【百战奇御安全技术沙龙回顾】WatchAD域安全入侵感知系统开源

在与黑客的攻防对抗过程中，我们都会面对同样的问题：为什么攻击事件会发生？又是如何发生的？攻击者是谁？他们在攻击过程中都做了什么？以及该如何提前预测和拦截？

正是在这样的思考下，360信息安全中心面向企业安全管理者和安全运营人员推出了《百战奇御》技术分享活动，以请进来走出去为原则，分享业界真实攻防案例，共同提升企业的安全防御能力。

 

2019年10月26日下午，《百战奇御》第一期技术沙龙在北京360总部圆满结束，本期沙龙的主题为从攻防演练角度看企业安全防线，来自360信息安全中心的3支安全团队向听众分享了360在以往攻防对抗中真实的案例，以黑客攻击的视角发现企业安全防线上的潜在风险和漏洞，最后从企业防护者的角度给出了防御思路和建议。

 

以下是议题回顾：

《近源攻击：从红队角度看”锁“》

杨晓成 360Red Team安全研究员

在近几年的攻防对抗演练过程中，物理渗透的方式被攻击者广泛应用，相应的企业在物理防御方面往往缺乏安全意识和技术手段。“锁”作为企业的第一道屏障，往往是黑客重点“攻击”的对象。在本次分享中，杨晓成从攻击者角度讲述了物理渗透的基本思路，结合实际案例介绍了机械锁、智能门锁和门禁的安全风险点，以及针对以上三种类型门锁的防护措施。

 

《最后的防线！高级域渗透攻击的分析与检测》

朱思宇 360 0KEE Team 安全研究员

高级域渗透攻击手法多样，隐蔽性强，且不易被普通安全监测工具检测出来，成为了攻击者惯用的攻击手段，企业在域安全防护方面的需求也更加迫切。国际上最知名的产品是微软公司的ATA，其价格异常昂贵（单个用户80美元），而且在国内还没有销售，此外，国内在域控安全方面的研究和产品几乎为空白。

由360 0KeeTeam 独立开发的WatchAD域安全入侵感知系统可收集所有域控上的事件日志和kerberos流量，通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁，功能覆盖了大部分目前的常见内网域渗透手法。

该项目在360公司内部上线运行以来，发现多起高级威胁活动，提升了域安全能力。今天，我们将WatchAD开源系统中基于事件日志的检测部分进行开源，希望共同维护和提升WatchAD产品的能力。

GitHub地址：

https://github.com/0Kee-Team/WatchAD?from=timeline&isappinstalled=0

 

《攻防体系之供应链攻击》

赖志活 360Red Team安全研究员

企业在生产过程中，必须与供应链上的其他企业形成合作关系，而这无疑增加了企业的安全风险。目前，大部分企业都缺乏供应链安全管理，赖志活在分享中特别强调，作为企业需要尽快构建供应链安全体系，要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改，可以对供应商进行安全准入审查，分级找出高风险供应商，对不同风险级别的供应商，采用不同调查与评估策略，对发现的安全问题提出整改建议并跟踪整改效果，持续地监控供应商的安全状况。

 

《内网入口防护-钓鱼邮件检测与治理》

王禹 360 MeshFire Team 安全研究员

 

钓鱼邮件是黑客最常用，也是成本最低的攻击手段，无论是希拉里的邮件门，还是乌克兰电厂断电事件，都是由一封简单的钓鱼邮件引发的。对于企业来讲，除了要向员工不断的宣传钓鱼邮件识别技巧，还要想办法通过技术手段提高钓鱼邮件的检测率。

本议题结合360在邮件安全方面的最佳实践经验，从邮件还原到钓鱼检测、威胁发现到告警运营、自动处置到安全运营闭环，全方位讲解企业该如何构建一套较为完备安全的邮件系统。

议题PPT资料下载：

https://yunpan.360.cn/surl_yuMSshZW36a （提取码：66f6）

 

《百战奇御》，且战且行。

我们诚挚邀请您前来分享企业安全的攻防经验

欢迎议题投稿：security@360.cn

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/