关键信息基础设施保护实践-v1.3公开版-阿里云

SIEM（安全事件管理）
• 二手数据：安全日志 • 关联分析：规则+正则
态势感知
• 原始数据：流量、端、应用 • 威胁情报数据 • 大数据算法能力 • 大数据计算能力
安全新常态
威胁情报 大数据
攻击越来越隐 蔽（未知威胁）
天下武功 唯快不破
感知能力是关 键，也是短板
阿里巴巴CII保护实践
风险 收敛
响应慢：单点防御、控制台操作
下一代安全架构
敏捷：SaaS化交付，分钟级 弹性：按需、随时弹性扩展
在线：规则实时更新 威胁情报
大数据建模：未知威胁检测 响应快：威胁联动、一键处置
云盾，让互联网更安全
阿里巴巴安全架构总结
从硬件盒子化交付向SaaS 化交付演进
纵深防 御
态势感 知
从基于规则和正则向大数 据模型演进
安全运营 从渗透测试向红蓝对抗演进
阿里云态势感知实践
1 认知-理解-预测
态势认知包括攻击状态识别与确认。 态势理解包括了解攻击的影响，了解对手的行为。 态势预测了解态势演化，评估当前态势发展的趋势 。
安全效果衡量指标：
漏洞数
安全开发生命周期管理（SDL）
安全事件数
安全开发
防DDoS + WAF + 主机入侵 防护 ……
应急响应
纵深防御 人技结合
红蓝对抗
借力生态
态势感知
大数据化
红蓝对抗（TTP，Tool、Technique、Procedure）
蓝军
社会化
模拟真实黑客攻击 隐藏痕迹 模拟窃取数据 新型TTP
3 实体识别
资产的识别 威胁实体识别，包括攻击者、攻击组织
2 采集海量的原始数据进行分析
原始网络数据是最可靠的数据 抽样方法很有可能错过关键流量 预测的结果也会回溯原始数据重复认知过程
4 决策支持
多维度信息融合、可视化 人工智能辅助理解态势
基于实体的态势感知
连接/登录异常
CMS异常登录
下载敏感文件
专业化
红军
检测黑客攻击 发现隐藏痕迹 检测数据窃取 检测新型TTP攻击
数据化
S
ASRC白帽子社区 阿里云云盾先知
P
专业公司 专业人员 专业技术
D
攻防数据沉淀
红蓝对抗
渗透测试 • 内部团队或外 部公司 • 通常在限定环 境 • 挖掘漏洞
安全众测
• 白帽子生态力 量
案例1：黑客组织（代号BBOSS）大规模挂马事件
受感染的网站数量全球范围内超过12万个，其中约78% 都使用了开源CMS框架，以Wordpress和Joomla 为主， 尤其是Wordpress，占比高达57%。
由已知寻求未知 从正常中发现异常
案例2：DDoS攻击溯源
数十
全国攻击抓捕嫌疑人
20%
• 生产环境 • 挖掘漏洞
红蓝对抗
• 顶尖白帽子+ 顶尖安全公司
• 生产环境 • 挖掘漏洞+全
链路验证防御、 检测和响应能 力
横向移动（ Movement ）检测
01
EDR
EDR
进程 主机网络行为 文件异常
02
NTA
NTA
五元组Meta信息 DPI 协议分析
03
PayLoad检测
PayLoad检测
CNCERT统计打击前后全 国DDoS攻击下降
56%
0
Akamai统计全球Q3 国外某公司统计该DDoS犯罪 来自中国的DDoS攻击下降 集团3个月内DNS攻击活动为0
案例3：航空电商防恶意爬虫
变换IP、伪造乘客信息、使用自 动化工具带来大量垃圾查询流量，
无法防御
官网永远买不到低价票、高价票 卖不动、上座率低，每月直接经
Bot’s 请求
案例4：勒索软件安全疫情
监测到云上用户遭受 XTBL、Wallet加密 勒索软件攻击的受影 响用户趋势开始增多 ，攻击手法主要为 RDP爆破
2016.11
监测到攻击对象由 Mysql转向 MongoDB等其他非 关系型数据库
2017.01
仍在与加密勒索黑 客做对抗
2016.10
监测到云上MySQL、 SQLServer等数据服务被 删除数据并勒索的趋势， 阿里云第一时间将此问题 原因和云盾态势感知检测 方案推送给用户。
反弹BASH
连接恶意传播源
黑客非法登录
对外连接中控
后门分析溯源
webshell连接发现
webshell植入原因分析
webshell行为分析
webshell黑客溯源
业务安全
批量小号登录
短信接口遍历
撞库攻击检测
邮箱接口遍历
RDS异常连接 威胁检测
未授权代理服务
针对性WEB攻击
针对性ECS爆破
SQL安全检测
关键信息基础设施保护实践
阿里云 宋杰 13901129968 jefftimessong.sj@alibaba-inc.com
关键信息基础设施面临的安全挑战：网络杀伤链（CKC）
Cyber Kill Chain攻击链
踩点
构建Cyber Weapon
攻击生命周期分析
投递
感 未突知 知防不 威到 胁
安装
2016.12
阿里云预测攻击下一步会 转向ElasticSearch、 Hadoop等大数据相关应 用，提前对34种数据相关 的应用进行监测、梳理、 排查、通告，第一时间避 免了用户的损失。 2017.02
阿里云CII网络安全实践总结
传统安全架构
盒子化交付，周期长 难以弹性扩展 离线 无情报 规则+正则
C&C
Mitre扩展攻击链
踩点
投递
突防
安装
C&C
行动
数据提 取
感知持门久不后 到横向横动向移移 动
内部踩 点
传统安全防护体系最薄弱的环节在感知能力
行动
本地பைடு நூலகம் 权
响应：体系对抗，唯快不破
数据来源：《Verizon：2015 DBIR》
数据：安全已演变为数据能力的对抗
单点防御
• 防火墙 • IPS/IDS • WAF
APT沙箱检测
自动化响应（ Automation Playbook ）
数据源
登录日志 URL地址 EDR报警等
1
数据源
3
自动响应
Playbook
Playbook
应急响应场景 入侵调查场景 Malware分析
2 自动响应 搜索文件 拦截URL 隔离设备 提交文件到沙箱 阻拦IP访问等
济损失数百万
纵深防御体系
客户端
精准访问 控制
基于频率 统计分析 的封禁
人机识别
基于大数 据的安全 专家分析
航空电商 网站
基于威胁情报（恶 意爬虫库、恶意指 纹库）和精准规则
拦截恶意爬虫
通过频率统计分析， 限流措施封禁恶意
爬虫
通过人机识别拦截 恶意爬虫
用户行为分析 （UBA） 大数据
机器学习算法
正常请求