手机版
首页 >> 科技>> 正文

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产

2020-08-13 22:34来源:互联网编辑:小狐

核心技术是强国之匙,当今世界,信息技术的迅猛发展特别是互联网技术的广泛应用,极大地促进了全球的经济文化发展。但与此同时,技术是一把“双刃剑” 网络安全也正临新。

网络空间对抗升级,ATT&CK 框架构建安全基石

ATT&CK作为近几年最火的攻击框架,对于安全行业的实际检测有很强的指导性价值。它覆盖的攻击技术非常庞杂和具体,大概有200多项技术点。而随着对抗的升级,域安全在红蓝对抗中越来越重要。

基于此,青藤云安全COO 程度以“ATT&CK高频攻击技术的分析与检测”为议题,围绕ATT&CK技术使用频率、攻击技术检测分析框架、ATT&CK技术需要收集的数据类型频率分布、ATT&CK数据源与事件日志、Valid Account 攻击等进行了深度探讨。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图1)

其中,ATT&CK高频技术方面还对Valid Account 攻击、Powershell 攻击、Masquerading攻击、Credential Dumping攻击、Scheduled Task攻击等五方面进行了详细的介绍和分析。

1、Valid Account 攻击

程度提出,攻击者会使⽤利⽤漏洞获取凭证访问的权限技术来窃取⼀个特定⽤户或服务账户的⽤户名密码或凭证,或者是通过社会⼯程学侦查获得特定⽤户或服务账户的⽤户名密码或证书,从⽽获得初始访问的权限。而攻击者可能使⽤的账户分为三类:默认账户、本地账户和域账户。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图2)

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图3)

针对检测分析,程度列举出两类不同的数据源。

异常登陆,可监测所有登录时间,是否在非正常时间和非正常地点登录。

变更,可监测所有的新增,修改。

数据源为变更事件、异常登录事件

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图4)

Windows:监视创建LSASS.exe的Windows日志,验证LSASS是否作为受保护进程启动;监视程序执行的进程和命令行参数。例如PowerSploit的Invoke-Mimikatz模块;监控域控制器日志以查找可能与DCSync相关的复制请求和其他未安排的活动;监视来自与已知域控制器无关的IP的网络协议 和其他复制请求。

Linux:要获取存储在内存中的密码和哈希,进程必须在/proc文件中打开要分析的进程的映射文件。该文件存储在/proc/maps路径下,其中目录的唯一的pid;AuditD监控工具,在许多Linux发行版中都,可用于监视在proc文件中打开此文件的恶意进程,警告pid,进程名称和此类程序的参数。

数据源为进程监控,进程命令行参数,API监控,PowerShell日志

2、Powershell 攻击

程度提出,攻击者可以使用PowerShell执行许多操作,包括信息发现和执行恶意代码。例如,使用Start-Process cmdlet运行恶意的可执行文件,使用Invoke-Command cmdlet在本地或远程计算机上执行命令。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图5)

针对入侵分析,程度提出了三点。

绕过本地权限执行,即上传xxx.ps1到目标,在cmd的环境下,在目标本地执行该脚本。

本地隐藏绕过权限执行脚本。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图6)

针对检测分析,程度提出,如果攻击者获得员或访问权限,可能会通过注册表或命令行来定义自己的执行策略。可从以下几种方式进行检测:

监控与PowerShell特定程序集相关的artifacts的加载和执行,例如System.Management.Automation.dll(特别是异常的进程名称/位置)

记录PowerShell日志,以更好的获知执行期间发生了什么(适用于.NET调用)

在数据分析平台中收集PowerShell执行细节,以补充其他数据。

数据源为PowerShell日志,加载的DLL,DLL监控,Windows注册表,文件监控,进程监控,进程命令行参数。

3、Masquerading攻击

为了逃避防御和监控,攻击者会利⽤伪装,来操纵或滥⽤合法或恶意的可执⾏⽂件的名称或位置。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图7)

针对入侵分析,程度提出,会将windows伪装成svchost:把恶意exe⽂件重命名成svchost,放到其他⽬录中运⾏。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图8)

针对检测分析,程度提出,以下几点:

磁盘文件名与二进制文件的PE元数据的文件名不匹配,则可能表示二进制文件在编译后已重命名。通过查看InternalName,OriginalFilename和ProductName是否与预期匹配来收集和比较二进制文件的磁盘和资源文件名可以有用的线索,但可能并不总是指示恶意活动。

对于RTLO,检测方法应包括在文件名中查找RTLO字符的常见格式,例如“ u202E”“U + 202E”和“E2%80%AE”防御者还应检查他们的分析工具,以确保他们不解释RTLO字符,而是打印包含它的文件的真实名称。

数据源为文件监控,进程监控,二进制文件元数据。

4、Credential Dumping攻击

程度提出,攻击者可以使⽤凭证执⾏横向移动并访问需要较⾼权限才能访问的信息,且攻击者和专业安全⼈员都可以使⽤此技术中提到的⼏种⼯具。也可能存在其他⾃定义⼯具。可以使⽤Mimikatz、Cain、creddump7在本地处理SAM数据库,以检索哈希值。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图9)

针对入侵分析,程度提出,lsass.exe的内存经常会被转储,以进⾏离线凭证窃取攻击。可以使⽤Windows任务器和权限,⼯具ProcDump,或者mimikatz来实现。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图10)

针对检测分析,程度提出以下几点:

攻击者⼀般都通过powershell执⾏恶意命令,⽽且在执⾏powershell时,必然需要使⽤参数 -execbypass来绕过执⾏安全策略,这是⼀个很强的检测点。

监控命令⾏和进程创建事件,mimikatz,reg save HKLMsam sam,reg save HKLMsystem system,reg save HKLMsecurity security,这些都是很好的特征。

数据源为进程监控,进程命令行参数,API监控,PowerShell日志 。

5、Scheduled Task攻击

程度提出,攻击者使⽤at、schtasks和Windows任务计划程序在某个时间执⾏程序或脚本。如果使⽤RPC(通过身份验证)并且⽂件和打印机共享都被打开的情况下,还可以在远程上执⾏计划任务;在远程上执⾏计划任务通常要求该成员是Administrators组的成员;攻击者可以在计划任务中执⾏恶意程序,从⽽实现持久化,获得SYSTEM权限,或者在指定帐户的上下⽂中运⾏进程。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图11)

针对入侵分析,程度提出在Windows下,员权限,攻击命令为创建计划任务。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图12)

而针对检测分析,数据源为Windows事件日志,监视进程和命令⾏参数以了解可⽤于创建任务的操作。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图13)

基于以上探讨,程度总结出“威胁狩猎=高质量数据+异构数据源的连接+强大的分析引擎+灵活的分析语言”

深挖难点:空间测绘精准感知,筑牢安全防御体系

万物互联,攻击无孔不入,无处不在。伴随5G、IPv6、人工智能、云计算等新技术的涌入,数以百亿的资产设备暴露在未知威胁之下,世界级安全风险呈超指数级倍增。如何利用网络测绘手段精准、实时、智能的感知网络空间安全态势,及时感知威胁、识别定位资产,成为网络安全防御体系重要一环。

作为威胁分析、安全研究方面的专家,华顺信安联合创始人、首席安全官的邓焕就网络空间测绘技术现状进行了分析,并从攻击者视角了来自黑灰产业的真实攻击事件及华顺信安在网络空间测绘技术方面的思考和实践。

邓焕提出,当前,网络空间测绘技术存在攻防体系的不对称,如在技术层面防御通常比攻击慢半拍;信息不对称,攻击者 > 安全人员等问题,需具备攻击者视角。如以攻击者视角利用全网探索探索引擎快速搜集业务ICO、CERT证书、子域名、同IP/IP段信息。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图14)

邓焕谈到,随着网络资产数字化,用户正面临着资产难以快速、全面、精准地,传统产品扫描缓慢、无法第一时间发现安全风险及网络威胁等痛点。目前阶段防守方大多抵挡不住来自的攻击,主要是因为攻击者关心的永远不是用户的IP资产,而是用户IP资产上对应的漏洞。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图15)

攻守有道,攻与守本身作为一对对立统一的矛盾,在互相对抗的同时又互相促进。邓焕认为这就意味着在数字时代局势下要转变以往的网络安全策略。只有实现网络资产的精准扫描,快速补漏,才能立于不败之地。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图16)

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图17)

邓焕最后强调道,网络空间资产安全防护不足主要原因是我们甚至不知道的存在,而网络空间测绘技术便解决了这个问题。近年来,华顺信安聚焦网络空间测绘技术,旗下的FOFA平台搜索引擎拥有全球联网IT设备更全的DNA信息。可以把全球暴露在公网上设备的端口、协议、应用,甚至漏洞进行纵深的扫描,对资产的安全进行建模刻画。相信未来网络空间测绘技术或将成为网络安全的基础技术。

深耕攻防之道,安全分析技术一网打尽前沿网安黑科技

绿盟科技伏影实验室安全研究员杜元正了关于“图卷集神经网络的样本家族分类”的相关研究进展。目前,可执行程序黑白二分类的技术相对成熟,在此基础上进行由功能、代码复用情况对恶意可执行程序进行多分类成为下一个突破方向。

演讲中,杜元正了其研究团队针对此方向的研究历程,团队首先使用APILIB调用序列作为特征对可执行文件进行分类,但由于恶意样本家族之间的APILIB调用序列的特异性不足,导致分类结果不理想。随后更换特征提取思路,以恶意样本的控制流图(Control Flow Graph, CFG)作为特征、使用可以采集图特征的图卷积神经网络(Graph Convolutional Nerual Network)进行多分类。

其中,控制流图具有图结构和和节点属性两个特征,且通过图卷积层对图结构与节点属性的特征采集,具有以下特征:

节点属性缩放

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图18)

节点属性传播

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图19)

针对排序池化层,杜元正提出,控制流图节点数量任意,因此特征图大小任意; 在分类前,使用排序池化层固定特征图的维度。而排序原则,即对于一个大小为M*N特征图,根据第N列的值排序,若相等,则比较第N-1列的值,以此类推。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图20)

理想·环境下的分类结果,杜元正表示,使用恶意样本控制流图作为多分类特征,使用图卷积神经网络对分类特征进行分类,理想环境下分类效果拔群。

恶意样本图节点属性缺失的情况下,分类:仅凭恶意样本的图结构进行分类

恶意样本增加图节点属性后,收敛的所需要的轮数减少了30%

与此同时,研究团队在此过程中遇到了两个工程问题但最终得以解决,其一是缺数据,最终通过做数据增强成功解决,其二是关于壳保护技术,研究发现利用“壳函数不会调用恶意样本自定义函数、恶意样本自定义函数不会调用壳函数”的这一特点,能够成功分离壳特征。就壳保护技术解决方案如下:

壳特征分离,可见恶意样本函数调用图,包括壳函数调用图以及恶意样本本地函数调用图。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图21)

基于“壳函数不会调用恶意样本本地函数,恶意样本本地函数不会调用壳函数”的观测结果,分离壳函数调用图与恶意样本本地函数调用图。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图22)

沙箱建设。通过注入插桩代码,在不影响程序动态执行结果的前提下,在程序执行过程中插入特定分析代码,实现对程序动态执行过程的监控与分析。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图23)

等保2.0时代,信息技术开启合规之路

等保2.0时代高位启航一周年有余,显然对信息技术者、使用单位等提出了新的要求,全面护航自身安全隐患和不足,提高信息技术的安全防护能力,成为一大难题。

沈昌祥从以下三个方面进行了详细分析:

1、用科学网络安全观构建新基建网络安全主动免疫新体系

“一种”新模式,计算同时进行安全防护。主动免疫可信计算是一种运算同时进行安全防护的新计算模式。

“二重”体系结构,计算部件+防护部件。建立免疫、反腐败子。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图24)

“三重”防护框架。可信安全中心支持下的主动免疫三重防护框架,“安全办公室”“警卫室”“安全快递”

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图25)

“四要素”人机可信交互。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提,必须对人的操作访问策略四要素(主体、客体、操作、环境)进行可信度量、识别和控制。

“五环节”可信设施。加强基础设施全程安全管控,用可信密码等技术检测、预警、恢复等措施确保设施各环节安全可信。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图26)

“六不”防护效果,即攻击行为赖不掉、和信息改不了、非授权者重要信息拿不到、攻击者进不去、窃取保密信息看不懂、工作瘫不成。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图27)

2、打造主动免疫可信计算3.0新型产业空间

开创可信计算3.0时代 。中国可信计算源于1992年立项研制免疫的综合安全防护(智能安全卡)于1995年2月底通过测评和鉴定。经过长期军民融合攻关应用,形成了自主创新安全可信体系,开启了可信计算3.0时代。

抢占核心技术制高点 摆脱受制于人,完备的可信计算3.0产品链,将形成巨大的新型产业空间。如可信主机分多核CPU内实施可信并行结构和主板上加装TPCM+TCM模块,老设备可以方便地通过可信网络支撑平台把现有设备升级为可信计算机,而应用不用改动,便于新老设备融为一体,构成全安全可信。

3、按等保2.0构筑新基建网络安全底线

等保2.0新标准把云计算、移动互联网、物联网和工控等采用可信计算3.0作为核心要求,筑牢网络安全防线。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图28)

等保2.0新标准要求5G安全架构。5G网络在传统电信云的基础上引入NFV/SDN等技术进行ICT融合,将移动通信网络云化、虚拟化和软件化,使网络变得更灵活、敏捷和开放。

ISC,8月13日-16日的技术日多个论坛中,网络空间测绘,以发现更多的企业资产(图29)

基于众多嘉宾的探讨,不难发现,当今网络安全市场, 等级保护新标准的发布与实施,对网络安全产品市场起到推波助澜的作用,使得多种技术和产品得到广泛的应用和部署,不仅促进此类产品的进一步发展,也促进了网络安全防护水平的进一步提升。

ISC2020技术日期间精彩不断,全球顶尖嘉宾接连聚焦热点、难点问题,共谋网路安全发展之道,还有安全与、XDR分析检测、漏洞与研究、移动安全等多个分论坛同步上线。未来几天,ISC2020产业日、人才日等主题日将陆续开启,还有ISC夜谈、ISC Talk、CXO等特色活动持续开播,为永不落幕的安全大会注入最前沿、最专业的基石。

本文相关词条概念解析:

网络空间

网络原指用一个巨大的虚拟画面,把所有东西连接起来,也可以作为动词使用。在计算机领域中,网络就是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的。凡将地理位置不同,并具有独立功能的多个计算机系统通过通信设备和线路而连接起来,且以功能完善的网络软件(网络协议、信息交换方式及网络操作系统等)实现网络资源共享的系统,可称为计算机网络。

网友评论Translation

推荐文章

徐峥谈《囧妈》:细节源自真实生活,希望喜剧有更多空间
徐峥谈《囧妈》:细节源自真实生活,希望喜剧有更多空间
新京报讯(记者 李妍)11月22日,徐峥“囧系列”新作《囧妈》在中国金鸡奖期间举行发布会。发布会以“我与妈妈二三事”主题脱口秀方式展开,呼应出对经典喜剧风格的致敬。徐峥表示:“这就是我要讲的故事。”主
查看详情>>
TCL空调开拓进取,智能屏蔽无形的环境压力
TCL空调开拓进取,智能屏蔽无形的环境压力
你有没有想过世界将来呢?终极家园是什么?TCL全球品牌代言人马天宇带您来到TCL致力于建筑的未来家园,与您一起感受未来科技的力量。未来家园与世界:你陪伴得越多,你就越了解在薄平面上探索数以万计的未知数
查看详情>>
19999元的价格贵吗,小米电视大师82英寸版,去掉了至尊的它相对来说就普通多了
19999元的价格贵吗,小米电视大师82英寸版,去掉了至尊的它相对来说就普通多了
“以前没钱买小米,现在没钱买小米”我想这应该是很多资深米粉的内心声音吧!从去年9月底小米发布一款定价19999元的小米MIX Alpha,到后来又将电视一口气19999元、49999元,现在又一款定价
查看详情>>
生成的这些图像看起来非常怪异,根据文本生成图像
生成的这些图像看起来非常怪异,根据文本生成图像
在全球所有 AI 模型中,OpenAI 的 GPT-3 最能引发公众的遐想。虽然它可以仅凭很少的文本来输出诗歌、短篇小说和歌曲,并且成功地让人们相信这是人类的创作。但是,它在同人类对话时还是显得非常“
查看详情>>
倒计时 | 2018南京江北新区未来光通信网络发展论坛隆重来袭
倒计时 | 2018南京江北新区未来光通信网络发展论坛隆重来袭
会议名称:《2018南京江北新区未来信网络发展论坛》会议时间:2018年10月19日会议地点:南京·江北新区研创园腾飞大厦指导单位:南京市江北新区委员会主办单位:南京江北新区产业技术研创园2、非讯石会
查看详情>>
这就意味着安卓也不免费了,所以谷歌开始收费,这是一个建立生态的机会
这就意味着安卓也不免费了,所以谷歌开始收费,这是一个建立生态的机会
手机市场一直是两大,安卓和iOS,本来还有一个Windows Phone ,但是因为起步较晚,不受软件商的重视,即使是财力和技术强大的微软也没能把Windows Phone 盘活,所以就剩下了iOS和
查看详情>>
而有线入耳式的降噪耳机却不多见,选择有线耳机
而有线入耳式的降噪耳机却不多见,选择有线耳机
目前市面上的降噪耳机,大多以无线为主。有索尼、Bose那种头戴式无线蓝牙耳机,还有苹果Airpods这种入耳式真无线蓝牙耳机。而有线入耳式的降噪耳机却不多见。恰逢新浪众测积分商城上架了一款小鸟有线降噪
查看详情>>
AI助力,旷视从2017年进入物流领域
AI助力,旷视从2017年进入物流领域
北京商报讯(记者 魏蔚)8月13日,北京商报记者从旷视获悉,2020年中国物流技术峰会(LT Summit 2020)颁出多个奖项,旷视凭借将AI算法与物流技术结合,获得“年度最佳企业奖”是四家获奖企
查看详情>>
说起中国制造,成为全球笔记本电脑的制造中心,或抢走50%份额
说起中国制造,成为全球笔记本电脑的制造中心,或抢走50%份额
说起中国制造,想必作为一个中国人都是非常骄傲的,因为全球90%的笔记本电脑,90%的电视机,80%的手机,还有众多的电子数码产品,都是在中国生产的。而从制造业的规模来看,中国制造业的规模也是全球最大的
查看详情>>
手机市场全面涨价已经成为必然,消费者的消费观念很有可能就此发生改变,换机周期加长
手机市场全面涨价已经成为必然,消费者的消费观念很有可能就此发生改变,换机周期加长
进入2020年之后,手机市场的竞争愈发激烈。友商全力冲击高端机市场,同时利用套娃策略,不断扩大在中低端市场的销量。对于大部分消费者来说,中低端市场手机的价格也与高端机市场的价格逐渐两极化。比如说在中低
查看详情>>
无限木头资讯(www.weixiumatong.com)| 手机版