乱云飞渡仍从容丨超170万人次观看,23项技术议题精彩回顾
今日,为期两天的第九届安天网络安全冬训营顺利落下帷幕。在两天的时间里,安天的工程师们和网络安全技术研究者们,分别围绕安全算力、闭环安全运营、威胁分析与综合安全三大议题版块为大家带来了23个主题报告。
本届冬训营由中央重点新闻网站光明网、网络门户媒体网易网等网络媒体,数世咨询、安全419、嘶吼、雷锋网等专业媒体,及哔哩哔哩安天科技官方账号和安天官方视频号八平台同步直播,两天直播分享,媒体平台累计超过170万次点击观看,安天哔哩哔哩官方账号、微信视频号近3万个账号登录观看。
赛克蓝德CTO朱林、炼石网络CEO白小勇、青竹实验室创始人刘志辉、赛博堡垒CEO Shawn Chang等多位业界专家发表主题演讲,安天相关研发部门技术专家也分享了威胁分析研究、产品研发、防御体系建设、安全运营等方面的最新进展和成果。
第九届安天网络安全冬训营会议日程
议题版块1:安全算力
本届冬训营主旨报告《安全的算力代价与安全算力的新探索》
报告的最后环节发布了安天澜砥实验室研发的安全算力专用原型芯片。
安天探海威胁检测系统对网络流量实现全要素的元数据化,能够从包、流、会话、文件、事件、深度分析等维度进行检测,检测的方式包含威胁情报、协议行为、文件载荷、文件行为等方面。介绍了安天在载体算力不足以支撑日趋复杂的检测要求的背景下,如何满足随着情报驱动安全、AI赋能安全的趋势,达成有效NDR闭环的经验。
安天端点安全部:《危城智甲——端点安全防护的资源代价与优化》
白总深入解读了密码法等法规颁布对密码需求的推动,并以炼石网络的实践深度介绍了基于X86等平台对国密算法的优化经验。
议题版块2:闭环安全运营
闭环安全运营版块以Log4j重大漏洞响应工作为背景,分享安天和业内同仁在统一工作负载、传统端点、蜜罐捕获和情报生产、WAF和业务安全、DevSecOps等环节如何支持客户完成闭环运营响应。
安天工程师分析了一例依托桌面跳板使用Log4j在内网向服务器横向移动的案例,指出海量端点治理本身就是重大漏洞检测的一部分。介绍了安天智甲融合EPP与EDR的优势,依赖更多的上下文环境、多点间的相关数据关联形成上层的判断决策。
安天捕风蜜罐通过广泛联动、深度多层次仿真捕获网络攻击,具备全链条采集、未知威胁检测能力,能够本地化生产包含指标、TTP级别的威胁情报,可用于安全设备拦截、处置,指导安全运营人员重点布防,供应态势感知威胁行动关联情报。
作为SIEM领域创新企业的创始人,朱总从杀伤链视角对Log4j相关攻击的事件进行分析、安全运营现状以及体系化建设、如何有效对应类似的漏洞、安全运营产品的关键能力四方面内容进行了介绍。
通过对业务的分析、攻击的溯源,为云SAAS服务、移动服务提供业务层的安全解决方案。主要包括四个部分,前两部分为当前WAF在安全体系中的角色、WAF自身存在的问题和针对这些问题的解决方案;第三部分是具体的应用实践;最后是WAF跟其他产品的联合。
以响应Log4j漏洞为例,介绍了安天推动SecDevOps的工具套件,由源码安全扫描套件AntiySCS、应用静态安全检测AntiySAST、软件组成分析AntiySCA、应用威胁自免疫AntiyRASP组成的工具链在SecDevOps框架中的实践。
安天安全服务中心:《云环境威胁猎杀实践与思考》
议题版块三:威胁分析与综合安全
威胁分析与综合安全版块包含安天对APT攻击、挖矿活动等方面的分析成果研究,以及业内专家在内核安全等方面的最新成果。
威胁框架是指导和提升威胁对抗能力的科学方法和实践工具,本报告介绍与分析了2021年度威胁框架在研究与应用方面的新进展,回顾了本年度 ATT&CK 框架的内容更新,重点分析了数据源描述方面的改进;介绍了本年度MITRE新提出D3FEND框架和ENGAGE框架,分析了二者在防御构建中的作用与意义。
安天技术委员会:《安天2022产品体系介绍》
安天技术委员会发布了安天2022年的产品图谱,介绍了安天AVL SDK威胁检测引擎和威胁情报的能力增量;介绍了智甲端点统一安全系统(UES、EPP、EDR、AV)、智甲统一工作负载防护系统(CWPP)、探海威胁检测系统(NTA、NDR)、追影威胁分析系统(沙箱)、捕风威胁捕获系统(蜜罐)、拓痕威胁处置系统等产品的新版本特性;以及安天在SIEM、SOC、SOAR、网络推演靶场等方面的新进展。
国泰网信是安天控股企业,专注工业场景密码应用。本报告介绍了本方案在密码法、GB/T 39786等密码标准上,国泰网信如何构造以商用密码为核心的信息系统安全防护体系,并在物联网、工业、移动办公等场景进行密码方案设计,解决了密码应用不正确、不规范、不安全等问题。
本报告分享了近年来安天移动对高级威胁的对抗经验,以及移动供应链的威胁情况,并分享了安天近年移动APT的威胁发现。
高级威胁活动中C2是命令与控制,也是APT组织掌握的基础设施。安天分析工程师基于大量APT分析经验,结合OODA循环和网空杀伤链推导出C2在网空杀伤链中位于关键位置。依据威胁框架将命令与控制技战术遍历与体系化分析,从公网、内网、Tor洋葱路由、卫星基础设施维度出发,体现了C2的多样化风格,既包括在Tor洋葱路由、卫星等基础设施维度体现了攻击方技术维度高级“A”,也包括在公网、内网方面与高级威胁活动的长期对抗中,C2展现的关键要素持续性“P”体现了攻击方的意志。
本报告回顾了本世纪初以来个人防火墙技术的发展历程,并主要围绕防火墙内核中的流量线索、实时诊断、多维联动、实际案例与插件体系等内容进行了分享。以内核中的网络流量为线索出发,获取对应进程,运行环境及其对应的文件路径。根据协议,获取进程所打开的端口,查看是否有异常端口。根据远程IP获取对方地理位置,是否有境外连接。根据远端尝试接入的连接信息(如:敏感端口列表,连接频率),判断是否被扫描,可与蜜罐、探海、威胁情报、赛博超脑等实现多维联动,对威胁进行决策。
本报告主要针对挖矿木马的危害及传播方式进行了介绍,对近年来活跃挖矿木马进行总结,并介绍当前挖矿木马所面临的安全现状和问题。本议题重点介绍安天针对挖矿木马进行应急响应的实战案例,通过威胁猎杀视角处置一次挖矿木马应急响应。
国防供应链安全与国家安全息息相关,它直接关乎一个国家军事供给的持续性和军事作战力量的稳定性。近来供应链安全事件频发,更加凸显了它的重要性。本议题针对当前国防供应链存在的安全风险及各国采取的应对举措进行阐述和分析,以期提供相关参考。
“暮色苍茫看劲松,乱云飞渡仍从容”。安天人将和网络安全业内同仁一道,不惧艰险,坚定信念,自我变革,努力攀登。“无限风光在险峰”,期待网络安全冬训营成为紧跟技术方向、改进产品实践的平台,与业内同仁共同打造坚实厚重的网空防御力量!
冬训营所有技术议题后续均可在线回看,并将发布相关议题文字版本,请持续关注安天微信公众号和哔哩哔哩安天官方账号。