威胁情报+
薛锋 微步在线
2016/06/24
提纲
• 威胁情报现状
• 威胁情报+
• SoC
• 应急响应
• 扫描器
• WAF
• NGFW
威胁情报
检测、响应、溯源
#数据 #分析
DATA • 机器学习
• 专业分析师
• 可信度
• 优先级
• 关联性
可机读情报
JSON, YARA
情报分析平台
NGFW,IPS,WAF
SOC,SIEM
拉推
报警
关联、溯源
• Who
• Why
• How
• What
• When
• 决策
• 行动
• 开源情报
• 传感器
• 合作
• 购买
发展
• 2015 威胁情报元年
• 2016?
威胁情报+
SoC
• 及时发现内部的失陷主机是内网安全的关键;
• 多态、变形技术,以及定向攻击的流行使基于已
知特征方式的检测趋于过时;
• 反AV、反沙箱等技术使沙箱等APT检测产品面临严
峻挑战;
1钓鱼或水坑攻
击方式,终端感
染恶意软件
2连接命令控制
服务器,接受控
制
关键服务器 关键员工
主机
3持续渗透内部的关
键员工主机或服务器
4知识产权、
用户信息、
业务机密泄
露
恶意站点
恶意邮件
命令和控制
服务器
SoC
利用远控类威胁情报:
• 实时、精准的检测内部失陷主机;
• 通过阻断控制通信,防止发生实际的损
失;
• 通过上下文信息,确定进一步行动的策
略;
• NGFW/SOC
• SOC/SIEM
推送C2威胁情报
• 机器+专家处理,精准
• 提供可指导行动的上下文
发现和DarkHotel
相关的远控通信
SOC – 上下文
漏洞扫描/资产管理
子域名数千
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
: 1
WAF
• IP信誉情报
• 僵尸、扫描器、代理、IDC服务器等等
• 过滤来自恶意IP的访问
• 辅助判定攻击行为,降低误报
• 挑战异常IP访问
• 等等
API查询
本地同步
WAF
• 僵尸主机
• 扫描主机
• 攻击主机
• 代理主机
• 暗网主机
• ... ...
应急响应
挖掘更多攻击团
伙的相关信息
深挖拓线
揭示犯罪分子的身
份信息及变化
溯源定位
判定恶意样本或者攻击团
伙的目的地
目的判定
恶意样本的细节黑客攻
击资源细节
细节分析
应急响应
穿越时间、跨越维度,从一点开
始就可以挖掘攻击者更多的信息
时间线
攻击者
攻击事件
域名、IP
恶意软件
应急响应
发现一
个攻击
• 报警可信吗?
• 对我们影响大
吗?
• 会是APT攻击
吗?
• 怎么排查影响范
围?
• 能知道攻击者
吗?
• 怎么将他们绳之
以法?
应急响应案例 - XCodeGhost
•
案例 – XCodeGhost – 历史IP
•
案例 – XCodeGhost - IP反查
案例 – XCodeGhost - Whois
案例 – XCodeGhost – Email反查
案例 – XCodeGhost –
微步在线:基础能力
平台能力
u 30余款AV引擎每天并行检
测数百万样本
u 仿真沙箱每天运行数十万
可疑样本
u 样本、IP、域名、whois、
攻击事件、攻击团伙等多
维数据的自动关联
u 基于域名自动挖掘黑客身
份
基础数据能力
u 5年的Passive DNS数据
u 3-10年的域名Whois信息
u 每日新增域名监控:数
百万
u 千万级活跃肉鸡
样本获取能力
u 30万+每日新增恶意样本
u 300万样本/每日
u 5000万+活跃样本/4亿+
白名单
u 重大事件样本:DarkHotel、
Dell证书、乌克兰电厂、孟
事件分析能力
u 数亿用户感染iPhone木马:
XCodeGhost
u 针对国内通信制造企业的
APT:DarkHotel
u 针对国内证券行业的特大
金融犯罪团伙
全球范围 更多维度 更长历史 更智能化
聚焦威胁 情报驱动