主要以威胁生命周期进行防护,包括威胁情报(外部贩卖数据、黑灰产手法、0day/nday漏洞、威胁IP/域名/app/账号/手机号/电话号码/身份证等数据)、攻击链路中各阶段蜜罐(包括无交互、轻交互、服务蜜罐、交互式蜜罐等)、威胁感知(采集网络、主机、终端等各层数据,汇总分析、研判与处置)、黑客溯源、红蓝对抗(内部与红队进行常态红蓝演练)。
威胁安全认知
- ★★☆☆☆ 你觉得事前建设和事中威胁感知的投入比例应该是怎么样的?
- ★★★☆☆ WAF是基于攻击特征黑名单的方式,也就不断会存在绕过和遗漏,它存在的意义是什么?
- ★★★☆☆ 如何衡量威胁感知能力强弱?
- ★★★☆☆ 感知规则的有效性如何系统验证?
- ★★★★☆ 未感知部分如何衡量?
流量采集与清洗
- ★☆☆☆☆ 威胁感知可以在哪些层面进行?
- ★★☆☆☆ TCP协议的流量要储存哪些关键字段?
- ★☆☆☆☆ 如何在服务器上抓取HTTPS流量进行分析?
- ★★☆☆☆ 清洗流量时可以通过哪些方式降低无用流量?
- ★★☆☆☆ 清洗流量时如实现URL的去重?
- ★★★☆☆ 清洗流量时如何剔除攻击流量?
- ★★★☆☆ 清洗流量时可能会导致哪些潜在的安全风险?
- ★★★☆☆ 清洗流量时如何识别新增接口?
- ★★★★☆ 如何实现近实时风险处置?
- ★★☆☆☆ WireShark如何抓取非浏览器的HTTPS请求流量?
人机识别
- ★★☆☆☆ 哪些场景容易出现机器自动化?
提示:功能自动化(自动聊天、游戏外挂、恶意点击等)、稀缺抢购类(抢红包、秒杀等)、数据爬取类等
- ★★☆☆☆ 端上有哪些常用的自动化实现?
提示:按键精灵、触动精灵、Auto.js(iOS)、UI Automation(iOS)、伪造指令(辅助功能/sendevent/构造点击事件)、无障碍模式、adb、Instrumentation单元测试框架、Hook、API接口调用、物理点击(点击器/筋膜枪)、AI+iOT
- ★★☆☆☆ 抢购类人机识别有哪些策略比较有效?
提示:操作链路是否符合正常业务逻辑(还未开始就调用最终抢购接口等、未经过正常业务入口进入等);操作累计行为是否符合正常人(1s点击次数、单日观看次数、多日累计交易额等);精细化对抗(多层CNN-BASE网格手势路径识别、利用加速度陀螺仪传感器数据进行AHRS算法求解姿态角)等。
风险识别与应对-移动端
- ★★☆☆☆ 端上有哪些风险特征?
提示:root、hook、debug、多开、模拟器、虚拟容器、注入、重打包、调试等;业务行为特性(访问业务序列是否存在固定路径;单账号访问某一个服务大于正常阈值);物理行为特征(重力加速度/陀螺仪等姿态传感数据,亮度传感器,手势传感器;手机电量,充电状态,网络状态,硬件信息,锁屏等)
风险识别与应对-网络侧
- ★★☆☆☆ 常见的C&C通道种类和特征?
提示:特征从上行比下行大、长连接、心跳、没有js等资源引用等方面来看。
- ★★★☆☆ 如何在加密流量中检测出恶意流量?
- ★★★☆☆ 新企业应监控哪些主要行为特征?
提示:出站流量;HTML响应大小;登陆地异常;数据库读取量级异常;同一接口的大量请求;等
- ★★★☆☆ 如何识别异常服务器外联?
- ★★★☆☆ 基于网络五元组可以做到哪些风险行为的分析?
风险识别与应对-主机侧
- ★☆☆☆☆ 主机有哪些日志对风险识别有帮助?
- ★★☆☆☆ 抽象来看主机中有哪些后门实现方式?
- ★★★☆☆ 一个黑客入侵主机后植入了一个木马,并擦除了各种日志,如何找出其如何入侵的以及入侵后做了什么事?
- ★★★★☆ 某个黑客入侵主机后,拿到了root权限,如何止血?
- ★★★★★ 感知到黑客入侵了所有服务器,怎么办?
风险识别与应对-应用侧
- ★★☆☆☆ 应用相关有哪些数据可以用作威胁分析?
- ★☆☆☆☆ 如何准确识别域名探测?
- ★☆☆☆☆ 如何准确识别端口探测?
- ★★☆☆☆ 如何准确识别文件遍历探测?
- ★★☆☆☆ SQL注入拦截规则如何实现?
- ★★★☆☆ 如何实现页面篡改感知?
- ★★★☆☆ 如何实现页面挂马感知?
- ★★★☆☆ 如何确保上线的拦截规则不出现误拦截?
- ★★★☆☆ 如何识别公共和私有接口?
- ★★★★☆ 如何识别机器行为请求?
- ★★★★☆ 如何感知越权风险?
- ★★★★☆ 如何识别攻击请求是定点攻击还是随机扫描?
- ★★★★☆ 专家检验无法覆盖的风险如何检测?
- ★★★★☆ 有哪些类型应用层风险是无法在流量层较好感知的?
- ★★★★★ 如何识别客户端的系统真实类型?
威胁溯源
- ★★★★☆ 接到客户投诉,其收到诈骗电话,骗子能准确说出他在我们平台购买的商品名称、订单号、收获地址和时间信息,请问如何排查该信息泄漏途径?
- ★★★★☆ 内网论坛的截图的内容突然出现在了外部新闻网站,有多少种溯源方式?
- ★★★☆☆ 内网某台没有公网地址的服务器突然CPU异常标高,经排查发现是因为cat了某个大文件导致的,但服务器相关人员都说没有操作过,请问如何溯源出谁操作的?
- ★★★★☆ 如何挖掘某个恶意APP、钓鱼网站背后团伙?
提示:首次安装使用该APP、钓鱼网站的人大概率是黑产团伙。同时通过有交集环境(网络、设备)挖掘同伙,以及通过社交、资金记录交叉圈定。
威胁情报
- ★☆☆☆☆ 企业会面临哪些外部风险?
- ★☆☆☆☆ 有哪些可以收集的情报渠道?
- ★★☆☆☆ 如何快速筛选出最新的CVE对我们是否有实际影响?
- ★★☆☆☆ 爬取暗网内容是否违法?
- ★★★☆☆ 如何准确识别Telgram群里和我们公司相关的情报?
- ★★★☆☆ SaaS类情报产品的联防联控机制的缺点是什么?
- ★★★☆☆ 给定一个网站,如何自动化识别其是否钓鱼网站?
- ★★★☆☆ 如何识别仿冒APP?
- ★★★★☆ 如何识别一个没有登陆的用户的真实身份?
- ★★★★★ 如何找出对我们业务实施网络攻击的黑客真实身份?
- ★★★☆☆ 国内和国外攻击特点有什么区别?