如何产生威胁情报高级恶意攻击案例分析-宋超.pdfVIP

如何产生威胁情报-高级恶意攻击案例分析 神州网云 CEO 宋超 Content 目录 1 高级恶意攻击检测威胁情报 2 多维检测与威胁情报 3 重要线索的分析工作及案例分析 4 威胁情报与高级恶意攻击检测价值体现 5 未来高级恶意攻击检测和威胁情报的趋势 目录 CONTENTS 01 高级恶意攻击检测威胁情报 目前高级恶意攻击影响到国家多行业多领域 ? 电信 网络设备遭受攻击 ? 银行 诈骗、盗取资金 安全 ? 企业 商业情报及知识产权被窃取 防御 ? 国家 发现具有窃密行为的攻击 ? 能源 具有破坏行为的攻击 检测过程中面临的问题 发现高级恶意攻击行为 ? 怎样从海量告警线索中发现高质量的攻击线索 产生 ? 怎样从单一的攻击线索中扩展更多有效线索 损失 ? 攻击者的目的、动机、背景 结合威胁情报落地 内部威胁、外部威胁、关键资产的监测 关键 通过分析内部网络流量 ，采用机器学习的方式自动化的识别组织内的安全资产（设备） 资产 并且打上标识 ，可根据资产上存放的数据的重要程度及资产的使用者的重要性来确定是 否是关键资产 监测 多数用户的网络行为是可预测的。恶意的内部人员在偷盗数据或搞破坏前一定有异常的 内部 行为。对于可疑的员工连接关键资产一定要引起足够重视。这种异常不一定是一个违规 行为，可以结合外部的威胁情报作为重要的调查信息。案例：通过外部威胁情报获取公 威胁 司员工在招聘网站有简历变动的情况，有可能会离职，结合上面发现的可疑员工的违规 行为判断出内部危胁情况 传统局部的、各自为政的、基于特征的信息安全解决方案在当今世界信息安全争夺战中 外部 已经暴露出极大的不足 ，高级恶意攻击检测类系统结合威胁情报对已知及未知威胁的恶 威胁 意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入 侵途径及攻击者背景的研判与溯源，把危害损失降到最小。 目录 CONTENTS 02 多维检测与威胁情报 全方位攻击检测流程图 多角度不同视点看高级恶意攻击检测 线索分析多维度分析 多维威胁情报库中包含全球APT攻击事件、各种远控木马、扫描器、webshell等规则 针对各种攻击行为进行识别 Part 03 发现一条重要线索 针对发现重要线索进行下一步工作及案例分析 全球著名的joomla 内容管理系统漏洞 专家取证分析 通知用户方 对报警数据进行 进行后续的漏 取证分析