2019年基于终端多维数据的攻防对抗与用户行为画像.pdf

1、基于终端多维数据的攻防对抗与用户行为画像目录1.概述2.终端安全运营成熟度提升3.基于EDR的终端防守4.多维数据在运营中的应用目录概述我们期待终端安全能做什么？终端安全就是人的安全，不仅限于终端自身，也不能仅依靠终端安全软件概述我们面临的安全问题：根据B2B International 17年6月的一份研究，46%的信息安全事故是由公司内部员工导致的，占所有原因的第一位。奇安信威胁情报中心的全球高级持续性威胁（APT）2018年总结报告中指出：“在过去的APT威胁或者网络攻击活动中，利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式，例如鱼叉邮件攻击，钓鱼邮件或BEC攻击“，可见许多APT

2、行动背后的攻击者，经常使用办公终端，作为攻入一个组织的跳板。TechRadar的一篇文章中写到，29%的员工承认他们将他们的用户名和密码给过其他同事。而根据卡巴斯基19年5月的一份研究，33%的员工仍可以访问老东家的文件和文档根据调查，72%的员工承认他们终端上的文档有敏感信息，37%的员工曾经偶然在同事终端上看到公司的保密信息（如员工薪酬/股权等信息）。从滑动标尺模型看终端安全概述1.确保终端安装软件在企业内部的覆盖率2.确保终端安全软件自身有效运转3.确保终端安全管理中心能有效管理终端1.确保基础的病毒库更新与补丁库更新2.定时的杀毒任务，升级任务，重启任务3.终端日志的收集1.日常防病毒

3、运营2.日常更新运营3.终端突发安全事件运营1.通过终端安全数据的多维分析，解决业务安全等问题2.在攻防对抗中，关联相关数据得到事件全貌Maybe Next Time目录1.概述2.终端安全运营成熟度提升3.基于EDR的终端防守4.多维数据在运营中的应用目录终端安全成熟度提升优化级量化管理级已定义级已管理级初始级CMMI成熟度模型奇安信内部终端安全评价基础指标：1.安装率：确保终端安全软件覆盖2.实名率：终端出现问题时快速定位3.正常率：确保终端安全软件基础功能正常运行4.合规率：确保终端符合公司的终端安全基线终端安全成熟度提升优化级量化管理级已定义级已管理级初始级CMMI成熟度模型每日由专员

4、计算当天各项安全指标，并形成统计数据：终端安全成熟度提升优化级量化管理级已定义级已管理级初始级CMMI成熟度模型通过规章制定，流程改善，技术管控，安全运营来持续提升各项指标。终端安全成熟度提升如何达到成熟度第五级：持续优化？技术架构的持续优化总部DC大型办公区主控：6.6.0.3050WIN苹果正式员工外包员工、实习生单独的访客SSIDWIN苹果Linux等ADRadius正式员工外包员工、实习生渠道用户天擎NAC应用准入业务系统分支机构FWBYODDHCPRadiusDHCP天擎NAC应用准入天擎云查锡安平台采集基本日志采集基本日志WIN：查杀毒、补丁、EDR、DLP的日志苹果：查杀毒日志身

5、份认证信息（VPN登录日志，802.1x认证日志，DHCP日志等等）仅白名单仅白名单终端安全成熟度提升如何达到成熟度第五级：持续优化？管理层面的持续优化技术与运营手段执行制度收集终端用户反馈，改进制度与产品制定和不断改进制度目录1.概述2.终端安全运营成熟度提升3.基于EDR的终端防守4.多维数据在运营中的应用目录基于EDR的终端防守终端检测与响应（Endpoint Detection and Response，简称EDR）是一个用来持续检测与响应高级威胁的新型终端防御技术。EDR通常会在终端安装一个agent，将终端的各类日志回传至分析平台，供规则引擎和分析人员进行进一步的分析，检测，调查和

6、统计。WHAT EDR？WHY EDR？发现高级威胁after all of thisIn the end,it still runs on your computer.基于EDR的终端防守A TRUE STORY运营团队收到wmic白利用告警，调查后发现该终端从内网某服务器拉取样本，注入到wmi中运行，创建svchost并挂起，解密payload后注入到svchost中继续运行原始EDR触发的告警基于EDR的终端防守上服务器进行取证发现攻击者使用了domain fronting技术，防火墙，IDS看到的流量都是终端与进行通信，尝试下载一个gif。实际上解密后样本信息，可看到一级域名等信息基于