【百战奇御安全技术沙龙回顾】WatchAD域安全入侵感知系统开源
在与黑客的攻防对抗过程中,我们都会面对同样的问题:为什么攻击事件会发生?又是如何发生的?攻击者是谁?他们在攻击过程中都做了什么?以及该如何提前预测和拦截?
正是在这样的思考下,360信息安全中心面向企业安全管理者和安全运营人员推出了《百战奇御》技术分享活动,以请进来走出去为原则,分享业界真实攻防案例,共同提升企业的安全防御能力。
2019年10月26日下午,《百战奇御》第一期技术沙龙在北京360总部圆满结束,本期沙龙的主题为从攻防演练角度看企业安全防线,来自360信息安全中心的3支安全团队向听众分享了360在以往攻防对抗中真实的案例,以黑客攻击的视角发现企业安全防线上的潜在风险和漏洞,最后从企业防护者的角度给出了防御思路和建议。
以下是议题回顾:
《近源攻击:从红队角度看”锁“》
杨晓成 360Red Team安全研究员
在近几年的攻防对抗演练过程中,物理渗透的方式被攻击者广泛应用,相应的企业在物理防御方面往往缺乏安全意识和技术手段。“锁”作为企业的第一道屏障,往往是黑客重点“攻击”的对象。在本次分享中,杨晓成从攻击者角度讲述了物理渗透的基本思路,结合实际案例介绍了机械锁、智能门锁和门禁的安全风险点,以及针对以上三种类型门锁的防护措施。
《最后的防线!高级域渗透攻击的分析与检测》
朱思宇 360 0KEE Team 安全研究员
高级域渗透攻击手法多样,隐蔽性强,且不易被普通安全监测工具检测出来,成为了攻击者惯用的攻击手段,企业在域安全防护方面的需求也更加迫切。国际上最知名的产品是微软公司的ATA,其价格异常昂贵(单个用户80美元),而且在国内还没有销售,此外,国内在域控安全方面的研究和产品几乎为空白。
由360 0KeeTeam 独立开发的WatchAD域安全入侵感知系统可收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。
该项目在360公司内部上线运行以来,发现多起高级威胁活动,提升了域安全能力。今天,我们将WatchAD开源系统中基于事件日志的检测部分进行开源,希望共同维护和提升WatchAD产品的能力。
GitHub地址:
https://github.com/0Kee-Team/WatchAD?from=timeline&isappinstalled=0
《攻防体系之供应链攻击》
赖志活 360Red Team安全研究员
企业在生产过程中,必须与供应链上的其他企业形成合作关系,而这无疑增加了企业的安全风险。目前,大部分企业都缺乏供应链安全管理,赖志活在分享中特别强调,作为企业需要尽快构建供应链安全体系,要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改,可以对供应商进行安全准入审查,分级找出高风险供应商,对不同风险级别的供应商,采用不同调查与评估策略,对发现的安全问题提出整改建议并跟踪整改效果,持续地监控供应商的安全状况。
《内网入口防护-钓鱼邮件检测与治理》
王禹 360 MeshFire Team 安全研究员
钓鱼邮件是黑客最常用,也是成本最低的攻击手段,无论是希拉里的邮件门,还是乌克兰电厂断电事件,都是由一封简单的钓鱼邮件引发的。对于企业来讲,除了要向员工不断的宣传钓鱼邮件识别技巧,还要想办法通过技术手段提高钓鱼邮件的检测率。
本议题结合360在邮件安全方面的最佳实践经验,从邮件还原到钓鱼检测、威胁发现到告警运营、自动处置到安全运营闭环,全方位讲解企业该如何构建一套较为完备安全的邮件系统。
议题PPT资料下载:
https://yunpan.360.cn/surl_yuMSshZW36a (提取码:66f6)
《百战奇御》,且战且行。
我们诚挚邀请您前来分享企业安全的攻防经验
欢迎议题投稿:security@360.cn
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平结束国事访问回到北京 7928753
- 2 林诗栋3-4不敌张本智和 无缘决赛 7963844
- 3 于东来连发11条动态 7860337
- 4 中巴经贸合作再现历史性机遇 7783895
- 5 微信14天后自动清理原图原视频 7667936
- 6 陪看王楚钦vs约奇克 7507900
- 7 抗癌网红湘妹子去世 7406704
- 8 麦琳要用吃剩的熏鸡骨头煲汤 7394084
- 9 国乒包揽总决赛女单冠亚军 7230352
- 10 中国冰雪经济再度升温 7184936