智甲如何實(shí)現(xiàn)端點(diǎn)側(cè)細(xì)粒度防御與處置

威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗CONTENTS01細(xì)粒度防御的價(jià)值與要素02智甲細(xì)粒度防御的技術(shù)說明03總結(jié)與未來展望威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗?可移動(dòng)介質(zhì)復(fù)制?入侵供應(yīng)鏈技術(shù)?流量加密技術(shù)的廣泛使用我們退無可退我們退無可退針對(duì)端點(diǎn)的攻擊技術(shù)在威脅框架中占有最高比重對(duì)ATT&CK威脅框架中攻擊技術(shù)統(tǒng)計(jì)分析可以發(fā)現(xiàn)：細(xì)粒度的攻擊技戰(zhàn)術(shù)，需要細(xì)粒度的應(yīng)對(duì)威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗?端點(diǎn)安全防護(hù)產(chǎn)品現(xiàn)狀、問題以及應(yīng)對(duì)?應(yīng)對(duì)問題現(xiàn)狀應(yīng)對(duì)問題對(duì)主機(jī)性能產(chǎn)生影響，并且存在兼容性風(fēng)險(xiǎn)集能力弱，無法有效捕獲未知威脅；而在整個(gè)威脅框架的基礎(chǔ)上，將端點(diǎn)所有安全性整合，由統(tǒng)一平臺(tái)運(yùn)營管理，響應(yīng)所有端點(diǎn)的威脅。為實(shí)現(xiàn)這一目的，需要提高安全產(chǎn)品在威脅框架中的能力覆蓋度針對(duì)威脅框架中的各個(gè)子技術(shù)手段建立有針對(duì)性的響應(yīng)策略，例如攔截高危行為、“細(xì)粒度防御與處置”????端點(diǎn)安全一體化防護(hù)，細(xì)粒度防御和處置是實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵基礎(chǔ)威脅框架枚舉出了攻擊者所使用的攻擊數(shù)據(jù)，而要想實(shí)現(xiàn)對(duì)各類威脅的防御或者感知，就要求安全產(chǎn)品具有足夠的覆蓋度，在主要環(huán)節(jié)、主要技術(shù)上不允許有空白，而且不僅僅是要對(duì)攻擊手段粗粒度的防御，而是要對(duì)威脅框架中的子技術(shù)也全面覆蓋威脅框架中的技術(shù)雖然可被攻擊者利用，但這并威脅框架中的技術(shù)雖然可被攻擊者利用，但這并不能說使用該種技術(shù)就一定是攻擊行為，如果采進(jìn)行攔截，對(duì)敏感行為（例如“執(zhí)行-利用系統(tǒng)服針對(duì)不同環(huán)境、不同的防御需求針對(duì)不同環(huán)境、不同的防御需求，產(chǎn)品應(yīng)能提供不同的防御能力，這需要安全產(chǎn)品可進(jìn)行細(xì)粒度的運(yùn)維，例如不同防御點(diǎn)是否啟用，響應(yīng)方式如何等，管理人員都可以針對(duì)具體場(chǎng)景按需配置，并且支持與SOAR等系統(tǒng)的聯(lián)動(dòng)。威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗智甲產(chǎn)品能力指標(biāo)廣度：智甲目前可覆蓋256項(xiàng)，其中默認(rèn)策略為告警方式有52項(xiàng)，策略為僅記錄的204項(xiàng)深度：持久化（自啟動(dòng)）和提權(quán)（進(jìn)程注入）威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗實(shí)戰(zhàn)案例1——WannaMine案例分析（1）化較多使用利用啟動(dòng)項(xiàng)、利用windows服務(wù)、威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗實(shí)戰(zhàn)案例1——WannaMine案例分析（2）1簽234的進(jìn)程是否屬于系統(tǒng)進(jìn)程或指定第三方應(yīng)用程序，是直接告警，反之記錄5進(jìn)程是否屬于系統(tǒng)進(jìn)程或指定第三方應(yīng)用程序，是直接告警，反之記錄。不調(diào)用此指6實(shí)戰(zhàn)案例1——WannaMine案例分析（3）789通過Ring0層監(jiān)控，判斷被修改的進(jìn)程是否屬于系統(tǒng)進(jìn)程或第三方應(yīng)通過Ring0層監(jiān)控Ptrace系統(tǒng)調(diào)用，判斷被附加的進(jìn)程是否屬通過Ring0層監(jiān)控，判斷被修改的進(jìn)程是否屬于系統(tǒng)進(jìn)程或第三方應(yīng)實(shí)戰(zhàn)案例1——WannaMine案例分析（4）再以WannaMine利用的持久化技術(shù)為例，威脅框架中實(shí)現(xiàn)持久化的子技術(shù)主要包括84種，智甲目前已覆蓋50種子技術(shù)。針對(duì)常用6種技術(shù)對(duì)應(yīng)的防御策略如下：1可以實(shí)時(shí)感知注冊(cè)表啟動(dòng)項(xiàng)的創(chuàng)建和啟動(dòng)目錄的文件2可以實(shí)時(shí)感知注冊(cè)表服務(wù)項(xiàng)的創(chuàng)建和服務(wù)的啟動(dòng)，主要采取記錄方式3456威脅框架：細(xì)粒度對(duì)抗實(shí)戰(zhàn)案例1——WannaMine案例分析（5）威脅框架：細(xì)粒度對(duì)抗《六小時(shí)處置挖礦蠕蟲的內(nèi)網(wǎng)大規(guī)模感染事件》實(shí)戰(zhàn)案例2——暗云Ⅲ（1）1.“入侵供應(yīng)鏈“->”入侵軟件供應(yīng)鏈“子技術(shù)：捆綁下載器中的軟件和一些正常游戲客戶端；2.“操作系統(tǒng)前啟動(dòng)”->“使用BootkitMBR”子技術(shù)：系統(tǒng)引導(dǎo)時(shí)加載惡意程序；3.“反混淆/解碼文件或信息”：在內(nèi)存中多次解密ShellCode，以躲避查殺。威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗實(shí)戰(zhàn)案例2——暗云Ⅲ（2）暗云三攻擊流程為：通過捆綁游戲進(jìn)程進(jìn)行傳播，當(dāng)用戶執(zhí)行捆綁游戲進(jìn)程后，以ShellCode方式進(jìn)行加載，進(jìn)行各種下載解密操作，利用解密后的惡意程序修改MBR，并且注入svchost中，進(jìn)行下載配置文件和腳本文件。對(duì)應(yīng)ATT&CK框架中與終端有關(guān)的技術(shù)動(dòng)作，只有進(jìn)程注入被智甲攔截，但是在操作系統(tǒng)前啟動(dòng)只作為記錄形式。威脅框架：細(xì)粒度對(duì)抗實(shí)戰(zhàn)案例2——暗云Ⅲ（3）威脅框架：細(xì)粒度對(duì)抗安天ARR(AntiyResponseRule)開放式處置規(guī)則定義ARRARR（AntiyResponseRule）的部分指令集1.創(chuàng)建注冊(cè)表項(xiàng)/值[Reg_Create] 2.修改注冊(cè)表項(xiàng)/值[Reg_Modify] 3.刪除注冊(cè)表項(xiàng)/值[Reg_Delete] 4.重命名注冊(cè)表項(xiàng)/值[Reg_Rename]5.刪除注冊(cè)表值[Reg_Delete_Value]1.創(chuàng)建計(jì)劃任務(wù)[Task_Create]2.修改計(jì)劃任務(wù)[Task_Modify]3.刪除計(jì)劃任務(wù)[Task_Delete]1.創(chuàng)建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內(nèi)容[File_DelText]7.MBR修復(fù)[File_repairMbr]1.創(chuàng)建進(jìn)程[Proc_Create] 2.掛起/恢復(fù)進(jìn)程[Proc_Modify] 3.結(jié)束進(jìn)程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發(fā)bat腳本并運(yùn)行[Script_Bat]2.下發(fā)shell腳本并運(yùn)行[Script_Shell]3.下發(fā)vbs腳本并運(yùn)行[Script_Vbs]4.下發(fā)powershell腳本并運(yùn)行[Script_PWL]5.下載文件并運(yùn)行[Script_File]1.外設(shè)彈出/規(guī)則[Other_Device]2.斷網(wǎng)處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補(bǔ)丁修復(fù)[Other_Fix_patch]5.創(chuàng)建互斥免疫[Other_Create_Mutex]6.創(chuàng)建掃描并自動(dòng)處置[Other_QuickScan]二、計(jì)劃任務(wù)（可配自動(dòng)處置規(guī)則）一、注冊(cè)表（可配自動(dòng)處置規(guī)則）三、文件（可配自動(dòng)處置規(guī)則）四、進(jìn)程（可配自動(dòng)處置規(guī)則）五、腳本六、其他安天ARR開放式處置規(guī)則定義是安天為實(shí)現(xiàn)驅(qū)動(dòng)、進(jìn)程等進(jìn)行相關(guān)操作的動(dòng)作定義，并可以執(zhí)行遍歷，特征匹配搜索等邏輯動(dòng)作?？梢杂糜谔幚聿呗訟RR處置規(guī)則支持判定條件，用于觸發(fā)相應(yīng)處File_Deletecondition:diskroot，全盤指定深度：alldisk_deep:1-100移動(dòng)設(shè)備:udiskFile_repairMbrcondition:[判定方式],[偏移],[對(duì)比內(nèi)容][equal/Unequal],[offset:0],[31c0fa]借助SOAR和專殺工具實(shí)現(xiàn)特殊威脅處置置策略，并由智甲進(jìn)行執(zhí)行。針對(duì)無法安裝智甲客戶端的主機(jī)，可以通過專殺工具實(shí)現(xiàn)威脅處置工作清除規(guī)則處置規(guī)則防御規(guī)則威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗產(chǎn)品防御策略可配置、可運(yùn)營威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗端點(diǎn)的穩(wěn)定性是第一位的優(yōu)先對(duì)高頻攻擊技術(shù)進(jìn)行投入智甲細(xì)粒度防御能力建設(shè)的幾點(diǎn)經(jīng)驗(yàn)端點(diǎn)的穩(wěn)定性是第一位的優(yōu)先對(duì)高頻攻擊技術(shù)進(jìn)行投入3細(xì)粒度防御不是簡(jiǎn)單的防御點(diǎn)堆疊加大數(shù)據(jù)采集和分析粒度，從程序身份、行為特征、關(guān)系鏈等多個(gè)更細(xì)粒度去采集程序的相關(guān)信息，建立更加豐富的情報(bào)庫參與用戶環(huán)境精細(xì)化運(yùn)維，以往安全廠商的運(yùn)維服務(wù)主要是系統(tǒng)升級(jí)等常規(guī)工作們認(rèn)為未來安全廠商應(yīng)加大用戶環(huán)境的安全運(yùn)維工作，以運(yùn)維服務(wù)推動(dòng)產(chǎn)品優(yōu)化對(duì)于已有數(shù)據(jù)要及時(shí)更新，任何技術(shù)或者業(yè)務(wù)都是動(dòng)態(tài)變化的，正常軟件也并非一直加大數(shù)據(jù)采集和分析粒度，從程序身份、行為特征、關(guān)系鏈等多個(gè)更細(xì)粒度去采集程序的相關(guān)信息，建立更加豐富的情報(bào)庫參與用戶環(huán)境精細(xì)化運(yùn)維，以往安全廠商的運(yùn)維服務(wù)主要是系統(tǒng)升級(jí)等常規(guī)工作們認(rèn)為未來安全廠商應(yīng)加大用戶環(huán)境的安全運(yùn)維工作，以運(yùn)維服務(wù)推動(dòng)產(chǎn)品優(yōu)化對(duì)于已有數(shù)據(jù)要及時(shí)更新，任何技術(shù)或者業(yè)務(wù)都是動(dòng)態(tài)變化的，正常軟件也并非一直安全而不被利用，因此要始終關(guān)注變化，及