从攻击者视角看待企业安全.PDF

Mark.ma@ 从攻击者视角看待企业安全 马晨 近期安全事件 提纲 从攻击者视角看待安全 以资产为核心 做了这么多的合规、基线、补丁稽查，却仍然做不好安全？ 投入成本低？ 安全团队消极怠工？ 安全防护设备功能不够？ 视角不同！ 传统漏洞扫描或安全检测产品大多是以合规为导向 企业安全建设与运营大多以被动式防御为主 攻 技术层面：防御通常比攻击慢半拍 防 体 信息不对称：攻击者 安全人员 系 如：社工库、信息渠道获取分享、社会工程学 的 攻击面：防护 - 需要考虑到方方面面 不 攻击 - 目标明确，有各种绕过防护的方法 对 经济角度：攻击 - 收益明确、主动性强 称 防御– 工作被动、常抱有侥幸懒惰心理 攻击者如何思考？以一个0-Day举例 及时获取最新的漏 抢占先机，实现漏 洞信息 洞利用 准确快速 发现哪些IT资产存 在漏洞 Struts2-032，0-Day集中式爆发一瞥 作为企业，如何快速有效的解决问题？ 第一时间获取威胁情报 及时梳理，哪些资产上存在问题？ 缓解措施 修复方案 然而，道理都懂，说起来容易，做起来难。HOW？ 有安全预警渠道、哪些资产上存在漏洞、检测工具、修复方案？ 以资产为核心 资产画像 域名 IP 端口 服务 类别 用途 指纹 • 域名 • 网站标题 • Headers 关联度 权重 • Meta, Keyword, Desc • SSL证书信息 • …… 互联网 子公司、合作方 资 网络 产 信 内网 任 边 界 划 IT资产 分 建立企业