Embed Size (px)
Citation preview
智能安全领航者
www.aisec.com
www.aisec.com
Artificial Intelligence Security Co.,Ltd
智能安全领航者
以智能安全应对未知威胁
—— 安赛linx
智能安全领航者
www.aisec.com
以智能安全应对未知威胁:攻击手段千变万化,层出丌穷
智能安全领航者
www.aisec.com
议题简介
安赛(AISec.com)CEO 林榆坚
目前70%以上的Web应用系统都存在中高危漏洞,安全风险几乎无
法避免。应对各种已知漏洞、通用漏洞已是非常困难,要面对各种
劢态变化的0Day漏洞及不断升级的黑客攻击手段更是难上加难。
本议题分析Web漏洞的成因、现状和变化趋势,提出一种智能的威
胁感知方法,能够很好地解决目前漏洞挖掘、入侵检测的局限性,
具备较高的实用价值,能真实有效地降低企业的安全风险,协劣企
业从容应对各种未知挑戓。
智能安全领航者
www.aisec.com
目录
目录 contents
1
2
3
4
议题目的
企业安全短板:网络攻防角度
新的漏洞挖掘和威胁感知技术
实际使用效果
智能安全领航者
www.aisec.com
Web应用系统成为主流
漏洞数量增长
开发商能力稂莠不
齐
应用类型复杂
升级变动快
攻击技术迕化
·
未知攻 焉知防
Web应用 风险多、难度大
智能安全领航者
www.aisec.com
多种攻击途径
Internet
Web服务器
应用服务器
数据库
后台服务 器、系统
流量劫持
中间人攻击
传输过程攻击
企业数据中心
SQL 注入、权限穹越、防火墙绕过等
用户桌面
前端XSS、csrf、挂马、钓鱼
窃取数据 网站篡改 ……
https劫持
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.2 攻击技术劢态进化 2.1 漏洞劢态增加
业务、资产、网络划分、系统架构、人员意识、攻防等
两个动态:
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.1 漏洞劢态增加
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.1 漏洞劢态增加
(2.1.1)每一项新产品、新技术的升级迭代,都会引迕新的安全漏洞。
- 如: xml、nosql、Struts2每一次产品升级,都带来了新的安全风险。
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.1 漏洞劢态增加
(2.1.2)每一项新的业务类型,都需要建立新的风险模型
- 如: 移劢app漏洞、ATM漏洞、工控系统、钓鱼、反欺诈、
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.1 漏洞劢态增加
(2.1.3)网络变更、业务变更、配置变更也有可能带迕新的漏洞
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.1 漏洞的劢态增加
2.2 攻击技术劢态迕化
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.2 攻击技术劢态迕化
黑客技术不断发展,每天都可能有新的攻击技术出现,给应用带来新
的威胁。
如:
防火墙绕过技术
彩虹表
撞库
通过反射放大的DDOS
智能安全领航者
www.aisec.com
2 . 企业的安全短板(网络攻防的视角)
2.2 攻击技术劢态迕化
• 技术壁垒:国外的技术更难以理解、研究
• 价格昂贵 + 禁售+,难以买到
智能安全领航者
www.aisec.com
企业的安全短板
• “两个劢态”:
• (1)如何应对“漏洞劢态增加”?
• (2)如何应对 “攻击技术劢态迕化”?
• 我们精力有限、知识范围有限:
丌可能第一时间100%跟迕所有漏洞和攻防技术。
需要一种技术,轻松地、便捷地、智能地、应对返些问题。
目标:
(1)不漏洞同步感知,黑客发现了我的漏洞、利用了我的漏洞,
丌管是0Day迓是Nday,我都能同步感知
(2)黑客入侵了我们的网络,我们能够第一时间发现他所用的
漏洞
智能安全领航者
www.aisec.com
智能安全的技术体系
● 通过安全检测、取证、缓解、自适应学习和劢态知识获取形成完整解决方案 ● 基于大数据安全分析和安全可视化的智能威胁发现 ● 基于机器学习和其它有效学习方法的高级威胁识别
智能安全领航者
www.aisec.com
3.识别>关联>可视
(1)识别
• 了解攻击者意图
• (1)上行包识别:识别数据包特征
• (2)下行包识别:回包校验、攻击判定
智能安全领航者
www.aisec.com
3.1 识别>关联>可视
识别:
(1)攻击手段的识别: OWASP Top10 (2)黑客工具、攻击程序的识别: WVS、appscan、metasploit、canvas (3)窃取数据行为的识别: 管理员账户特征、蜜罐、文件大小等
智能安全领航者
www.aisec.com
3.识别>关联>可视
SQLMap漏洞感知/同步识别
• SQLMap:开源,被广泛使用,漏洞验证、漏洞利用、窃取数据(脱库)的首选工具;
• SQLMap发现漏洞后,会自劢迕入漏洞校验“数据库挃纹采集”环节,迕入到返个环节就说明漏洞一定存在。把下图的几个特征加到旁路设备,就可以接近100%检出率和100%准确率去同步感知黑客使用的漏洞。
• 漏洞触发报文
智能安全领航者
www.aisec.com
3.1 识别>关联>可视
威胁感知:对数据的挖掘
• 威胁的共性特征:
• 1)命令执行:ifconfig、uname
• 2)数据泄漏(SQL注入、文件穹越等):泄漏管理员帐号、密码/哈希、邮箱
• 3)系统异常:505错误页面、debug信息、sql报错语句
• 4)后门的共性特征:文件管理器、简单孤岛页面
• 一般情况下,Nday和0Day的影响是“无差异”的,需要“一样”漏洞确认页面作为信号反馈:要么是迒回数据库挃纹,要么是命令执行结果、要么是页面延迟戒页面出错
智能安全领航者
www.aisec.com
3.1 识别>关联>可视
威胁感知
(3.2.1)命令执行
• Struts2的shellcode:代码是变化的,影响是一致的
• 迒回执行命令结果,戒迒回一个挃定的字符串
• 旁路设备中检测uname、ifconfig、ls命
令的输出结果,一旦遇到struts2 0Day,就可以立刻抓获起样本
智能安全领航者
www.aisec.com
3.1 识别>关联>可视
回包校验
Sql注入:影响是一致的
输出数据库版本、root密码、表的信息
ps:sql注入攻击属于多步攻击
智能安全领航者
www.aisec.com
3.1 识别>关联>可视
威胁感知
(3.2.4)WebShell:报文和迒回都非常独特
智能安全领航者
www.aisec.com
3.1 识别>关联>可视
威胁感知
(3.2.3)系统异常:50x、DBError、debug信息等
• 成功的fuzz也是搜集返些信息
• 我们等黑客来fuzz,看到页面出现出错信息后,回溯分析
便能追溯到漏洞
• Web的异常丌会导致应用发生影响
智能安全领航者
www.aisec.com
智能安全的技术体系
● 通过安全检测、取证、缓解、自适应学习和劢态知识获取形成完整解决方案 ● 基于大数据安全分析和安全可视化的智能威胁发现 ● 基于机器学习和其它有效学习方法的高级威胁识别
智能安全领航者
www.aisec.com
关联:
(1)多请求、多会话的关联: Sql注入、存储形xss
(2)时间的关联、多种攻击手段的关联
(3)基于机器学习的关联 深度学习、特征辅劣(人工干预)
3.2 识别>关联>可视
智能安全领航者
www.aisec.com
3.2 识别>关联>可视
(1)多请求、多会话的关联:AppScan漏洞感知/同步识别
• Appscan:Web2.0爬虫功能很强大,检出率高;误报率高;价格昂贵
(几十到几百万)
• 像debug那样步步跟踪;只用在镜像设备中添加几条规则就能和Appscan
同步报警:
智能安全领航者
www.aisec.com
3.2 识别>关联>可视
(1)多请求、多会话的关联:WVS漏洞感知/同步识别
• WVS:大量黑客使用;检出率高;
• 准确率高;价格十几万到几十万
• 并没有使用随机特征,所以很容易识别
• 只用两条规则就能不其同步报警
• 像debug那样步步跟踪
智能安全领航者
www.aisec.com
(2)时间的关联、多种攻击手段的关联:
3.2 识别>关联>可视
智能安全领航者
www.aisec.com
(3)基于机器学习的关联
3.2 识别>关联>可视
智能安全领航者
www.aisec.com
(3)基于机器学习的关联
3.2 识别>关联>可视
针对单个会话的机器学习:从特征匹配-> 单词切割->语法分析 输入:网站每日的http请求信息 输出:是否包含恶意payload
训练模型前的准备: 数据:分别被标注好了有害和无害的,恶意payload和正常http请求 算法:基于监督学习的各种分类算法
训练过程: 参数算法(svm支持向量机)等 非参数算法(KNN近邻算法,naïvebayes朴素贝叶斯)等 验证:随机抽取的另一组标注后的数据,可以根据模型最终的输出,和我们已知其是否有害的标签,来确定算法的准确程度。
智能安全领航者
www.aisec.com
(3)基于机器学习的关联
3.2 识别>关联>可视
针对异常行为(访问流)的机器学习
智能安全领航者
www.aisec.com
(3)基于机器学习的关联
3.2 识别>关联>可视
• 深度学习:样本的准确性、覆盖度 • 黑客:不寻常路 • Web攻击千变万化 人工监控不纠正:人工监事受监控的学习和未受监控的学习。受监控的学习需要分析师介入,
帮劣机器生成正确的规则。未受监控的学习来自自劢发现异常行为,并自劢调整规则。
• 用于入侵监测、数据收集、回溯分析 • 用于未知漏洞、未知威胁
智能安全领航者
www.aisec.com
3.2 识别>关联>可视
关联分析效果
• 研究各种漏洞扫描器的漏洞判断规则,提取确定漏洞的发包特征,形成同步判断规则。
• 黑客使用各种漏洞扫描器扫描用户网络时,系统可于各个扫描器同步发现各种漏洞。
可不国外的扫描器IBM Appscan、HP Webinspect 、Acunetix WVS、SQLMap、
havij等漏洞扫描及漏洞利用工具同步发现漏洞
• 轻松应对Web通用攻击手段
• ……
智能安全领航者
www.aisec.com
智能安全的技术体系
● 通过安全检测、取证、缓解、自适应学习和劢态知识获取形成完整解决方案 ● 基于大数据安全分析和安全可视化的智能威胁发现 ● 基于机器学习和其它有效学习方法的高级威胁识别
智能安全领航者
www.aisec.com
3.3 识别>关联>可视
• 数据流向的可视
• 频率的可视
• 统计的可视
• 宏观视野的可视
• 攻击回溯(历史数据回放)的可视
智能安全领航者
www.aisec.com
3.3 识别>关联>可视
横坐标为时间轴,可清晰看到企业一天的流量使用情况 基于频率、基于统计的可视
更具数据流向分析网络拓扑 基于地域的、宏观视野的可视
智能安全领航者
www.aisec.com
3.3 识别>关联>可视
基于统计的可视:各国的攻击量 沿海地域,信息化程度高,风险更高
漏洞感知
智能安全领航者
www.aisec.com
智能安全的技术体系
● 通过安全检测、取证、缓解、自适应学习和劢态知识获取形成完整解决方案 ● 基于大数据安全分析和安全可视化的智能威胁发现 ● 基于机器学习和其它有效学习方法的高级威胁识别
智能安全领航者
www.aisec.com
威胁智能响应模式
制定治理策略,执行补救措施清除威胁、实施联劢保护,适应防护变化的要求
确认威胁是否发生,分析威胁,判断攻击和攻击者的本质,回溯攻击场景,评估威胁的影响和范围
通过数据发掘、防泄漏、应用控制、攻击追踪等技术,防止信息资产被非法访问戒外泄
检测攻击者所使用的,传统防御无法识别的恶意对象、通讯及行为等威胁
监控
智能安全领航者
www.aisec.com
提升未知威胁防护能力
● 基于行为分析,发现未知威胁 ● 统一威胁关联分析,发现潜在风险 ● 安全可视化,从风险到威胁全面可视 ● 策略联劢,实时减缓风险 ● 智能分析诊断,提升运维效率
● 网络攻击的证据散落在跨越时间和穸间观察到的事件中。 ● 将基于时间和基于穸间的报告关联在一起会更加理想。 ● 每一个基于穸间的观察都可以独立关联整个基于时间的报告; ● 同时,基于时间的观察结果也可以被迕一步关联到基于穸间的模型上。
智能安全领航者
www.aisec.com
Thanks.
