冬训营选题揭秘丨执行体治理为什么是IT治理的基石
第十届安天网络安全冬训营已圆满闭幕,本届冬训营以“沧海横流”为营语,以“执行体全量识别与精细管控”为主题,来自政府、企业和高校等研究机构的专家学者贡献了21个技术议题,线上分享超过200万次观看,创历届冬训营之最。
在议题分享中,安天扩展了“执行体”的内涵,既有安全架构中的考量,又涉及到具体安全产品的改进策略,究竟什么是“执行体”?为什么要用“执行体”作为本届冬训营的主题?在相关技术议题中是如何解读“执行体”的呢?
今天我们就来解读本届冬训营主题的关键词——“执行体”。
01
什么是执行体?
执行体是为实现特定目的的代码和数据的综合表达。
执行体需要依托硬件系统、固件系统、操作系统、应用程序或虚拟机等执行环境执行。执行体可以在执行环境中独立执行,也可以嵌入在其他执行体或数据中执行。
执行体在网络中以文件形态和非文件的嵌入式形态存在。例如,基于二进制格式的.exe可执行文件、.sys驱动程序文件,基于文本格式的.vbs脚本文件、.bat批处理文件等。
02
为什么选择执行体作为主题?
网络安全对抗的焦点是代码与执行层面的对抗,其核心在于对包含攻击者恶意意图的代码转化为计算机执行指令的对抗。
执行体是代码对抗中的攻击目标;是攻击方的“武器化”攻击装备;也是防御方防御机制的承载者。
执行体还是IT治理工作的主要抓手,例如IT资产、漏洞与补丁、脆弱性、暴露面等,都与执行体息息相关。
但与此同时,我们对执行体的认识还是高度不全面、不完备,缺少系统的方法体系和框架。所以需要深入研究和探讨。
03
什么是执行体治理?
执行体治理是网络安全运营者通过识别和管控执行体以保障网络安全的持续过程。
在执行体的治理中有以下几项关键工作:
1)基础防护,需要完成检测、防御、清除恶意执行体和控制非恶意执行体网络访问等基础防护工作。
2)流程闭环,建立识别、塑造、检测、防御和响应的流程闭环。
3)基线控制,在流程运行闭环的基础上,全面掌握执行体的静态分布情况与业务应用的执行体构成,建立信誉清单,同时能够识别执行体的执行动作并依据基线进行控制。
4)量化指标,在基线建立之后,识别全部执行体,全面掌握执行体和执行体的行为与业务之间的支撑关系,建立信誉指标、行为指标、业务影响指标等量化指标。
5)持续运营,以指标为指引针对不同场景建立配套的管控规则库、基线库和模型库,并持续运营实现能力与时俱进、效能不断提升。
04
为什么执行体治理是IT治理的基石?
执行体是构成数字世界的基础要素,各种数字化系统(信息系统)往往由一个或多个执行体构成。执行体既是攻击载荷的承载者,又是被攻击的目标,攻击可以通过恶意代码执行体实现,也可以借助正常“执行体”实现。执行体本身必然是一个关键性的治理对象,做好执行体治理工作对防御场景构建识别、塑造、防护、检测、响应等安全能力具有重要支撑作用。
在2020年安天将威胁对抗经验与安全规划需求进行整合,基于防御关键动作,提出ISPDR防御框架,而执行体治理具体在5个防御环节中落实,分别是:
识别:有效澄清系统与业务环境;
塑造:管控执行风险,收敛暴露面,减少信息外溢;
防护:形成更精细的威胁拒止能力;
检测:强化威胁的定量判断能力;
响应:建立深度的响应能力。
【图】执行体治理关联图谱
同时,如图所示,执行体治理工作对威胁、脆弱性、暴露面、权限与账户乃至系统资源优化等IT与安全方面治理工作具有重要支撑作用。
05
做好执行体治理工作需要哪些关键支撑能力?
通过以上问题的回答,我们发现执行体治理是一项综合工作,也必然需要关键支撑能力,即:这也就是本届冬训营21个议题所具体讨论的内容。
1)海量恶意代码精准识别能力。
能够被低风险恶意代码感染的系统,一定可以被高级别攻击者攻陷。以安天AVL SDK为代表的反病毒引擎的恶意代码精准识别能力,依然是执行体治理最重要的环节。
2)执行体的元数据提取能力
粗糙的标识难以支撑精细化的治理。执行体元数据化是执行体识别和精细管控的基础。
3)面向执行体的向量级情报与消费引擎
向量级威胁情报概念由安天提出,是基于威胁检测引擎的识别和深度拆解能力承载,从执行体中抽取的能够表征威胁行为体基因特性、具备形式化特征的深度情报。
4)端点侧细粒度采集能力
以安天智甲EDR为代表的端点侧细粒度采集是对威胁检测、固证、溯源、猎杀等上层业务的必要支撑,是进行执行体识别、信誉计算和管控的必要支撑。
5)基础信誉库
客户分析资源与人员有限,无法自行完成防御场景海量执行体的识别与信誉标定。需要安天等厂商提供基础的海量执行体的信誉库,帮助客户解决大部分网内执行体的初始信誉基线构建的问题。
6)本地分析鉴定和治理情报生产能力
解决保密与安全难以兼顾的问题,厂商侧分析能力需要下沉至客户侧。以安天追影为例,能够供给本地化细粒度动静态分析能力,支撑情报线索拓展,发现恶意执行体后,输出情报,补全断链;揭示执行体行为,在受控环境中细粒度分析执行体行为,特别是威胁行为;提升攻击者对我防御体系的绕过、预测难度。
06
执行体治理的成熟度如何评价?
通过以上问题的回答,我们发现执行体治理是一项综合工程,安天基于执行体治理的实践经验,提出“执行体治理成熟度模型V1.0”,帮助客户基于当前防御和治理现状渐进达成“主动运营持续优化”的治理能力。模型如下图所示:
级别
级别名称
描述
5级
持续优化(主动运营持续优化)
在4级基础上,适配业务的数字化演进速度,主动调整优化指标体系,改进治理流程,持续运营规则库、基线库和模型库,持续提升治理体系的运行效率。
4级
细致评估(全量识别细粒度管控,指标体系量化可评估)
识别全部执行体,全面掌握执行体和执行体的行为与业务之间的支撑关系,建立信誉指标、行为指标、业务影响指标等量化指标,以指标为指引针对不同场景建立配套的管控规则库、基线库和模型库。
3级
清晰可控(分布构成清晰,执行行为可管控)
在流程运行闭环的基础上,全面掌握执行体的静态分布情况与业务应用的执行体构成,建立信誉清单,同时能够识别执行体的执行动作并依据基线进行控制。
2级
流程闭环(治理流程闭环)
在基本防护良好执行的基础之上,具备识别、塑造、检测、防护、响应的流程闭环,形成理清执行体、实施全面治理的基础。
1级
基本防护(执行基本防护)
以防御恶意执行体为主要目标,使用常见的安全防护技术手段,在安全能力得到良好维护的情况下,对常见的威胁可以有效防御。
0级
无防护
以各系统自带安全机制进行防护,无明确的执行体治理目标和防护举措。
安天网络安全冬训营坚持聚焦网络安全专业主题,围绕最新的学术研究成果和前沿探索,研讨有效的防御价值落地,赋能产业转型升级。正是因此,“执行体”荣登本次冬训营主题,也是安天希望能与业界同仁和客户共同探讨更有效的安全运营变革。后续相关技术议题内容、视频、PPT都将陆续开放在安天视频号、冬训营官方网站上,期待持续关注!
第十届安天网络安全冬训营已圆满闭幕,本届冬训营以“沧海横流”为营语,以“执行体全量识别与精细管控”为主题,来自政府、企业和高校等研究机构的专家学者贡献了21个技术议题,线上分享超过200万次观看,创历届冬训营之最。
在议题分享中,安天扩展了“执行体”的内涵,既有安全架构中的考量,又涉及到具体安全产品的改进策略,究竟什么是“执行体”?为什么要用“执行体”作为本届冬训营的主题?在相关技术议题中是如何解读“执行体”的呢?
今天我们就来解读本届冬训营主题的关键词——“执行体”。
01
什么是执行体?
执行体是为实现特定目的的代码和数据的综合表达。
执行体需要依托硬件系统、固件系统、操作系统、应用程序或虚拟机等执行环境执行。执行体可以在执行环境中独立执行,也可以嵌入在其他执行体或数据中执行。
02
为什么选择执行体作为主题?
网络安全对抗的焦点是代码与执行层面的对抗,其核心在于对包含攻击者恶意意图的代码转化为计算机执行指令的对抗。
执行体是代码对抗中的攻击目标;是攻击方的“武器化”攻击装备;也是防御方防御机制的承载者。
执行体还是IT治理工作的主要抓手,例如IT资产、漏洞与补丁、脆弱性、暴露面等,都与执行体息息相关。
但与此同时,我们对执行体的认识还是高度不全面、不完备,缺少系统的方法体系和框架。所以需要深入研究和探讨。
03
什么是执行体治理?
执行体治理是网络安全运营者通过识别和管控执行体以保障网络安全的持续过程。
在执行体的治理中有以下几项关键工作:
1)基础防护,需要完成检测、防御、清除恶意执行体和控制非恶意执行体网络访问等基础防护工作。
2)流程闭环,建立识别、塑造、检测、防御和响应的流程闭环。
3)基线控制,在流程运行闭环的基础上,全面掌握执行体的静态分布情况与业务应用的执行体构成,建立信誉清单,同时能够识别执行体的执行动作并依据基线进行控制。
4)量化指标,在基线建立之后,识别全部执行体,全面掌握执行体和执行体的行为与业务之间的支撑关系,建立信誉指标、行为指标、业务影响指标等量化指标。
5)持续运营,以指标为指引针对不同场景建立配套的管控规则库、基线库和模型库,并持续运营实现能力与时俱进、效能不断提升。
04
为什么执行体治理是IT治理的基石?
执行体是构成数字世界的基础要素,各种数字化系统(信息系统)往往由一个或多个执行体构成。执行体既是攻击载荷的承载者,又是被攻击的目标,攻击可以通过恶意代码执行体实现,也可以借助正常“执行体”实现。执行体本身必然是一个关键性的治理对象,做好执行体治理工作对防御场景构建识别、塑造、防护、检测、响应等安全能力具有重要支撑作用。
识别:有效澄清系统与业务环境;
塑造:管控执行风险,收敛暴露面,减少信息外溢;
防护:形成更精细的威胁拒止能力;
检测:强化威胁的定量判断能力;
响应:建立深度的响应能力。
同时,如图所示,执行体治理工作对威胁、脆弱性、暴露面、权限与账户乃至系统资源优化等IT与安全方面治理工作具有重要支撑作用。
05
做好执行体治理工作需要哪些关键支撑能力?
通过以上问题的回答,我们发现执行体治理是一项综合工作,也必然需要关键支撑能力,即:这也就是本届冬训营21个议题所具体讨论的内容。
1)海量恶意代码精准识别能力。
06
执行体治理的成熟度如何评价?
通过以上问题的回答,我们发现执行体治理是一项综合工程,安天基于执行体治理的实践经验,提出“执行体治理成熟度模型V1.0”,帮助客户基于当前防御和治理现状渐进达成“主动运营持续优化”的治理能力。模型如下图所示:
级别 | 级别名称 | 描述 |
5级 | 持续优化(主动运营持续优化) | 在4级基础上,适配业务的数字化演进速度,主动调整优化指标体系,改进治理流程,持续运营规则库、基线库和模型库,持续提升治理体系的运行效率。 |
4级 | 细致评估(全量识别细粒度管控,指标体系量化可评估) | 识别全部执行体,全面掌握执行体和执行体的行为与业务之间的支撑关系,建立信誉指标、行为指标、业务影响指标等量化指标,以指标为指引针对不同场景建立配套的管控规则库、基线库和模型库。 |
3级 | 清晰可控(分布构成清晰,执行行为可管控) | 在流程运行闭环的基础上,全面掌握执行体的静态分布情况与业务应用的执行体构成,建立信誉清单,同时能够识别执行体的执行动作并依据基线进行控制。 |
2级 | 流程闭环(治理流程闭环) | 在基本防护良好执行的基础之上,具备识别、塑造、检测、防护、响应的流程闭环,形成理清执行体、实施全面治理的基础。 |
1级 | 基本防护(执行基本防护) | 以防御恶意执行体为主要目标,使用常见的安全防护技术手段,在安全能力得到良好维护的情况下,对常见的威胁可以有效防御。 |
0级 | 无防护 | 以各系统自带安全机制进行防护,无明确的执行体治理目标和防护举措。 |
安天网络安全冬训营坚持聚焦网络安全专业主题,围绕最新的学术研究成果和前沿探索,研讨有效的防御价值落地,赋能产业转型升级。正是因此,“执行体”荣登本次冬训营主题,也是安天希望能与业界同仁和客户共同探讨更有效的安全运营变革。后续相关技术议题内容、视频、PPT都将陆续开放在安天视频号、冬训营官方网站上,期待持续关注!