cat-nineteen
0%

成都CCS网络安全大会

置顶 | 发表于 更新于 分类于

秋风起,暑却未消停。蓉城的苍穹依旧云卷天舒,秋却不是四年前的秋,我记忆里的秋应该是有雨的,凉气逼得外出的人们不得不多加几件外套。今年的秋,暑意未曾停歇,火红的骄阳不舍这似水的流年。是啊,时间已悄然走过了四年,一经辗转便奔向第五个年头。

我单不知,人在一段不长也不短的时间里,可以经历无数次的选择,在每一个不起眼的日子里作出的每一个不起眼的决定,竟能发生在未来!舍弃文笔从业网安或许并非我意,也未曾作出从蓉城奔赴鹭岛的选择,我没有过抉择,却得到了答案。

于是,我在时间的海岸线上拾起了回忆的贝壳:也许是在学校的某一个不起眼的夜晚,教室里坐着有三两个同学,异口同声的说:“打进CTF线下大赛!成为远近闻名的黑客!”;也许是在每一个不起眼的课堂,老师在台上对着台下疯狂输出的同时,我在台下开着电脑冲刷着CTF的赛题……

彼时的我,走在蓉城的某个街头角落,踏行在眼前的路上;此时的我,站在鹭岛的码头上,看着眼前浪花地拍打。我仿佛见到了以前的自己,那个不是很努力,却又不肯轻易言弃、熟悉又陌生的身影……

打击黑灰产网络犯罪论坛

标签:黑灰产、网络诈骗、大数据分析、自动化流程处置

打击黑灰产

全网采集(建立样本库)

解析打标(深度解析,挖掘细节信息)

  • 静态分析

image-20211027162451590

  • 动态分析

image-20211027163320104

聚类分析(家族类聚、团伙挖掘)

image-20211027165123049

处置权重,哪些是常被黑灰产利用的实体app,聚类分级权重;
助力拓线,是指可以从一个黑灰产窝点牵扯出其它的黑灰产窝点。

溯源分析(定位)

image-20211027170401075

0号病人,指的是黑灰产使用的电子设备信息(用的很廉价的、非大众化的)、支付账户(一般是抓新号,却有大量资金流动的账户)信息等。
符号特征,指url链接的筛查、邮箱和手机号等暴露在外的指纹信息。
基础设施,比如博彩的网站主机位置及费用、使用的框架、插件,通过渗透手段,拿下网站并抓取数据。
沉淀出以下(黑灰产)技战术

image-20211027170516527

打击新型网络犯罪的实战过程

测试方法

image-20211027170632854

​ 对黑灰产网站进行渗透测试(一般黑灰产的安全意识比较薄弱),技战术。

新型网络犯罪手段

  • 电信诈骗

image-20211027172325695

  • 手机木马

image-20211027172350223

  • 杀猪盘

image-20211027172402479

image-20211027172427492

​ 通过网站的登陆数据,判断黑灰产团伙的窝点位置。

  • 理财诈骗

image-20211027172514088

​ 给不同的银行账户打钱(黑灰产团伙)

image-20211027172540225

​ 可能在一个盘里,就一只猪,其它用户都是NPC。

image-20211027172556607

犯罪定性

image-20211027172629614

​ 事先取证。法庭认可此证据。
​ 定罪。诈骗/非法经营。

支付宝流量海关风险对抗体系

​ 介绍支付宝是如何对流量海关的风险管控,意思就是,支付宝是怎么从每天访问量上亿的流量数据(url链接)中找到恶意链接,并及时封堵此恶意链接。

流量海关孵化背景

​ 为适配支付宝业务形态。

image-20211027173254716

支付流量海关技术架构

image-20211027173337942

海关预警样例

image-20211027173400293

​ 这儿有点意思,就是说,用户A支付的方式有异常,比如环境异常、设备异常、渠道异常、有作案前科的,只要满足有一条,就会自动阻止支付入口。

数据安全能力建设论坛

标签:数据安全、企业信息安全建设、数据感知平台、APT

内部威胁场景下的数据安全能力建设

内部威胁场景案例

image-20211027174409091

image-20211027174414052

数据安全合规

image-20211027174432261

解决方案

​ 基于业务流程的审计体系。

image-20211027174459422

​ 简单的说:1.要按照业务流程走,对企业内部的业务使用、传输、访问等操作有流程和管理,进行整体的风险监控。2.是支持合法合规的保护,按重要、敏感等级来划分,分别实行不同的风险监控。3.是能够支持安全预警和对风险的溯源。

数据感知体系

个人信息保护法

image-20211027174741147

行业矛盾

image-20211027174806465

​ 总结:没人、没门、没钱、没场景,还害怕数据源的的丢失。

设计难点

image-20211027174959442

APT事件分析

攻击还原过程

image-20211027175122125

样本扩展

image-20211027175145426

为什么是APT

image-20211027175207058

APT最新活动

image-20211027175232969

海莲花

image-20211027180430497

威胁情报在企业中实践应用

威胁大数据分析核心问题剖析

image-20211028090823245

​ 分别从数据标准、采集接口、宏观看资产以及鉴权管理。

image-20211028090936831

image-20211028090948741

威胁数据工作流程

image-20211028091017016

情报协同共享

image-20211028091053791

对一些指纹特征的识别技术,放大看,或许能抛砖引玉。

攻击事件-溯源

image-20211028091145502

白帽技术分论坛

标签:主机安全、安卓安全、漏洞运营建设

字节跳动主机安全建设分享

点击转至PPT链接

Who is Elkeid

image-20211028092022802

​ Elkeid就是升级版的、可用于捕获APT组织的、能检测rootkot的、并且具有类似rasp的实时检测技术的HIDS。号称百万级开源 HIDS 解决方案。(https://paper.seebug.org/1566/)

主机威胁来源

image-20211028092052056

​ 以主机威胁来源作为切入点,并且给了开源项目的威胁数据采集(如图看,偏向底层采集)。

image-20211028092146025

Elkeid 数据一览

image-20211028092203363

​ 看到他所分析的行为:文件行为、网络行为、进程行为、内核行为、rootkit和系统内建命令审计,并且具有日志分析功能。

采集样本数据

image-20211028092241204

image-20211028092245801

image-20211028092251114

识别威胁的第二步是什么?精准的策略

image-20211028092308976

​ 重点在于规则引擎和模型框架。

如何让策略更加精准?

image-20211028092509312

Kill-Chain

image-20211028092525064

image-20211028092528892

​ 利用杀伤链做策略精准的参照,即抓住攻击关键节点。

识别威胁的第三步是什么?高效的溯源

image-20211028092555328

溯源案例

image-20211028092611233

​ 源IP很重要,放在溯源第一步。

image-20211028092620938

Elkeid Architecture

image-20211028092636682

安全的本质是什么?

image-20211028092655724

image-20211028092658771

image-20211028092702440

多注意第二点和第三点,绝非空谈(业务即安全,从业务建设安全)

全面解析安卓Intent Bridge

点击转至PPT链接

知彼:攻击者情报

点击转至PPT链接

SRC反哺企业安全治理

点击转至PPT链接

字节跳动漏洞运营实践分享

点击转至PPT链接

欢迎关注我的其它发布渠道