智能运维安全监控引擎实践.pdf

智能运维安全监控引擎实践 乌云 章华鹏 关于我 • 独立思考的白帽子黑客，booooom • 曾就职于百度云安全部门 • 乌云，唐朝安全巡航产品负责人 未知攻，焉知防 黑客是如何对企业进行攻击的？ 确定目标 寻找薄弱点 实施攻击 黑客攻击的目标 • 数据是企业的核心资产 • 数据在哪？ 互联网边界 企业内网 潜在攻击目标 域名 IP 边界资产 应用 服务 寻找薄弱点 • 第三方应用程序风险 「Wordpress/Discuz/OA 等等」 • 自研应用程序漏洞「SQL注入/跨站漏洞/设计缺陷 等等」 • 系统基础服务漏洞「配置错误/未授权访问 等等」 • 员工安全意识导致的风险「弱口令/Github代码泄露/通用密码 等等」 一些相关的CASE • discuzx有条件远程命令执行 来自Jannock@wooyun • 神器而已之惠卡贷任意用户登录/任意敏感操作 （转账等） 来自Friday@wooyun GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC • 互联网多台MongoDB服务器未授权访问内存大量 用户与群等敏感数据 来自路人甲@wooyun • 哔哩哔哩敏感信息泄露 来自路人甲@wooyun 神器而已之惠卡贷任意用户登录/任意敏感操作（转账 等） 直接把用户的账号密码在某数据查询接口中返回 GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC 哔哩哔哩敏感信息泄露 • 员工将内部代码公开托管到github GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC 实施攻击-安全是一个整体 • 突破边界,漫游内网 • 企业核心数据的流转和内部网络的互通 GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC • 安全是一个整体 • 木桶效应 智能运维安全监控引擎实践 • 像黑客一样思考，先于黑客发现问题 GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC 互联网边界 智能风险 安全专家 资产挖掘 检测引擎 定制策略 互联网边界资产挖掘 • 安全是一个整体，互联网边界资产的识别是整体 风险监测的前提 GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC GITC • 子域名IP挖掘