威胁管理战略_APT_DTAS答辩.pptx

Classification 5/29/2017 1 云时代威胁管理战略 林义轩Jay Lin Classification 5/29/2017 2 威胁管理战略说明 国内案例分享 威胁发现设备详细说明 最近的信息安全情况 進階持續性威脅 具系統存取權 限的合法人員 利用系統弱點 進行感染攻擊 傳統的資安機制已不足以保護您重要的資產… APT刻苦型攻擊手法 使用者 1.攻擊外部伺服器的弱點 主管 管理者 駭客 外部伺服器 APT惡意郵件攻擊手法 郵件伺服器 使用者 1.準備好惡意信件內容並在郵件中夾帶含後門程式的文件檔案。 駭客 主管 管理者 实际案例 – 假造电信账单 2017/5/29 Classification 7 看似正常的发件人 看似正常的电子账单PDF档案 开启账单后，会发生哪些事件？ 2017/5/29 Classification 8 产生新的病毒档案 背景自动联机浮动IP主机 注册机码＆系统服务，让病毒在重开机后仍会自动执行 Malware/Bot/APT 威脅比較表 APT 殭屍 惡意代碼 威脅模式 計劃性的組織化攻擊 區域性大量散播 區域性大量散播 服務中斷 不會 不會 會 散佈對象 Targeted 目標性 (僅針對少數特定單位/組織為對象) 非目標性的大量散播 非目標性的大量散播 攻擊目的 長期竊取特定情報/資料 個人交易憑證/信用卡資料/帳號密碼/隱私資料 竊用運算/網路/儲存資源 當成攻擊跳板 隨機 攻擊頻率 不間斷的 一次 一次 攻擊手法 Zero-Day exploit 社交工程 惡意信件/魚叉式釣魚 植入RAT / 後門程式 已知 Exploits Pack 植入可供大規模控制的Bot 程式 視惡意程式設計而定 樣本偵測率 一個月內偵測率低於10% 一個月內偵測率大約86% 一個月內偵測率大約99% Malware/Bot/APT 比較表 大規模的散播 針對性 Malware 高 惡意程式 變化率 APT Botnets 傳統 Anti-Malware 解決方案涵蓋 低 惡意程式 變化率 客户的现况 33% 入侵 都是在分钟就完成 , 80% 在1 天就能完成入侵 但是大部分发现时间与治理时间都要超过一周甚至于1 个月 -- 缺乏威脅的可見性與預警系統 Source: Verizon 2011 Data Breach Report 威脅入侵 威脅被发现 治理時間 传统防治方法 防病毒软件进行扫描及清除 倡导员工不开起可疑电子邮件 利用GSN黑名单阻挡联机 專家的看法 “Zero-Trust” security model Use of Network Analysis and Visibility Tools “Lean Forward” proactive security strategy Use of Network Threat Monitoring Tools “Real-Time Risk Management” Use of Threat Monitoring Intelligence US Federal Risk Management Framework Calls for “Continuous Monitoring” 恶意代码侵入感染周期  14 14 时间 $$ 损失 恶意程序持续活动 恶意程序已经处理 窃取/扩散 恶意代码内网活动 智能防火墙/检测设备. 潜伏 防毒软件＆防火墙入侵检测方案 是否可以能更快分析出恶意文件? 未知威胁预警系统 入侵 感染 沙盒系统说明-恶意程序触发行为分析 Classification 5/29/2017 15 高阶启发式分析方式: 恶意代码下载行为 文件漏洞行为 殭尸网络通讯与恶意连网行为 系统修改,调用注册机码与系统文件行为分析 过滤暨分析流程 每日约有数万封带有夹档的信件/下載 分析结果可得到哪些信息 发件人 mail address (通常为伪冒账号) 发送邮件的 SMTP 主机地址 收件者 mail address (黑客攻击目标) 获得恶意软件载体 (样本档案) 获得恶意软件的样本 增生的病毒文件名及所在目录 中继站联机方式以及联机地址 遭窜改／新增的系统档案、登录表 遭植入的系统服务 18 恶意软件行为分析报告 DTAS : 恶意软件分析  网络链接存取活动 2017/5/29 19 Classification 检查侦测样本档案 档案数值分析 威胁事件记录提取 威胁风险等級 CC 服务器清单 DTAM : 恶意软件分析仪表板 2017/5/29 20 Classification 提供 PCAP 档案 DTAS 结果 提供CC 服务器清单 Information from DTAS C