资料列表
Preview Name 作者 Date File info
  • 威胁情报是高级威胁防御的灵魂
  • APT(AdvancedPersistent Threat)——–高级持续性威胁。是指组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击威胁企业数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。此类攻击行为是传统安全检测系统无法有效检测发现,前沿防御方法是利用非商业化虚拟机分析技术,对各种邮件附件、文件进行深度的动态行为分析,发现利用系统漏洞等高级技术专门构造的恶意文件,从而发现和确认APT攻击行为。

    如何利用好威胁情报?在SOC环境中建立威胁情报功能,这是在日常的SOC操作强制性的指导和协助SOC分析师进行分析,并与业务和风险办公室对接,确保在风险和威胁方面,维持用户暴露于最低限度不变。同时,威胁情报分析工作应涵盖情报功能的完整连续性。

    • 高级可持续性威胁(APT)是怎么回事
    • 为何一直检测不到?样本的唯一性
    • 高级可持续性威胁(APT)在内网横向移动怎么办
    • 威胁情报功能设计与实施
    • 威胁情报分析工作应涵盖情报功能的完整连续性
    • 威胁情报运营模型
    • Fortinet威胁情报输入
    • Fortinet威胁情报输出
    • Fortinet威胁情报平台设计架构
    • Fortinet威胁情报平台闭环
Fortinet 华东区资深技术顾问 王哲闻
  • 附件: 1 个
  • 大小: 3.16 M
  • 在野0day揭秘:威胁情报感知发现APT攻击
  • 360追日团队专注APT等高级威胁的研究,致力于发现和披露更多的APT组织或行动,截至目前已经发现三十多个APT组织。边亮在演讲中介绍到,近期360追日团队观察到的APT攻击覆盖着全国30多个省市,发现各类免杀木马数十种,覆盖Windows、Mac、Android、Linux平台,均是涉及针对政府、科技、教育、军工、能源和交通多个领域的定向攻击。网络攻击可以从任何一个薄弱点发起并已逐渐自动化和智能化,安全响应速度要求越来越快,但面对海量安全事件,人力无法及时有效地分析处理。

    基于云端大数据,利用大数据分析挖掘、高级威胁沙箱检测、机器学习及专家分析构成的威胁情报,可以有效的协助完成完全事件的定性与溯源。在演讲中,边亮还分享了追日团队捕获的在野0day漏洞、噩梦公式二代漏洞、双杀漏洞的案例以及著名的摩诃草APT攻击组织。

    • 全球在野0day攻击趋势与挑战
    • 基于大数据的高级威胁感知技术
    • 自主捕获的0day和APT攻击案例
360核心安全追日团队负责人 边亮
  • 附件: 1 个
  • 大小: 4.45 M
  • 安全事件的发现、分析、响应及取证
  • APT时代,“我们是否已被入侵,敏感信息是否已泄露”,是CEO们越来越担心的问题。第一时间发现入侵事件,评估影响,合理应对,是企业安全部门的职责。如何利用技术手段解决企业安全部门的困难,消除CEO们的担心?周宏斌先生以自己公司实际遇到的一次攻击事件为例,向在场的观众分享了他们对此次攻击事件的发现、分析与应急处理的过程。

    • 生活中的故事
    • 网络中的案例
    • 兰云的实践
兰云科技 高级副总裁 周宏斌
  • 附件: 1 个
  • 大小: 1.49 M
  • APT实践分享:基于机器学习的隐蔽信道检测从0->1
  • 企业内网环境中,DNS协议是必不可少的网络通信协议之一,网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT中维持访问和数据窃取阶段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。

    相比于基于规则的静态阈值检测误报高,易被绕过等问题,可以使用机器学习技术从历史数据中学习出一个DNS隧道模式用于检测。使用机器学习构建DNS隧道检测模型,重要步骤是对DNS隧道流量进行特征挖掘分析,需要以DNS协议标准中各字段的统计分析、DNS隧道实现原理为基础,同时结合安全专家知识提取模型特征。在机器学习算法模型选择方面,鉴于在安全检测类产品中要求模型具有高效性、结果便于解释性等特点,在模型选取上更侧重选用一些基于特征的浅层学习模型。

    Agenda

    • APT - 隐蔽信道
    • APT - Deep Info DNS Convert Channel
    • 实践 - DNS TUNNEL Detection & Machine Learning
    • 实践 - 工程(框架&流程),0 -> 1
斗象科技 技术总监 徐钟豪
  • 附件: 1 个
  • 大小: 3.55 M
  • 威胁情报与卡巴斯基威胁情报中心
  • 针对企业的定向攻击所具有的技战术多样、过程复杂等特点使得传统的单纯从防御角度出发的防护手段已经力不从心。除传统的被动防御手段外,企业可以利用威胁情报主动地对威胁形势进行预判、感知从而采取预防性的部署。而攻击者对技战术、工具的复用也使得威胁情报可以有效抵御攻击。

    • 卡巴斯基安全服务
    • 卡巴斯基威胁情报中心
    • 威胁情报源
    • 威胁数据馈送
    • 威胁数据支持多种平台
    • 卡巴斯基威胁查询
    • 内部报告
    • 卡巴斯基APT报告
    • Pyramid of paini
    • 威胁情报报告中的TTP
    • 将TTP转化为检测能力
卡巴斯基实验室 亚太区病毒中心负责人 董岩
  • 附件: 1 个
  • 大小: 3.44 M
  • 生产网络中的情报价值与应用
  • 威胁情报本身是一种历史记录,用于参考,类似于人的信用,让网络中的各个字段也有信用。用数据驱动安全,在攻击者进行攻击时,自动匹配攻击者所使用的网络各个字段的信用,信用低者必将引起注意。威胁情报的来源一般分为由商业产品、开源产品提供的外部情报和由日志平台、FW、WAF、蜜罐等系统提供的内部情报。威胁情报的分类整理是落地应用的基石,所有的分析与应用均应基于此展开。

    当前,企业安全普遍面临着防护系统各自为营、海量告警日志人工处理不及时、没有规则就无法发现其他异常流量,很多告警发出后却没有相应的应急响应等痛点。将威胁情报、日志和流量进行关联分析,对分析结果进行自动和人工响应,来补充已部署的各种安全设备和防护系统做不到的防护,通过这些我们才能更清楚地看清生产网络中黑或灰色流量究竟是什么。

    • 公司介绍
    • 威胁情报的价值
    • 威胁情报的分类
    • 威胁情报的来源
    • 生产网络中的应用
    • 深度挖掘
宜信 安全部情报分析专家 薛兆云
  • 附件: 1 个
  • 大小: 1.88 M
  • 攻击热点指南针和深信服企业安全实践
  • 孙子曾说:知己知彼方能百战不殆。在攻防世界里,防御者在明,敌手在暗,面对复杂不确定的攻击者,如果对其意图和布阵策略都一无所知,防御自然是无从谈起。在本次高峰论坛上,深信服资深安全专家庞思铭基于区块链相关的安全话题、基于IoT的僵尸网络及DDOS、供应链安全、与AI有关的安全话题、恶意软件、钓鱼、勒索/Raas等近期热点事件的分析汇总,分享攻击热点指南,帮助用户明晰攻击形势。

    从攻击的发展趋势看,来源于内网的攻击逐渐增多。面对内网服务器被感染、传播挖矿病毒、勒索恶意软件、以及来自供应链的潜在攻击威胁,组织单位往往无能为力,其主要原因是缺乏对这些威胁的感知能力。

    因此,组织单位需要构建一个以可视为基础,增强检测响应能力的安全体系。庞思铭在分享中指出:构建对威胁的检测、响应能力最为关键。要构建这些能力,需要从“数据来源”、“检测分析”、“可视化”、与“处置响应”四个方面来构建:数据来源必须广泛有效,利用威胁情报、云端沙箱等外部数据来提供最新情报,结合自有设备在用户网络内部进行主动的全流量检测,提取有效数据。检测分析上,通过机器学习等智能检测分析技术来构建准确的检测模型,提升检测能力。通过微观、宏观两方面的可视化呈现,让安全看得见,让运维更简单。在处置响应上,通过安全联动+自动化服务实现更及时高效的响应。

    CONTENT

    • 01 近期攻击热点/热门安全领域
    • 02 深信服的企业安全实践
深信服 资深安全专家 庞思铭
  • 附件: 1 个
  • 大小: 2.01 M
  • 企业反APT构想
  • 知其然而后知其所以然,王延辉先生首先为我们通俗易懂的讲解了APT攻击的几个主要阶段。首先是目标侦察,APT团队首先会尽可能全面的收集企业资产信息,为后续找到安全漏洞提供基础;第二是寻找漏洞弱点进行外网渗透,获取权限并找到内网通道。随后开始对内网进行渗透;进入内网,攻击者可以开始搜寻目标,获取必要的网络拓扑、目标任务、目标系统位置等;找到目标后,就要进行一个细致重要的工作,信息外传,攻击者要避开监控系统,找到一条安全的外网通道将信息送出;最后根据任务特性,决定是否继续潜伏。

    APT攻击常常是蓄谋已久的,企业该如何应对处心积虑的对手呢?从源头抓起,在目标侦察阶段,就要尽最大可能减少资产信息的暴露。企业可以尝试从暗网、常规的论坛、微信、qq、资讯网站、出入站流量匹配、github等代码托管平台的监控,通过外部的威胁情报来获取潜在的攻击信息。除此之外,防御APT攻击我们还可以做些其他的尝试,比如比较有效的主机防御系统,HIDS。对于流量的解析。另外一个比较有效的是密网,也叫诱饵。就是在网络内部署独立的诱饵系统,多处部署诱饵,把攻击者引导到密网系统中。

    • 现状
    • APT攻击流程
    • 外部威胁情报
    • 安全的技术全景图
    • 以史为镜-历史安全漏洞
    • 资产
    • 资产-系统
    • APT攻击防御的其他问题
    • 以史为镜-历史安全事件&历史安全问题备忘录
    • 员工风险看板
    • 精简版APT攻击防御的其他问题
    • 企业如何看待APT攻击
平安集团 银河实验室负责人 王延辉
  • 附件: 1 个
  • 大小: 2.09 M