苏宁攻防实验室 黄宙:潜行狙击--业务安全大数据融合

邗建木

2017/11/14 发布于 技术 分类

面对狡猾黑产从业者、黑产中未知世界,以独有以安全渗透测试思维导向,结合社会工程实践,建立索伦之眼安全平台。从索伦之眼平台视角,观察、分析业务安全存在乱象。依托索伦之眼系统,在电商业务安全发生的事前、事中、事后,潜行狙击黑产在不同层面的业务链条。通过干扰黑产对业务的分布式攻击节奏,包围、分割、缓解黑产带来的安全风险。面向业务的事前分析、事中响应、事后处置,跨业务系统的安全大数据融合,降低业务安全风险。 此次分享,以苏宁攻防实验室索伦之眼系统为主线,详细围绕面向苏宁面对各类黑产模式分析,分享苏宁在以攻防为探索核心的面向业务安全的大数据融合。

文字内容
1. 苏宁业务攻S潜安A防行全C实大C狙验数2室0据击1融7黄合宙
2. 黄宙 ID:tombook 个人经历 2004 1999 接触网络 全职境外 安全渗透 技术研究 2007 2009 ISO27001 CISP 20172000 2005 2008 C潜伏加入 《黑客防线》 中国电信 SAC各类安全组织 攻防实验室最快通关奖 2011 IBM 2016 2013 苏宁攻防实验室 北理工硕士 负责人 2014 苏宁易购 2017 苏宁SNSRC 负责人
3. 一. 索伦之眼中的黑产 二.黑产的事前、事中、事后 SACC2017三. 索伦之眼对抗黑产痛点 四. 索伦之眼跨界融合
4. 黑产VS索伦之眼 技术型黑产 IT基础 设施 • 提供IT硬件运行支撑的各类软件 技能型黑产 技巧型黑产 在线应用 能力 SACC2017• 提供网络在线服务的应用软件 业务服务 • 提供定制逻辑的应用软件 逻辑
5. 索伦之眼下的苏宁安全生态 网络安全 主机安全 应用安全 移动安全 苏宁 安全 生态 S业溯A务源C安攻C全击2017 能力安全 研发安全 管理安全 情报安全 技术型 黑产 技巧型 黑产 技能型 黑产
6. 一. 索伦之眼中的黑产 二.黑产的事前、事中、事后 SACC2017三. 索伦之眼对抗黑产痛点 四. 索伦之眼跨界融合
7. 技术型、技能型黑产发生的过程 端口检测 实施攻击 渗入内网 服务检测 SAC准C备2攻0击17
8. 技能型、技巧型黑产发生过程 业务场景分析 业务逻辑分析 业务接口分析 SACC2017业务逻辑利用 业务接口利用
9. 一. 索伦之眼中的黑产 二.黑产的事前、事中、事后 SACC2017三. 索伦之眼对抗黑产痛点 四. 索伦之眼跨界融合
10. 索伦之眼对抗黑产 2016.3 2016.10/2018.3 安全态势感知中心 USAS-M 能力意识训练平台 STP 2.0 2013/2016/2017 2017.6 2015.10 漏洞报告中心 SNSRC 1.0 能力 业务安全风险分析框架 BSRA 1.0 业务安全威胁分析 USAS-BSTA 1.0 2017.10 漏洞生命周期跟踪 SNSRC 3.0 意识 智慧风控系统 USAS-BRCI 2017.11 信息 17业务2018.2 资产威胁情报 USAS-INFO 情报 20 逻辑2012/2014/ 智慧云WAF C2016/2017.12 USAS-WAF AC业务资产管理 S2015/2017.9 USAS-ITSM 1.0 网络 代码主机安全管理 业务安全 风险控制 渗透测试框架 2016.6 PEN TEST V3 研发流程管理 SSDLC 2013/2016 研发同步安全测试 TRACKER 2.0 2013/2016.1 2013/2016/ USAS-HOST 1.1 2017.9 蜜罐引诱系统 2017.11 USAS-X 资产 功能 产品发布安全测试 SEC TEST v2 2013/2016 网络安全管理 2017.9 USAS-NET 1.2 移动威胁分析 2017.6 USAS-APP 1.5
11. 安全经验升级成算法 隐马尔可夫模型 Hidden Markov Model SACC2017 安全经验的汇集,提炼形成算法。 说了很多,往往一句话解决问题。 XX,你说的方法,有点像XX算法/模型?
12. 大数据融合理论与算法基础 1. 基于日志的挖掘安全未知漏洞的方法和系统,2015.1 2. 一种攻击预警方法及装置,2017.9 SACC2017
13. 平台架构 • Spark • Spark Streaming • Hbase • Flume • Kafka • Mysql • Nginx • Redis • Sqoop SACC2017 • ……
14. 事前 对抗黑产的痛点区域 事中 事后 • 行为异常 • 帐号异常 • 位置异常 • 设备异常 • 时间异常 技术型黑产-渗透 • 异常行为 • 行为异常 • 帐号异常 S••• A支位交付置易C异异异C常常常2017 • 帐号异常 • 位置异常 • 设备异常 • 时间异常 • 设备异常 • 时间异常 技能型黑产-挖洞 技巧型黑产-欺诈
15. 网络与主机安全大数据 SACC2017
16. 业务面向规则大数据 SACC2017
17. 业务安全的离线与实时 • 异常行为,行为模式异常诊断 • 预警未知,未知模式学习与深度分析 • 欺骗检测,短信、邮件、互联网诈骗检测 • 场景监测,业S务A场C景C实20时1分7 析监测
18. 移动安全感知对抗 SACC2017 2017/10/25
19. 主机安全大数据 SACC2017
20. • 攻击行为 – 攻击特征 – 攻击模式 • 异常行为 – 异常访问 – 异常模式 业务安全的攻击溯源 SACC2017
21. 面向黑产的攻击溯源 SACC2017 2017/10/25
22. 一. 索伦之眼中的黑产 二.黑产的事前、事中、事后 SACC2017三. 索伦之眼对抗黑产痛点 四. 索伦之眼跨界融合
23. 索伦之眼的跨界融合 业务 安全 高级 网络 安全 高级 情报 中级 017研发 C2安全 高级 中级 中级 管理 安全 SAC高级 安全 初级 初级 溯源 攻击 初级 高级 能力 安全 移动 安全 主机 安全 初级 初级 应用 安全
24. 索伦之眼的跨界融合(AI) 知识图谱:是把所有不同种类的信息(Heterogeneous Information)连接在一 起而得到的一个关系网络。知识图谱提供了从“关系”的角度去分析问题的能力。 识别 鉴定 分类 关联 主机 SACC2017移动 确认 攻击 疑似 攻击 相反 相似 行为 事件 位置 环境 风控 逻辑 帐号 设备 时间 区间 命令 聚类 业务 正常 行为 网络 异常 行为 相同 流量 行为 特征 算法 参数 分类
25. 行为与帐号安全(举例) 0-8点,8小时内 4万个 具有明确攻击行为帐号 loginWhiteList 类型(已拦截) 白名单 AlipayScore20 017QualityUserWhiteList CC2registerRisk7day SAsuspectedCollisionUserList 白名单 白名单 黑名单 黑名单 LoginHighRiskUserUpdate0503 黑名单 NULL 不在名单内 数量 32373 22971 5403 2743 2143 1200 1934
26. 帐号业务安全中的索伦之眼 黑名单 白名单 SACCX空2名0名1单单7 已知攻击 已知攻击 已知攻击 未知攻击
27. 安全分析AI(举例) passport.suning.com/ids/trustLogin?sysCode=epp&amp;targetUrl=https://licai.suning.c om/bof/bofIndex.htm&HIMj=9910 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',table_name FROM information_schema.tables WHERE 2>1--/**/; EXEC xp_cmdshell('cat ../../../etc/passwd')# 知识分类 知识内容 单项威胁 多类组合威胁 SQL通用语法 MSSQL专有命令 Linux/MAC专有文件 Linux小写命令 JavaScript/HTML语法 Mysql专有表 SACC2017UNION SELECT xp_cmdshell EXEC /etc/passwd cat空格 <script> </script> alert() information_schema.tables N N N N N N Y Y Y Y Y Y 特殊转义 ../../ /**/ NY
28. SACC2017