【兵臨城下】系列公開課是盛邦安全基于多年攻防實戰(zhàn)經(jīng)驗，針對重保及攻防演習等場景而推出的系列直播活動，將從資產暴露面梳理、攻擊面管理、脆弱性自查、安全防線加固、協(xié)同聯(lián)動防御以及攻擊溯源、應急響應等全流程進行梳。

本期公開課的主題是“基于攻擊情報，如何讓非法外聯(lián)無處藏身”以下實錄文字供大家參考。

大家好，我是來自盛邦安全大數(shù)據(jù)產品線的張耀，今天我要跟大家分享的是攻防演習100個問題中的一個，基于攻擊情報的非法外聯(lián)檢測。

首先我們來看一下2022年上半年發(fā)生的一些重大的網(wǎng)絡安全事件。

第一，“BlackMoon”僵尸網(wǎng)絡，短短一個月內控制境內的IP規(guī)模已經(jīng)達到100萬，日上線肉雞數(shù)量最高達21萬，給我們的網(wǎng)絡安全帶來了巨大的威脅，受攻擊前三的，按省份統(tǒng)計依次是廣東、河南和江蘇。第二，國家計算機病毒應急處理中心披露了美國國家安全局的網(wǎng)絡間諜木馬“NOPEN”，它是美國國家安全局接入技術行動處對外攻擊所使用的主要網(wǎng)絡武器之一，通過它可以用來實現(xiàn)對目標的遠程控制。第三，英偉達和三星等大型企業(yè)相繼遭受到了黑客Lapsus$的攻擊和勒索，造成了大量的數(shù)據(jù)泄密，僅三星一家被竊取的文件大小接近190GB，包括部分源代碼。第四，沃達豐遭受破壞性攻擊，導致葡萄牙大面積斷網(wǎng)，影響了超過400萬的移動用戶，340萬的家庭及企業(yè)寬帶用戶。

我們接下來看國家計算機病毒應急處理中心的統(tǒng)計數(shù)據(jù)，第一張圖，2021年上半年，我國境內感染計算機惡意程序的主機數(shù)量約446萬臺，同比增長46.8%，位于境外的約4.9萬個計算機惡意程序控制我國境內約410萬臺主機。

注：《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告》

第二張圖，2021年上半年，境內外8,289個IP地址對我國境內約1.4萬個網(wǎng)站植入后門，其中，有7,867個境外IP地址（占全部IP地址總數(shù)的94.9%）對境內約1.3萬個網(wǎng)站植入后門。

注：《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告》

第三張圖，存在大量暴露在互聯(lián)網(wǎng)的工業(yè)控制設備和系統(tǒng)，其中，設備類型包括可編程邏輯控制器、串口服務器等，存在高危漏洞的系統(tǒng)涉及煤炭、石油、電力、城市軌道交通等影響國計民生的重點行業(yè)。

注：《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告》

我們再來看2022年1月份的統(tǒng)計，境內感染木馬或僵尸網(wǎng)絡惡意程序的終端數(shù)為446萬余個；境內被篡改網(wǎng)站數(shù)量4,327個，其中被篡改政府網(wǎng)站數(shù)量為24個；境內被植入后門的網(wǎng)站數(shù)量為1,812個，其中政府網(wǎng)站有2個；針對境內網(wǎng)站的仿冒頁面數(shù)量為187個；國家信息安全漏洞共享平臺（CNVD）收集整理信息系統(tǒng)安全漏洞2,072 個，其中，高危漏洞631個，可被利用來實施遠程攻擊的漏洞有1,719個。所以我們可以看到這個感染的木馬和僵尸程序的IP地址數(shù)目，以及境內被植入后門的網(wǎng)站數(shù)量都在呈增長態(tài)勢。而恰恰這些被攻擊的主機，它們可能向外發(fā)送報文，導致企業(yè)的數(shù)字資產外泄，甚至成為企業(yè)內網(wǎng)橫向攻擊的一個跳板。所以即使是企業(yè)內部的合規(guī)資產被攻陷后，如何阻止非法的向外傳輸數(shù)據(jù)是我們不得不面對的問題，資產運營期間動態(tài)安全防御和上線靜態(tài)合規(guī)檢查一樣重要。

我們來看看盛邦安全威脅情報賦能下的網(wǎng)絡空間資產治理方案是如何解決上述問題的，它主要包括兩大模塊。

第一個是資產測繪能力，包含靜態(tài)和動態(tài)兩個方面，靜態(tài)就是指網(wǎng)絡本身的一些屬性，如網(wǎng)絡屬性、地理位置屬性、應用屬性和社會組織架構屬性，動態(tài)屬性就是會變化的，比如說PoC漏洞，隱私信息泄露，一些高危組件?；谥鲃雍捅粍拥男畔⑻綔y，再利用一些大數(shù)據(jù)、AI等手段進行分析，在此基礎上繪制一張物理空間和網(wǎng)絡空間相映射的地圖，然后基于這張地圖進行各種應用。

第二個是情報生產運營能力，一方面是豐富情報源，包括開源、第三方權威機構以及情報聯(lián)盟等，搜集到了這些情報以后再進行處理，包括標記、去重、清洗、關聯(lián)、加權、挖掘、富化和融合，真正形成可以被利用的有價值的威脅情報。另一方面是資產治理能力，包括Web和IP資產上線之前要進行摸清家底、備案審核、立體化防御、自動化運營和應急響應這樣資產治理的五步，基于以上構造眾多應用場景，包括災情監(jiān)測、安全運營、指揮調度、協(xié)同共享等等，助力政府、能源、運營商、金融、教育、大企業(yè)等各個行業(yè)的網(wǎng)絡空間資產治理，我們本次就聚焦在非法外聯(lián)檢測這一個方面。

如何基于攻擊者的視角，利用資產治理“五步法”驅動日常的安全運營工作？

我們來看具體內容，第一摸清家底，就是主被動探測結合檢測風險暴露面并對資產進行畫像；第二個是備案審核，包括備案的體系、整個上線的安全評估、合規(guī)評估、漏洞整改評估；第三個是立體化防御，包括威脅攻擊的防御體系、異常流量的安全保障、還有動態(tài)等級保護體系；第四自動化運營，包括定期漏洞排查、7x24h WebShell、威脅情報持續(xù)監(jiān)控、非法外聯(lián)檢測；第五應急響應，就是對于一些緊急的安全事件，能夠進行及時的處置，一鍵斷網(wǎng)。

攻擊過程的威脅情報體系我們大致可以分為三個方面，第一是從攻擊前來說，提前感知到這些攻擊可能來了，第二是攻擊中怎樣進行線上的阻擊，第三是攻擊后怎樣進行自動溯源，如何減少損失。所以我們聚焦的是一個資產被攻陷以后，變成了一個失陷資產，怎樣避免它被攻擊方利用，從而外聯(lián)發(fā)出大量報文，造成數(shù)據(jù)資產的泄露。

下面我們來看一下基于空間測繪威脅情報的非法外聯(lián)檢測具體方案，最底層是NG-RayOS操作系統(tǒng)，然后是采集層、分析層、應用層和展示層；采集層主要是四大引擎，包括流量引擎、存活引擎、指紋引擎和漏洞引擎；分析層包括數(shù)據(jù)的存儲、清洗、抽取和校驗；應用層包括備案管理，自動化運營，應急響應，漏洞整改；在此基礎上，檢測的非法外聯(lián)情況可以跟威脅情報中心進行聯(lián)動，當檢測到有非法外聯(lián)的時候，我們可以看外聯(lián)URL或者IP，然后跳轉到威脅情報中心；最上面是展示層，包括界面、大屏、API數(shù)據(jù)服務。

這個場景主要是可以針對一些企業(yè)內部資產進行梳理，視頻專網(wǎng)、電力專網(wǎng)、企業(yè)內網(wǎng)、非法外聯(lián)的檢測，它帶來的價值，第一精準的實現(xiàn)資產的畫像，基于主動被動的流量學習，豐富的指紋庫，然后精準的實現(xiàn)資產畫像，提升資產日常監(jiān)控和自動化運營能力；第二有效的非法外聯(lián)監(jiān)測，可以針對在線、非法外聯(lián)、跨網(wǎng)訪問等情況進行實時檢測，未知威脅能夠及時發(fā)現(xiàn)，避免內網(wǎng)橫向威脅的傳播，攻擊者溯源和畫像；第三及時的非法外聯(lián)預警阻斷，當威脅情報潛在的危險發(fā)現(xiàn)的時候，可以和防護設備進行聯(lián)動，不合規(guī)或者非法的資產、可疑的攻擊，都可以立即進行阻斷，一鍵斷網(wǎng)，可以減少資產失陷后損失。

非法外聯(lián)檢測方案特點總結：

第一資產測繪能力強：硬件指紋數(shù)量15萬+個，涵蓋對象包括安防、網(wǎng)絡、工控、物聯(lián)網(wǎng)以及操作系統(tǒng)、編碼語言等30+類，22+行業(yè)，6000+廠商，資產覆蓋范圍廣。

第二資產標簽管理靈活：通過內外網(wǎng)狀態(tài)，設備應用指紋等信息和資產進行關聯(lián)，資產自動添加業(yè)務系統(tǒng)等標簽信息，便于分級分類的將不同的資產和標簽相關聯(lián)，可快速定位哪類標簽哪些資產存在風險。

第三非法外聯(lián)檢測處置：漏洞庫18萬+條，資產信息和威脅情報庫聯(lián)動，AI判定，預測風險，以最新漏洞POC、風險特征等規(guī)則對非法外聯(lián)風險資產進行專項驗證，評估漏洞風險影響面，縮短驗證周期，監(jiān)督整改，及時發(fā)現(xiàn)失陷資產非法外聯(lián)風險，一鍵預警阻斷。

這就是我們整個基于威脅情報的非法外聯(lián)檢測阻斷詳細方案，如果大家對此方案感興趣，可以關注盛邦安全公眾號或者撥打熱線電話4006-911-199咨詢，我今天的分享就到這，謝謝大家。