2019網絡安全分析與情報大會開幕,見證威脅情報全面賦能
隨著互聯網和云計算在全球企業生產、辦公環境中的普及,企業信息安全面臨著邊界模糊、環境復雜、威脅多樣化等多方挑戰;《網絡安全法》、《網絡安全等級保護條例》的頒布實施令企業更為重視網絡安全合規、數據保護和業務安全;企業自身的數字化轉型也要求信息安全同步跟上,知己知彼的下一代安全中,威脅情報將起到至關重要的驅動作用。
7月25日,2019網絡安全分析與情報大會在北京召開。該會議由北京微步在線科技有限公司主辦,今年是第三屆。秉承著中立、客觀、開放的原則,邀請來自政府機關、金融、互聯網、安全等各個領域的一線安全專家,分享企業信息安全和威脅分析研究成果和落地實戰案例。
2019年大會的主題為“全面·賦能”,來自中國人民銀行、公安部、平安集團、螞蟻金服、金山云、順豐集團、賽博英杰、微步在線等機構和公司的十余位專家同臺分享,暢談企業信息安全建設與威脅分析的發展趨勢,對網絡防護與威脅情報驅動的新一代網絡安全技術進行多點發散的深度剖析。本次大會嘉賓的分享內容如下:
北京賽博英杰科技有限公司創始人、董事長譚曉生的演講議題是《情報驅動的網絡空間安全防御體系》。他認為,在萬物互聯,一切皆可破解的時代,威脅情報的收集、分析、有效使用是為防御的基礎。美國的國家級網絡安全攻防體系就是情報驅動的,對情報既有有主動收集也有被動收集,收集內容互聯網骨干的網元數據與內容信息,甚至包括對加密數據的分析與破解,斯諾登所曝光的“棱鏡計劃”也是情報來源之一。如今全球網絡犯罪和間諜行為日益增多,加強威脅情報應用產業發展已成為必然,于企業,威脅情報能力決定企業安全防線敏感度和長度;于國家對抗,威脅情報能力防御發現外部網絡攻擊能力。
譚曉生說:“威脅情報的供應商比較少,微步在線可以說是目前走在國內前列。”他呼吁整個產業給威脅情報供應商以認同,為威脅情報買單。
本次大會主辦方微步在線創始人、CEO薛鋒分享的議題是《網絡安全走向云化》。他提出,網絡安全正在發生如下幾個變化:一,從規則化、策略化走向數據化;二,去盒子化,走向云化;三,網絡安全走向實戰化;四,網絡安全團隊的服務化。
薛鋒認為網絡安全走向云化是必然趨勢,首先,云的處理能力更強。其次,企業各個系統的應用正在走向云端,第三, 4G、5G的發展讓企業的邊界走向移動化。
薛鋒表示,目前企業迫切需要有效的入侵檢測能力,而非傳統意義上的IDS。此外,DNS的重要性也應被重視。
最后,薛鋒公布了微步在線的情報獎勵計劃,獎金池中設置的金額為1000萬人民幣,微步將用這筆資金鼓勵安全從業者在微步在線的X情報社區中共享情報,惠及全行業。
中國人民銀行金融信息中心信息安全部資深網絡安全工程師董祎鋮的演講議題是《威脅情報賦能態勢感知建設》。董祎鋮認為,態勢感知源于安全運營工作中對高階威脅的對抗需求。外部信息有效支撐,強調及時準確;內部資源橫向打通,強調整齊劃一。威脅情報在其中可以起到重要的“賦能”和“串聯”作用。
從基于規則到基于情報,董祎鋮的安全運營團隊完成了從“相信過程”到“相信結果”的轉變,通過規則來對流量和日志進行分析,過程是正確的,但也會產生大量的漏報和誤報,但情報是結果導向的、高度濃縮的知識,邏輯嚴謹。域名情報是斬斷攻擊鏈非常重要而且有效的手段,甚至能做到“人為魚肉,我為刀俎”,形成降維防御。
平安集團首席信息安全官陳建的演講題目是《第三方供應商信息安全風險管理實踐》。陳建認為供應鏈安全對企業安全日顯重要,除了傳統的安全審計和準入外,對供應商或第三方安全的持續監控顯得尤為重要。平安在這方面做了一些實踐,在這個過程中利用了威脅情報技術和數據幫助管理整個供應鏈的風險。
利用威脅情報、空間資產的技術和平安安全合規上的經驗積累,通過自動化的方式做審計,平安集團的安全團隊能夠將數據輸入到整個在線安全評價平臺,對企業做比較全面的風險評估,評估的結果可以在線可以隨時生成報告,通過這種方式不斷對第三方供應商做評價,可以提前發現風險,在事前、事中、事后都可以對風險進行監控。
原國家信安標委會委員和公安部等級保護專家委員會成員,資深高級測評師朱建平的演講議題是《等級保護基本要求2.0解讀》。朱建平認為,等保2.0的基本要求適合了新技術的發展,把云計算、移動互聯、物聯網,工業控制系統等納入標準范圍,構成了安全通用要求。
同時,新的等保測評標準在內容上有很大的變化,基本要求、設計要求和測評要求在分類框架上形成了統一。此外,等保2.0標準里面增強了可信計算,把可信驗證列入各個級別中間,提出各個環節主要可信驗證要求。對網絡攻擊分析,特別是威脅情報、態勢感知等新安全技術基本納入到等保三級的要求內。
微步在線技術運營合伙人趙林林的演講題目是《重保中的對抗、檢測和溯源》。在分享中,趙林林從重保的訴求來看安全建設中檢測、對抗以及溯源能力的應用。在參與重保的過程中,企業往往會出現兩種被攻陷的場景,第一種是企業盲區被發現并攻破,第二種是攻擊者繞過已有的防御體系,從辦公網等其他通道攻入企業內部。
趙林林認為,辦公網的價值和防御的價值被遠遠低估,企業安全人員需要明白以下幾點內容:
一,哪些企業資產和業務是企業安全力量的主要投入點?
二,企業資產的面積和邊界,比如企業IP段、新上線的系統,端口、子域名等。
三,網絡監控應當如何建設。
趙林林認為,建設企業網絡監控應當遵從二八定律,選擇高杠桿率的地方監控,如邊界、郵件、服務器等。他還表示,在重保的過程中,不必執著于某種技術或某個理念,應當以目標為導向,圍繞目標確定實現路徑,關鍵是解決問題。緊接著,他分享了在重保活動中遇到的幾個案例。
金山云安全負責人孟偉的演講議題是《情報的協同應用及情報使用的創新方法》。云環境下,用戶業務形態愈發多樣化,造成攻擊的形式也更加多元化,傳統的規則匹配、統計分析及機器學習的方式已經越來越難適應新時期業務需要。
孟偉說,金山云安全團隊采取了如下做法,第一,利用情報保障云平臺本身的安全,把情報結合到入侵檢測和風控;第二,把威脅情報集成到安全產品,如WAF、主機安全產品等,情報服務直接以API的方式放在平臺上售賣,為云上用戶提供API服務;第三,利用情報規避一些合規的風險,如被污染的IP等;第四,利用情報來自證清白,如讓微步在線這樣的情報廠商給被攻擊到的客戶做溯源,把攻擊團伙作為一個實際的攻擊人找到,并把報告發給用戶證明金山云的清白,花很少的資源能夠取得非常好的效果。
孟偉說:”多元化攻擊的場景,會不可避免地產生大量的誤報、漏報,通過將威脅情報能力集成到現有的安全產品(高防、WAF、主機安全、威脅感知等)中,與現有的檢測防御機制協同工作,消除誤報,減少漏報、從而減少安全的運營成本,為用戶提供更加高效、精確的防護。我們要讓安全保障云服務,安全促進云業務。“
螞蟻金服平臺安全部總監王宇的演講議題是《應急響應視角下的安全建設訴求》。王宇分享了從應急響應視角下看“自適應安全建設體系”中需要前置的能力建設項。從整個建設閉環的不同起點看整體安全建設規劃,往往能夠催生很多新的建設訴求。很多的能力需要在安全事件發生前就需要具備。
王宇認為,有效的應急響應依賴于前期大量的基礎準備工作,而不僅僅是出問題時刻的匆忙上陣。應急響應的介入不僅僅是發生了攻擊事件,高危漏洞、威脅情報、檢測規則更新均有可能作為起點開始響應周期。安全人員應當知己知彼,對于用戶資產、服務類型甚至處理的業務代碼段都要能夠快速定位,做到心里有數。安全領域、生產領域、研發領域的技術需要廣泛接觸,做到觸類旁通,并據此設計合適的方案;對于安全威脅不僅僅關注IOC,更要關注攻擊者的TTP,對攻擊熱點保持敏感。
王宇表示,安全建設期望的是安全能力的完備,而安全產品只是能力的載體,現階段的安全產品并不能很好的覆蓋所有安全能力的訴求。明確建設重點,全局調優建設目標勢在必行。同時安全人員要充分思考如何發揮自身主戰場優勢,揚長避短,規劃好資源分配,關注投入產出比,通過參與安全建設來獲得能力的快速提升。
微步在線分析團隊負責人樊興華的演講議題是《基于Sysmon的企業級終端威脅檢測與響應》,在本次議題匯總,樊興華分享了微步在線在對Sysmon應用的探索實踐歷程。
企業可以通過使用微軟的免費EDR工具Sysmon收集終端(辦公終端及服務器)上的進程、文件、網絡及DNS等相關行為日志,并上傳到大數據平臺集中存儲,并且按照日志的ProcessGUID等字段還原這些行為之間的衍生關系,結合威脅情報IOC、流量規則、行為規則、機器學習算法以及多引擎、沙箱等分析系統對相關行為日志進行威脅檢測,進一步結合上述行為衍生關系對相關攻擊木馬進行定位,輸出取證處置建議,還原攻擊者攻擊路徑,最終形成威脅的檢測、定位、取證、處置及內部溯源的檢測與響應閉環。
知名安全自媒體作者“安全小飛俠“王任飛的分享議題是《如何建設體系化的安全運營中心(SOC)》。王任飛首先分享了他所理解的完整應急響應過程,應包括評估、控制、根除、恢復和總結。SOC應基于應急響應思想來建設,因此王任飛認為,完整的、體系化的SOC至少包括日志收集類平臺、威脅檢測平臺、IOC檢測平臺和內部威脅追蹤和記錄平臺。
王任飛還講解了國外公司在建設SOC時采用的紅藍對抗思路,將團隊分為攻擊方和防守方進行分別建設,并詳細講解了各個團隊的構成和職責。此外,王任飛推薦了一些可用工具:如IP域名檢測工具、郵件檢測工具,鏡像工具等。
順豐集團信息安全與內控處信息安全組負責人潘盛合的演講題目是《威脅情報應用實踐》。他認為威脅情報的場景在被拓寬,不僅在安全上,還擴展到業務上。順豐希望引入外部的數據來預測內部潛在的威脅,把隱患羅列給用戶,作為參考和指導。在供應商和員工的風控上,威脅情報有著很大的意義。
”我們做DNS的加固和系統隔離,以及IP異常檢測和判斷,來判斷這是什么團伙,最后我們根據已有數據做預測。“潘盛合說,”整個威脅情報行業需要更廣泛的數據和信息,這里面不僅需要乙方不斷努力,還需要社會各方力量一齊共建威脅情報行業的生態環境。“
