表会显示所有的威胁,并按威胁级别分类。 系统还会把IP信息与威胁信息分享平台进行核对。 下图中展示的是可疑IP在威胁信息分享平台上的所有信息,包括了与之相关联的任何恶意活动。系统会对可能性最大的IP进行阻断,进而防止其进一步的暴力破解。
Gartner指出, 威胁情报通常是安全产品的差异化因素和能力核心,例如防火墙和统一威胁管理(UTM)系统、入侵检测和防御(IDP)、SWG和安全电子邮件网关(SEG)、端点保护(EPP)、Web应用防火墙 SANS的数据也显示有82%的企业会把SIEM系统和威胁情报一起用,77%的企业会用情报赋能网络流量检测系统。 国内比较常见的用法是威胁情报+网络流量检测、威胁情报+态势感知、威胁情报+SOC等。 这个威胁应该怎么处置? 现在爆发出了哪些新的威胁?这些威胁会通过哪些端口进行传播?企业应该如何应急处理? 企业是否正在被撞库?经常攻击企业的黑客团伙都有谁?接下来几个月内他们可能会怎样行动? 那么,在威胁检测和响应的具体案例中,分析师对具体威胁情报信息的重要性排名是怎样的? 而SANS的调查中体现了用户对威胁情报功能的满意度,根据图表显示,用户对于威胁情报的上下文、覆盖度、情报与检测响应系统的集成、基于位置的可见性、威胁情报衰变、机器学习等方面的满意度仍能够进一步提升。
安全运营中心(Security Operation Center,SOC)是腾讯云原生的统一安全运营与管理平台,提供资产自动化盘点、互联网攻击面测绘、云安全配置风险检查、合规风险评估、流量威胁感知、泄漏监测 统一威胁检测与响应 适用场景:业务上云后,除了面对传统的主机安全威胁、网络安全威胁及应用安全威胁外,客户也需要面对云上特有的新的威胁类型,例如云上用户操作行为风险及异常 API 调用等。 解决方案:安全运营中心提供流量威胁感知功能,为腾讯云现有安全产品提供了有效的流量威胁检测能力补充,同时帮助客户实现云上流量由外到内及由内到外的双向攻击检测。 同时安全运营中心打通云上各类安全产品检测的威胁数据,并通过统一的响应中心实现对威胁统一的响应处置,针对部分威胁事件可通过内置的安全编排功能实现自动化响应处置,简化威胁管理难度,提升响应处置效率。 从资产的自动化盘点,到资产各类安全风险的检测识别,再到资产安全风险的自动化响应处置,客户可建立以资产为中心的统一安全管理平台,提升云上整体安全水平。
第三和第四比较类似,就是云上风险及新威胁的检测能力,之前也提到过云上“威胁”的扩大,因此也需要相应的风险、威胁检测能力。 而“事中监测与检测”方面我们会依托防火墙、主机安全等传统的安全产品去做一些流量侧和主机侧的安全事件检测,同时我们也需要对一些云上也有的威胁做一些检测,比如前面提到的APIK的泄露及内部用户的异常行为监控等 构建事前安全预防体系 目前事前安全预防是需要“安全左移”的,“安全左移”是将安全防护尽可能地移动到开发流程的早期,我们传统安全往往是将IT部署好、业务搭建好之后进入到运维环节,交给安全运维人员去进行安全运营及管理 构建事中安全事件监测与威胁检测体系 那么在事中就需要构建一套完善的监测和检测体系了,例如云上安全产品和安全事件统一收集,实现统一监测和全局管理。 同时除了传统安全威胁(主机威胁、流量威胁等),一些新型的如API异常调用、Key泄露等也是需要我们去纳管的。
而UEBA能力作为腾讯安全运营中心(SOC)的关键子系统,通过自建规则分析引擎、画像检测引擎、机器学习检测引擎,对全网海量安全告警数据进行快速分析。 为网络中的实体行为构建基线,再根据基线检测用户或实体偏离“正常”模式的高风险操作,从而检测网络中的安全短板或疑似攻击行为,帮助企业降低内部威胁风险。 、数据驱动搭建的评分框架,从而高效处理海量告警,去除误报影响; 第三,提供“智能时间线”运营方式,通过将用户、账号、资产和应用上发生的各类异常和活动,以发生时间先后关系串联起来,做持续的用户与实体异常行为检测 ; 第四,基于规则构建了全面的高频横向移动规则,将用户从登录到登出的全部风险行为关联起来,实现精确描述恶意威胁横向移动场景; 第五,通过规则分析引擎、画像检测引擎、机器学习检测引擎,支持多种类型的检测问题 ; 第六,构建用户实体画像系统,存储丰富的数据指标,帮助安全运维人员快速研判风险。
值得注意的是,虽然ERT系统已处恢复模式,但并未披露勒索攻击软件与受影响用户数量和类别等威胁确切信息数据,这意味着该勒索软件对医疗系统的安全威胁或仍会出现。 然而,受黑灰产探测利用和攻击技术的“进化”以及公有云高度开放的“天然基因”等的双重作用,相较于破坏力持续增大的云安全威胁来说,传统被动、静态、单点、粗放和孤立的的企业安全体系显然已无法承载对云上安全威胁的高效感知和攻防需求 03 站位“安全前置” 构筑安全运营新体系 刨除攻击方手段精进等外部因素来看,本次勒索软件攻击事件影响之大,很大程度上也归因于ERT公司在业务系统威胁感知、检测和响应等安全方面预防策略的缺失。 ,简单明了地帮助搭建从事前全预防、事中威胁检测到事后响应处置的全生命周期防护部署,并实现云上安全态势的可视可感知。 针对企业云安全运营体系自行搭建门槛高、成本大、适配更新难等现状,借助安全厂商及其产品的安全能力成为企业搭建云上安全运营新体系的高效之选。
那么,是否有一天,当模型的准确性足够高、泛化能力足够强,模型与算法将统一安全防御体系的天下呢?智能化手段与方法,应该在安全场景中发挥怎样的作用呢? 为回答上述问题,不妨设想和回顾网络安全的本质。 安全可以认为是一种状态,在这种状态下,人、系统、财产等现实或虚拟实体未受到威胁与损害。那么怎么界定与评价实体是否受到威胁和损害呢? 回到网络安全领域,比较经典的规则系统,包括用于流量攻击检测的Snort规则,用于恶意文件检测的YARA规则,用于日志威胁检测的Sigma规则等等。这些规则系统都自成体系,形成领域专用的语言系统。 安全领域专用语言(Domain Specific Language For Security),在威胁检测的各个领域,都具有很强的统治地位。 定制语言就是为了效率而生,一千个成熟厂商就可能有一千个定制的检测规则引擎系统。 我们已经看到,在威胁检测领域,即定位威胁的方法论上,已经有较为成熟的语言系统。
它本质上还是软件,无论怎样严格书写,效率有多高,在代码和设计上总会出现缺陷,并且会越来越多,这和任何复杂的,广泛流行的应用程序都是一样的。 因此,什么才是最可能出现的威胁?虚拟服务器只是服务器。 相反,最薄弱的环节可能是你自己,如果你缺乏规划,不知道怎样照顾、维护和管理狂野的虚拟农场。 存储虚拟化技术搭建常规防御 无论是小型还是大型的虚拟商店都有一个长长的安全问题清单。 也可以说,先把你的物理环境搭建好,然后才能谈到虚拟机的安全问题。 传统的自动修补策略不考虑离线服务器。在物理世界中,一个断了电的服务器是无法工作的。 存储虚拟化技术检查物理主机内部 当被入侵的客户服务器开始传染其他服务器时,就会发生“混合威胁”。传统的安全工具可以在物理堆栈检测到异常行为,并发出警报。 这样传统的通过网线的监测系统是不能发出警报的。 一些供应商开发了虚拟安全设备来对付这种阴暗的行为,寻找不经过物理网线的虚拟网络流量,并提供虚拟防火墙和入侵检测和预防。
一、前言 威胁检测是网络安全领域一个重要方向。如今在网络安全公司中已经开展了很多利用机器学习、深度学习方法进行威胁检测的研究。 基于传统机器学习技术进行自动化建模的AutoML方法主要是基于传统的机器学习模型算法,利用数据进行自动化特征工程,自动化建模,最后通过自动化调参搭建出一个完整的pipeline。 图6 – 强化学习过程 目前网络安全威胁检测领域已经部署了一些基于机器学习以及深度学习的模型算法,网络威胁检测面临数据量大、场景变化多、攻击者手法复杂的特点,因此每次安全研究专家针对单一数据集、单一攻击场景进行建模并训练检测模型 因此基于AutoML建立一套应用于网络威胁检测的模型算法,在面对不同的场景变化时,可以做到自动化适配不同的算法和网络结构,通过空间搜索结合模型自动化达到快速搭建检测模型并实时响应不同的攻击场景需求,能够助力网安产品提升专业竞争力 关于伏影实验室 伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。
秦统一六国,立小篆,由此民族文化交融。而今ATT&CK统一攻击手法的描述,让威胁无所遁形。 而根据这些分析,企业可以更好地理解攻击者的后续行为,比如该黑客组织更关注的关键资产部分是什么,由此针对性地改善公司的防御体系,或通过特定攻击者的威胁情报和攻击手法来模拟威胁,测试企业的安全能力。 ? 2、威胁情报捕获 结合等级保护条例2.0中提出的部署威胁情报检测系统成为合规的必需,以及攻防演练中威胁情报发挥的重要作用,可以预计威胁情报的应用和落地将迎来爆发性增长。 除了发现和响应威胁,如何快速识别并且捕获威胁成为了企业最新的议题。 3、态势感知 态势感知往往是观察、理解、预测,对未来的可能发生的事件进行预测。 国外威胁体? 对手水平怎么样?常用的战术手段是什么? 对比之下,我们和对手的优劣势在哪? 最后,制定一个防御策略。 产品落地?
Symantec ICDx是XDR的集成,可以将来自多个控制点的遥测流添加到统一的事件检测和响应平台中,XDR建立在EDR平台的基础上。 SOAR,同时也可以搭配相关的安全服务以便于此种类型的产品体系的良好运营。 Fidelis Cybersecurity提供了先进的端点检测和响应服务,企业可以深入了解端点活动,在Windows,Mac和Linux系统上都可以使用。 基于本地威胁情报构建安全免疫机制,共享威胁情报,全面提升网路安全防御能力。 亚信安全XDR系列产品覆盖云、管、端,包括邮件,能够有效帮助用户构建立体防御体系。 目前,国内XDR还处于早期探索阶段,仅有少数安全厂商发布了基于XDR的应用。
腾讯云高级威胁检测系统(Network Traffic Analysis System,NTA)通过镜像方式采集企业网络边界流量,结合腾讯多年积累的海量安全数据,运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁(APT)。同时,对事件告警原始流量进行留存,方便事后追溯,可极大提升云环境下的威胁感知能力。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
文件存储
云数据库 MongoDB
SSL 证书