诸子云 | 活动：9.25北京网络安全科技创新研讨会

9月1日，《数据安全法》正式落地实施，作为我国第一部有关数据安全的专门法律，对数据的使用、流通与保护做了进一步的规范。对于企业来说，数据安全防护将面临合规监管史无前例的挑战，这个过程中，解决数据资产发现以及数据安全治理当中存在的问题至关重要。

与此同时，网络安全国际形势日益严峻，网络攻击的强度和威胁程度直线上升。企业过去“重防御、轻攻击”的安全防护思路逐渐呈现颓势，站在攻击链的视角建立企业威胁检测体系或许能有效应对未来网络威胁。

基于此，9月25日，诸子云“网络安全科技创新专题沙龙”在大家的殷切期待中于北京知名爵士乐酒吧THE BRICKS如期举行。

本次研讨会由诸子云联合微博安全共同举办，微博安全运营负责人黄子洺担任主持，简单的开场白之后，适时将话筒交给了在场嘉宾。

活动有幸邀请紫光同芯、自如、国网电动汽车公司、光大科技、蚂蚁集团、中科院信息工程研究所、微梦创科、Zuora、联通数科、美团、新奥集团、北银金科、微博、东方国信等企业的安全专家参与。

安华金和北京售前技术负责人姜希永、知道创宇解决方案专家冀强、微博安全高级工程师肖忠林三位专家进行了分享。

01

《数据安全治理实践》

姜希永 安华金和北京售前技术负责人

数据安全治理当前面临的主要问题和挑战包括五个方面，分别是数据资产有规模、缺梳理；安全防护有技术、缺体系；安全体系重产品、轻运营；安全监管有目标、缺手段；安全管理有规范、难落实。

由于大量个人隐私数据和敏感数据无处不在，业务系统和网络环境复杂、数据共享多样、数据共享频繁，以及数据不断汇集、存储、加工、流动、使用和共享，安全监管、监测缺乏有效手段，最终导致数据安全治理面临管理难、检测难、追溯男、防护难。

对于数据安全治理，安华金和认为应该从经营战略、管控、合规，IT战略以及风险承受能力五个方面形成整体的解决方案。所谓“治理”，应该先“理”清数据、资产和责任，再通过明确数据的使用场景和相应的防护手段进行有针对性“治”理。

安全金和数据治理框架体系包含三个部分：管理体系、技术体系、运营体系；这三个部分也依次对应数据安全治理体系建设的三个阶段，分别是基础防护建设阶段、策略优化及管理能力提升阶段、数据安全运营管控阶段。

在基础防护建设阶段，企业应当通过现状调研、梳理、分类分级、安全评估和规划方案，对组织架构定岗定责，成立数据安全相关部门，对数据在业务中的使用情况进行分析和调研，输出问题报告。同时企业还需要通过和自身行业相关的标准来对前期梳理出来的数据进行分类分级，并进行安全评估，规划具体的管理方案。

策略优化及管理能力提升阶段主要包括数据资源管理、安全策略管理、风险事件监测以及风险分析，这个阶段主要是对基础防护建设阶段交出的答卷。

最后一个是数据安全运营管控阶段，也是最重要的阶段，包括数据资源安全运营、数据安全策略运营、数据安全事件运营、数据安全风险运营。

虽然我们在前面两个阶段对企业的数据资产进行了梳理和分类分级，但由于数据本身是活动的，会随着时间的变化而发生改变，所以会我们需要通过运营形成完整的数据安全治理策略的闭环，才能够对数据实现真正持续的防护。

管理、技术、运营，从基础、到优化提升再到运营管控，就是安华金和所提出的数据安全治理思路。

02

《网络空间测绘的应用与实践》

冀强 知道创宇解决方案专家

网络空间测绘最早并不是适用于网络安全领域的用语，但随着网络安全的发展，网络空间安全概念的强化，许多军事化的用语开始应用在网络安全领域，其中就包括网络空间测绘。

网络空间测绘对于企业侧的意义，总的来说包含五个方面：资产统计、资产梳理、安全风险评估、持续管理和数据利用。通过网络空间测绘帮助企业实现资产盘点，对企业网络空间资产进行测绘管理。

但是因为网络资产的特殊性，使得网络空间资产管理相关工作当前存在许多困难：

1、无法全面收集网络空间资产信息，资产统计困难；

2、网络空间资产分类标准不一，分类管理困难；

3、网络攻击日益普遍和频繁，基础安全评估困难；

4、通用高危漏洞频发，网络空间资产定位排查困难；

5、资产安全管理影响安全体系评估，融合建设困难；

6、资产数据不通用，数据集成与利用困难。

针对网络空间资产安全管理需求以及存在的困难，知道创于建立了网络空间资产发现和风险管理模型，从资产探测识别、资产梳理标记、安全风险评估、安全状态监管、漏洞应急相应、数据分析及输出、资产配置升级共七个环节，资产价值全周期进行覆盖。

根据资产发现和风险管理模型设计，ZoomEye Pro网络空间资产安全管理而生。依靠知道创宇多年在资产探测以及漏洞挖掘验证方面的积累，ZoomEye Pro通过四个关键词帮助用户高效完成复杂的网络空间资产安全管理工作，分别是通、全、细、快。

通，数据的交流互通——通过与ZoomEye数据的互通，帮助用户进行暴露于互联网资产的发现。

全，经交换机信息获取——对交换机ARP表进行进一步的分析，作为主动探测方式的重要补充。

细，详细资产信息获取——支持精准详细的资产信息获取，作为网络空间资产安全管理基础数据

快，全面快速资产发现——依托高端的硬件配置，可以对网络空间资产完成全面快速的探测发现。

知道创宇认为，在企业的安全管理工作中，可以将网络资产测绘与安全运营形成良好的结合。通过ZoomEye Pro网络空间资产安全管理，可以与企业原有的资产管理进行对接，联动云端和本地数据，将资产梳理到集团的资产管理平台当中，再融入到安全运营的流程里。构成利用网络空间测绘技术帮助整体安全运营的解决方案。

03

《攻击链视角之企业威胁检测体系建设浅谈》

肖忠林 微博安全高级工程师

随着攻击对手及攻击手段的升级，网络攻击目前主要呈现出网络军火民用化、网络攻击组织化、入侵手段隐蔽化、网络攻击产业化、攻击目标精准化、攻击技术多样化等几个特点。

面对不断增强的网络攻击和日益严峻的威胁，企业当前的安全防御却还存在许多误区。最主要的一点体现在“重防御、轻攻击”：将技术防御、防御视角、单点防护、边界防御等看得很重，却对攻击视角、联动分析、持续检测响应等看的很轻。

这也就导致了企业安全防御面临许多痛点：

资产管理不清，威胁梳理不明；

单点防御易被突破，缺乏有效联动；

告警太多，易被淹没；告警太少，存在漏报；

缺乏攻击视角，防御体系建设易陷入自嗨。

针对这些痛点，微博安全所提出的解决之道主要包括：

攻击视角：以攻促防，持续对抗；

技术与意识并重，内外威胁兼顾；

纵深防御，联动分析，体系化建设；

持续检测与响应，打造安全防护闭环。

建设威胁检测体系，微博安全认为要形成从预防、防御、检测到响应、反制的闭环，因为体系化持续检测是安全防护体系重要的一环。

从攻击链的视角看攻防体系，根据攻防经验，把攻击链分成侦查、打点、获取权限、信息收集、横向移动、权限维持、提权等环节，拿到数据后进一步将数据传出，比如数据渗出和目标达成等，整个链条都需要做持续检测和响应。

整个威胁检测体系的核心能力包括五点，分别是：全面威胁评估及建模能力、深度数据采集及解析能力、体系化检测分析能力、自动化告警运营能力、持续对抗及进化能力。

威胁评估主要从内部和外部两个攻击面展开。内部攻击面包括安全意识薄弱、资产风险分析以及内部非法攻击；外部攻击面则包括已知威胁和未知威胁。

针对内部攻击面，我们需要对内部核心/边缘资产攻击面、攻击链全面分析，并对内部非法攻击、员工安全意识薄弱威胁评估；针对外部攻击面，我们需要对已知威胁，如IOCs、TTPs特征库，建立威胁检测模型，对未知威胁进行威胁预测、推理分析。

数据采集分为三个层面，分别是协议层、主机层和内核层，同时结合外部的威胁情报，可以对数据进行有效地分析。数据采集的难点在于安全和业务的平衡，因为这个过程会对业务有一定的影响。

检测分析的维度主要包括进程异常、登录异常、流量异常、文件异常、恶意软件、行为异常，依据整个攻击链拆分检测项。信标特征库和威胁知识库可以对已知攻击进行有效的检测，而异常检测引擎当中的正常行为轮廓和当前行为画像，则可以有效检测未知攻击。

总的来说，企业威胁检测体系共分为六个方面：

威胁分析，明确内部&外部威胁；

数据采集，深度对应攻击链，宽度对应攻击面，深度越深，对抗成本越高；

检测分析，分为基于特征的威胁检测以及基于未知行为的异常检测等；

体系化建设，包括流量层、主机层以及蜜罐的部署等；

告警运营，比较重要的是误报和漏报的平衡，检测系统能否有效地运营并形成闭环；

对抗进化，内部红蓝军的持续对抗，策略验证以及绕过检测等。

04

现场花絮