确保身份安全应对网络高级威胁攻击-Tenable.pdf

1、确确保保身身份份安安全全应应对对网网络络高高级级威威胁胁攻攻击击吴志勇 Tenable 高级技术顾问安世加安世加安世加安世加安世加安世加勒勒索索软软件件/数数据据窃窃取取攻攻击击过过程程利用身份脆弱点利用资产脆弱点外外部部攻攻击击面面数据窃取敲诈勒索扰乱运营期期望望的的结结果果攻击者横横向向移移动动$获得初始特权提权&行动持续渗透确定目标E.g.钓鱼邮件,社会工程,暴力破解,凭证泄露E.g.CVE漏洞,暴露端口,明文密码,非多因素验证安世加安世加安世加安世加安世加安世加 管理身份验证，保存所有密码管理对每项重要资产的访问权限部署在 95%的大型组织中一个复杂的、不断发展的架构，随着时间的推移变

2、得难以管理Active Directory holds the keys to everythingICS&SCADAUSERS&CREDENTIALSE-MAILAPPLICATIONSCLOUD RESOURCESCORPORATE DATA安世加安世加安世加安世加安世加安世加为为什什么么 ACTIVE DIRECTORY 的的安安全全至至关关重重要要？ACTIVE DIRECTORY 已成为一一切切的的关关键键！CS 和 SCADA公司数据电子邮件用户和凭据应用程序云资源的企企业业依依赖赖 Active Directory 服务95%的全全球球企企业业在针对 Active Directo

3、ry 问题的审计中发现存在严严重重的的错错误误配配置置80%的新恶恶意意软软件件中包含针针对对 Active Directory 的特定代码60%安世加安世加安世加安世加安世加安世加当当前前AD面面临临的的挑挑战战我是新管理员，以前配置不清楚，能发现权限过高的用户吗？AD日志很难关联分析，我的AD现在安全吗？AD中每天都会发生变化，任何变化都可能打开攻击路径。此用户需要访问哪些资源？我们有很多用户不敢删除，担心应用中断。域内存在大量的休眠账号及过时操作系统，是否能发现他们？缺乏可见性缺乏深厚的安全知识没有时间修复已知问题依靠 SOC/SIEM 来查找问题每年定期 AD 安全检查安世加安世加安世

4、加安世加安世加安世加每起登上头版头条的信信息息泄泄露露或或勒勒索索事件背后都与暴暴露露面面缺缺陷陷及AD风风险险相关！安世加安世加安世加安世加安世加安世加理理解解安安全全风风险险是是基基本本的的价价值值命命题题检检测测与与响响应应(事事后后)Detection and ResponseRapidly Detect,Contain and Remediate Incidents During an Attack:Threat Intelligence,Incident Response,SIEM,Network Access Control防防御御(事事中中)ProtectionPreventi

5、on Before an Attack:Firewall,Antivirus,Intrusion Prevention暴暴露露风风险险可可视视(事事前前)Cyber ExposureWhere are we exposed?Where should we prioritize based on risk?How are we reducing our risk over time?安世加安世加安世加安世加安世加安世加8AD安安全全来来说说什什么么是是最最重重要要的的?实实时时攻攻击击检检测测是是不不够够的的实实时时攻攻击击检检测测实实时时攻攻击击保保护护收收到到一一条条短短信信说说“你你的的车

6、车撞撞墙墙了了”收收到到一一条条短短信信说说:“你你需需要要检检查查刹刹车车配配置置安世加安世加安世加安世加安世加安世加基基础础安安全全工工作作仍仍面面临临考考验验过过去去几几年年中中的的攻攻防防演演练练中中，多多家家单单位位因因攻攻击击面面评评估估不不到到位位等等低低级级错错误误而而被被攻攻破破例例1：某某单单位位被被物物理理攻攻击击，通通过过营营业业厅厅的的网网络络接接入入到到内内网网，再再使使用用已已知知漏漏洞洞拿拿下下护护网网域域控控目目标标例例2：某某单单位位员员工工被被钓钓鱼鱼攻攻击击，邮邮件件链链接接下下载载恶恶意意代代码码，后后作作为为跳跳板板进进一一步步拿拿下下内内网网域域控