• 盛邦安全
    公司新聞
    讓網絡空間更有序

    聯(lián)系我們

    *姓名
    *單位
    *電話
    *驗證碼
    發(fā)送驗證碼
    郵箱
    *需求概述
    當前位置: 首頁 > 關于我們 > 公司動態(tài) > 公司新聞
    威脅情報助力網絡資產安全治理 ——BCS2021 TI INSIDE威脅情報生態(tài)發(fā)布會盛邦安全聶曉磊演講實錄

    发布日期:2021/08/31文章來源:盛邦安全

    8月26日,2021年北京網絡安全大會在京正式召開,期間在TI INSIDE威脅情報生態(tài)發(fā)布會上,盛邦安全技術總監(jiān)聶曉磊發(fā)表了題為《威脅情報助力網絡資產安全治理》的主題演講,以下為聶曉磊的演講實錄。

     

    QQ截圖20210901133242.png

     

    盛邦安全技術總監(jiān)聶曉磊:各位觀眾大家好,我是來自盛邦安全的聶曉磊,很高興能夠參加此次發(fā)布活動,借此機會也向大家分享下盛邦安全在情報運用上的一些落地實踐。盛邦安全是一家專注于網絡資產安全治理的廠商,資產本質上來講也是一類龐大的情報信息。

     

    QQ截圖20210901133342.png

     

    通常而言,我們可以將資產范疇定義成實體資產和虛擬資產兩個大的類型,實體資產就包含了各種網絡設備、安全設備、終端設備以及現在大家經常提的物聯(lián)網資產;而虛擬資產當中,除了我們熟悉的IP、端口服務、拓撲定位等網絡資產之外,還有一大部分則是與這些資產相關的數據信息,比如管理信息、供應鏈信息等等。我們把所有資產采集回來,再從暴露面的角度、脆弱性的角度或者是供應鏈安全的角度等維度,把關聯(lián)關系提取出來,形成關鍵資產,這個過程就相當于情報的采集、加工和生產,之后我們可以利用這些關鍵資源來做很多事情,比如暴露面的測繪、重要系統(tǒng)全生命周期的安全跟蹤等等。

     

    QQ截圖20210901133352.png

     

    那么典型的資產治理模型是什么樣的呢?這里拿我們常說的五步法來舉個例子:我們圍繞資產的發(fā)現和安全管理,把整個過程分為五個大的步驟,包括摸清家底、備案審核、立體化防護、自動化運營以及應急響應。強調的是未知資產的發(fā)現、已知資產的畫像,資產的上線前安全檢查、運行中的安全監(jiān)控、協(xié)同防護以及應急響應時的精確處置等。

     

    QQ截圖20210901133403.png

     

    通過這樣一套體系,可以對網絡資產進行全面畫像,從而繪制網絡空間的資產底圖,進而獲得詳細的資產情報,以某個資產為例,可以拿到它的IP地址、開放服務、所用組件、底層系統(tǒng)、地理位置、所屬行業(yè)和脆弱性等各種信息,這樣就可以幫助用戶解答一些頭疼的問題,比如說在網絡中到底有多少在運的資產?都有哪些類型?有哪些風險?或者某個行業(yè)監(jiān)管部門,可以評估轄區(qū)單位的暴露面分布情況、風險情況或者國產化率等等。

     

    QQ截圖20210901133420.png

     

    威脅情報可以與資產治理碰撞出什么樣的火花呢?今天我們落地的較多的威脅情報主要有兩大類,一類是黑IP信息、一類是黑URL信息,所以首先威脅情報可以提升入侵的檢測能力和外聯(lián)的發(fā)現能力,但同時資產的畫像信息也可以補充到傳統(tǒng)情報數據當中,所以二者之間是一個結合與互動的關系。這里我們仍然按五步法的階段來概括,通過與TI INSIDE的聯(lián)動,我們可以富化資產的信息、強化風險的發(fā)現、深化對失陷情況的檢測,最終能夠強化對威脅的應急處置。

     

    QQ截圖20210901133429.png

     

    接下來可以看幾個具體的實踐。首先是網絡資產治理平臺與威脅情報的聯(lián)動,這里列舉的是治理平臺的威脅檢測模塊,包含有兩個功能點:左側列舉的是入侵威脅識別功能,通過與情報聯(lián)動,我們可以直接用IP地址來與情報碰撞,判斷來源IP是否在情報庫中,并且判斷它是一個掃描IP還是某個Webshell的客戶端,從而發(fā)現有風險的訪問行為,這點可以有效彌補傳統(tǒng)的基于規(guī)則或算法的威脅檢測方式的不足,加強未知風險的發(fā)現能力;

     

    右側列舉的是非法外聯(lián)檢測功能,通過將外聯(lián)URL與情報碰撞,可以判斷外聯(lián)目標是否是惡意URL,從而判斷本地資產是否已經失陷,同時如果資產中招了,還能根據情報來判斷屬于哪個惡意代碼家族,從而可以做進一步的研判處置。所以說,威脅情報可以提升網絡資產的治理能力。


    QQ截圖20210901133438.png

     

    另外我們資產還可以擴充情報的畫像能力,這里列舉的是網絡空間資產探測與威脅情報的聯(lián)動,這個過程覆蓋了從單點失陷的發(fā)現到整體風險的研判和反饋。當某個資產的外聯(lián)URL命中情報時,情報中心可以調用資產探測的能力對目標做進一步的檢測,判斷其風險的擴散范圍。

     

    以永恒之藍為例,如果通過探測發(fā)現目標具備永恒之藍發(fā)生的典型條件,比如操作系統(tǒng)是windows、同時開放了139、445等端口,或者直接啟用了RDP、SMB等服務,那么這張網絡可能整個都中招了,這個信息反饋給情報中心,情報中心就可以將風險第一時間同步給所有網絡節(jié)點來進行應急處置,比如同步到所有邊界網關,那么就可以快速生成一些針對橫向擴散的訪問限制策略。這是資產探測對情報的一個反饋能力。

     

    QQ截圖20210901133449.png

     

    最后,我們列舉兩個實際案例來介紹。這是一個典型的資產失陷的發(fā)現過程,我們首先在威脅情報模塊收到了外聯(lián)的告警,在情報中心驗證后確認是真實存在的問題,接下來再開啟治理平臺的后門檢測功能來檢索資產相關的安全事件,結果發(fā)現它還存在webshell的問題,并且已經存在建立的控制連接,根據連接也找到了相關的問題IP做了舉證。

     

    QQ截圖20210901133501.png

     

    第二個例子是發(fā)現了一個外聯(lián)的告警,但是在情報中心只看到了疑似風險的標簽,沒有找到其他的安全告警,在不好判斷的情況下我們再利用空間探測對資產做畫像,發(fā)現該資產開放了http服務,并且存在可利用的PoC,之后再根據這些信息在資產本地做痕跡調查,確認已經失陷。

     

    其實情報與資產互動后的能力遠不止是這些,這些年不管是安全保障還是在攻防演習當中,我們一方面通過安全情報來擴大風險發(fā)現范圍,另一方面也利用資產情報來尋求一些對攻擊者的溯源和反制機會,相信未來將會找到更多的應用場景。最后祝愿聯(lián)盟能吸引更多的優(yōu)秀伙伴加入,一起為廣大的用戶賦能,謝謝大家。

     

    基于威脅情報檢測能力,“TI INSIDE”生態(tài)聯(lián)盟成員單位取得了多項技術成果,在活動現場還為“TI INSIDE”生態(tài)聯(lián)盟成員舉行了授牌儀式。

     

    QQ截圖20210901133513.png

    申請下載

    *姓名
    *單位
    *電話
    *驗證碼
    發(fā)送驗證碼
    郵箱
    *需求概述

    項目咨詢

    *姓名
    *單位
    *電話
    *驗證碼
    發(fā)送驗證碼
    *您感興趣的產品
    項目規(guī)格
    *需求概述
    *所在地
    *意向行業(yè)
    +