为期两天的第五届安天网络安全冬训营暨关键信息基础设施保护论坛于今日落下帷幕。在两天的时间里,各位行业专家、学者以及安天的工程师们,分别从敌情想定及网络安全实战化的角度为大家带来了精彩的主题报告。第一天内容请参考《黑云压城敌情紧迫 红旗漫卷实战当先》;在此,小编对第二天的内容进行了总结整理,与大家一同重温精彩时刻。
第五届安天网络安全冬训营次日图文纪实
安天端点安全产品中心:《披坚执锐、决战终端防线》
端是安全之本,终端一直是威胁防御的主战场,面临着高级持续性威胁、勒索软件肆虐,传统杀毒的单点防护方式已经“力不从心”。安天智甲团队基于多年主机防御经验,立足敌情想定,在滑动标尺模型下,形成了从安全规划、被动防御、积极防御到威胁情报的层次化防御体系,依靠强有力的主防驱动、终端画像和群体防护模型。形成了能经受实战检验、可进行有效防御的终端安全产品。在终端的高烈度对抗中,安天将坚定以有效防护为目标,“披坚执锐,决战终端”。
北京炼石网络技术有限公司创始人、CEO白小勇:《商用密码技术在企业信息化中的实战化应用》
密码技术是企业信息化中实现数据安全的核心技术,尤其是在敌情客观存在的前提下。但目前,我们相对于商用密码的实战化还有一段距离。国产商用密码算法难以有效替换且不易于使用,使效率有所下降。
白小勇表示,基于以上问题,炼石网络对国产商用密码算法进行了相应的优化尝试,并得出,实战化的商用密码应用,就是在企业的关键信息化应用中,将密码能力适配进业务流程,输出有效的数据安全防护价值。
北京上元信安技术有限公司CEO郑曙光:《“云”网络空间的威胁对抗与实战》
在报告中,郑曙光首先对以安天为代表的国内安全能力企业共同倡导的“网络安全滑动标尺模型”表示认可和支持,并将其与自身产品能力的结合进行了思考。借助被动防御与积极防御和威胁情报结合的理念,阐述为防御提供支撑的方式。
他表示,基于数据中心上云所遇到的安全困境,包括传统安全解决方案无法直接应用到私有云场景、私有云独特的安全风险急需有效解决方案等,上元信安提出了针对数据中心问题的解决方案,消除数据中心上云的安全障碍,提供不低于原有水平的安全能力,甚至可以提供新的防护手段和更高的防护能力。
山石网科通信技术有限公司产品总监王中斌:《从微入手、层层防护》
王中斌以Locky勒索软件为例,说明在摸清楚威胁是如何一步步进入到内网中的情况下,采用针对性的防御措施和方案,以实现层层防御。
他表示,我们无法保住我们看不见的内容,因此,从微入手,针对敌情进行的可视化研究是所有威胁防御的基础,特别是在虚拟化环境中。在高级威胁防御方面,需知己知彼,针对高级威胁生命周期Kill Chain的不同阶段,应制定出层层防御方案。在内、外网多威胁防御方面,应认识到,“攻击都在外网,内网一定是好人”的假定在当前的网络安全中并不成立,需要有针对性的内网防御方案。
安天监控预警产品中心:《态势感知全景能力构建》
来自安天监控预警产品中心的专家在分享中表示,态势感知是从微观、中观到宏观的,而非仅仅是宏观展示(即传统的地图炮)。态势感知应该是包含观察、理解、预测下一步动作以及响应和处置的上层体系化防御系统。态势感知的基础能力由扎实的基础能力构成。
面对飞速变化的威胁形势,安天始终立足于总书记实现“全天候全方位感知态势和有效防护”的工作要求,采用快速叠加演进的思路,构建真实有效的态势感知能力全景。“以敌情想定为前提”,实现态势感知在未知威胁发现与响应、基于资产的威胁发现与响应、情报驱动的威胁发现与响应等具体场景下的实战化应用。
安天网络监测产品中心《智者伐道--感知网络空间中的新威胁》
网络威胁监测能力是“叠加演进安全模型”中“积极防御”的驱动力之一,也是 OODA 循环的关键一环。在本次分享中,来自安天网络监测产品中心的专家以监测威胁(鱼叉钓鱼)、发现威胁滩头堡(水坑攻击)、切断攻击杀伤链(WannaCry)三个实战化的实例,从提升感知、持续检测、相应驱动三个方向介绍了如何通过人机结合充分利用网络威胁监测能力、实现感知网络空间中的新威胁。
安天安全研究与应急处理中心:《潜伏的象群——来自某国的系列网络攻击行动》
2017年12月30日,安天发布储备报告《潜伏的象群——越过世界屋脊的攻击》分析报告。报告对过去五年中中国遭遇的来自南亚某国此起彼伏的攻击进行了披露,并将具有相似线索和特点的一系列网络攻击组织和行动称为“象群”。
安天安全研究与应急处理中心(安天CERT)对此进行了长期跟踪调查及分析总结。本次分享对“白象”组织及同样来自南亚某国的多个攻击组织的详细情况进行了介绍。我们应明确,在跟踪分析其所发动的APT攻击事件的同时,相关攻击组织也在不断进化和升级。在庞大的信息社会体系中,攻击面积大、可选择的攻击点很多,敌方可以很容易扩大战果。在这些攻击中,并没有高级0day和复杂的绕过技术,可见,只要不及时修订,就会有对手渗透进来,损害我国的国家利益,这就是“象群”给我们的教训。
安天反病毒引擎研发中心:《下一代威胁检测引擎——对抗威胁实战》
传统威胁引擎立足于单纯的载荷检测而设计,以已知特征+部分未知检测模块的方式应对威胁。安天下一代威胁检测引擎立足于检测引擎可被获取并绕过的假想而设计,其为将鉴定器、识别器、拆解器、分析器等多种能力集合于一身的复合体。本分享以实际威胁检测、分析、追溯工作中遇到的问题为例,讲述了下一代威胁检测引擎在对抗威胁中的实战应用。
安天安全运营中心:《锻造能力型工程师队伍,提供赋能式的安全服务》
安天在为用户服务、与威胁对抗的过程中,逐渐形成了解决用户安全问题的坚定信仰,不断沉淀对抗安全威胁的信念和勇气,确立安全厂商应具备的契约精神和价值观。2016年,安天安全服务团队全面规模成长,其依托安天18年的技术能力体系和分析技术积累,依托安天监测处置产品作为利器,借力安天赛博超脑和态势感知平台,整合安天优势分析能力,锻造了一支能力密集型工程师队伍,专业服务于更多的客户,并将安天多年的经验积累赋能给客户。
安天分析技术研究部:《基于密网的物联网僵尸网络监控与溯源研究》
物联网僵尸网络威胁利用Linux嵌入式设备的弱密码、漏洞入侵,获取百万量级肉鸡。Mirai开源代码导致出现大量变种,国内黑产也利用其增加漏洞或交叉传播。安全专家通过蜜网可以捕获最新漏洞、攻击IP、攻击资源和攻击者使用的恶意程序,监测DDoS、垃圾邮件实时数据等。通过其绘制的2017年整体攻击态势可知,国外攻击者C2的存活时间大部分在1000小时以内,而国内C2则存活更久。
安天安全研究与应急处理中心:《魔窟(WannaCry)事件的水面之上和水面之下》
安天在2016年网络安全年报中曾预测“勒索软件会与蠕虫的传播模式相结合”,结果不幸言中。2017年5月12日,“魔窟”(WannaCry)勒索软件全球大规模爆发,我国大量用户受到感染。“魔窟”对全球企业、交通、金融,教育、能源甚至执法机构带来了严重影响。安天工程师回顾了2017年5月12开始近30个难忘的日日夜夜,介绍了分析“魔窟”蠕虫加密数据方法、分析数据可恢复性等响应点的经验过程,最后对标滑动标尺模型,分析了我方信息系统的问题现状。对“历史上的巨大灾难应以巨大进步为补偿”作出了期待。
冬训营落下帷幕,细粒度、针对性梳理敌情,加快网络产品服务实战化进程的工作更待加速。安天将与业内同仁共同携手,为建设网络强国一同踏上新的征程。红旗漫卷,长缨在手,勇缚苍龙!
安天冬训营部分筹备组成员会后合影