ISC 2020威脅情報驅動的安全能力建設論壇:以威脅情報能力預判、阻斷安全風險
責編:gltian |2020-08-13 17:48:15物聯網、工業互聯網、萬物互聯的飛速發展正在加速全面數字化世界的到來,虛擬空間與物理世界正在被打通。來源于虛擬世界的黑客攻擊足與將其破壞性延伸至現實世界轉成物理的傷害,直接危害政治安全、國防安全、關鍵基礎設施安全、工業生產安全、金融安全、社會安全甚至公民的人身安全。
隨著網絡安全風險的不斷升級,網絡安全攻防對抗的對手也早已不再是曾經的“小蟊賊”,高智商的網絡犯罪組織、網絡恐怖主義分子和國家級黑客組織這樣的 “大玩家”們在紛紛入局,成組織、成建制,有戰術、有布局的“正規軍”們憑借著較高的“戰術修養”和攻擊資源在網絡空間中虎踞一方,從國防核電到電力交通能源等關鍵領域都成為了這些組織攻擊的靶心。 “看不見”威脅全貌、缺乏應對威脅之良策,赫然成為數字時代下的致命一環。
在這樣的背景下,8月13日,“威脅情報驅動的安全能力建設論壇”正式在第八屆互聯網安全大會ISC 2020揭幕,資深網絡安全專家、360高級威脅研究院副院長宋申雷,神州網云CEO、重大活動網絡安保組網絡安全專家、網信辦網絡安全和信息化專家委員會專家、烽火臺威脅情報聯盟聯合創始人宋超,360網絡安全研究院安全分析工程師張在峰,北京天際友盟信息技術有限公司技術總監劉廣坤,360企業安全集團高級產品總監高祎瑋5位威脅情報領域資深專家就當下嚴峻的網絡安全威脅態勢,和如何用威脅情報驅動安全能力建設的話題展開了深入的探討。
傳統防御已難御敵
威脅情報是狩獵APT攻擊的重要武器
論壇伊始,資深網絡安全專家、360高級威脅研究院副院長宋申雷率先結合360基于高級威脅情報能力狩獵APT組織案例,分享了360威脅情報金字塔建設的經驗和思考。宋申雷談到,網絡世界中的安全威脅無時無刻都在變化,而高級持續性威脅(APT)目前已經成為政府和企業不可忽視的重要威脅。由于APT具有定向性、長期持續、隱蔽潛伏的攻擊特點,使得安全人員運用傳統的檢測手段無法辨別和發現APT攻擊,而借助海量的安全數據、先進的機器學習技術和經驗豐富的專家團隊產生的高級威脅情報進行威脅狩獵,已經成為安全人員發現APT攻擊真正有效方法。
宋申雷表示,傳統被動式的防御手段以及針對單點的攻擊取證與溯源技術已經無力應對高級持續性威脅(APT)和新型高危漏洞等復雜的安全威脅。未來,威脅情報的作用會進一步被放大。結合關聯威脅情報,可以對攻擊方進行組織畫像和溯源,利用威脅情報構建攻擊知識庫,能夠實現對APT攻擊的智能化攻擊意圖推理及樣本變種自動化跟蹤。在信息共享和事件應急場景下,根據威脅情報反映的互聯網安全態勢,有助于預判后續可能的安全風險,使得響應網絡威脅的速度更快。
威脅情報應用的關鍵價值在于協同、共享、生態
數據標簽化是鎖定威脅源的重要手段之一
針對威脅情報能力的建設問題,神州網云CEO、重大活動網絡安保組網絡安全專家、網信辦網絡安全和信息化專家委員會專家、烽火臺威脅情報聯盟聯合創始人宋超認為,目前網絡安全公司每天收集的報警信息量級在上百萬個日志事件和數十萬個指標的數據,對于威脅情報分析師而言,已經無法完成每天的分析工作,必須自動進行數據收集和處理及分類,使用元數據報警標簽、人工標簽、第三方威脅信息標簽對其進行標識,形成畫像,精確識別每個網絡安全事件的全方位信息。
安全研究團隊應該基于威脅同源關聯分析模型,需對威脅情報中心進行優化,內置威脅同源關聯分析算法,以支撐相關分析工作。基于情報的威脅同源關聯分析技術核心在于對威脅源的標簽化畫像。對看似不同源的多個安全威脅,通過畫像標簽的深度關聯,來挖掘和判斷其之間的關聯關系,實現不同威脅線索的串聯。對每一次高級威脅攻擊的攻擊鏈條的每個環節打上威脅標簽、行業標簽,提取IOC指標發現關聯關系,進行針對性的防御。
?
以更科學透明的IOC評估機制
提升威脅情報IOC的應用水平
360網絡安全研究院安全分析工程師張在峰則分享了360在威脅情報中IOC評估工作中的實踐方法。張在峰提到,在威脅情報的使用過程中,威脅情報IOC的定量評估是衡量威脅情報質量的關鍵。因此評估威脅情報的IOC質量對于IOC的提供方和使用方來說都有非常重要的現實意義。
科學,透明的評估方法是將威脅情報IOC的評估方式定量化,可操作化的核心。以公開、可驗證的合理的評估方法供不同的用戶,不同的使用場景選擇重點關注的的測試指標,選擇最適合自己的威脅情報IOC。在業界首次采用靜態評估與動態評估相結合方式將IOC評估程序化運營,以優化IOC的評估機制,為威脅情報的提供方和使用方科學合理的評估威脅情報提供參考,進而促進威脅情報IOC的科學發展。
建立威脅情報&主動防御機制
方能知己知彼,百戰不殆
北京天際友盟信息技術有限公司技術總監劉廣坤就威脅情報與主動防御的話題進行了分享。他認為,縱深防御安全架構和技術產品正遭受公開的挑戰,互聯網上充斥著對現有安全防御技術的“繞過”技術。企業信息安全不僅僅是關注企業網絡邊界路由器內的安全,更多的分布在管理權限外的潛在威脅使得數字風險的響應和處置越來越困難。
互聯網、移動互聯網和工控網絡的高速發展,數字化轉型快速普及,使得網絡防護的邊界越來越模糊,攻擊者和防護者的界面不再以防護者所設定的邊界而涇渭分明地分處兩端。威脅情報的出現及拓展概念-安全情報,為防護者達成“知己知彼,百戰不殆”的愿望提供了可能性,威脅情報通過向防護者提供外部威脅信息,形成了新的攻防平衡,同時,基于威脅情報的響應能力也為打擊業務層面的數字風險侵犯提供了可能性,從而為企業的數字化轉型護航。
DNS數據具有巨大的安全價值
是挖掘網絡威脅的寶藏
在題為《情報驅動的DNS安全實踐》的演講中,360企業安全集團高級產品總監高祎瑋分享了在360安全DNS和域名威脅情報領域的工作經驗與探索。
高祎瑋提到,DNS協議在設計之初就只注重其可用性,忽視其安全性,由于協議的重要性和特殊性,幾乎所有的技防措施都允許DNS協議類型數據報文不受限制的傳輸,隨著時間的推移,DNS暴露出越來越多的安全問題。DNS已經成為網絡威脅流通的主要通道,DNS數據也因此具有巨大的安全研究價值,對網絡安全威脅行為的挖掘具有至關重要的意義,但目前通過DNS檢測威脅仍然存在數據信息量少、威脅域名動態性強的難點。
高祎瑋表示,受益于360安全大腦多維、海量安全大數據和DNS解析大數據的積累,360已經建立了一個“DNS威脅情報 + 智能威脅檢測算法”的檢測模型,能夠以高頻更新的DNS威脅情報和經過驗證的智能威脅檢測算法來解決DNS數據信息量少和威脅域名動態性強所帶來的DNS檢測難題。在演講中,高祎瑋以一個暗刷病毒為例,演示了通過部署在大網中的“360DNS安全監測系統”從DNS流量中發現、分析、追蹤和阻斷網絡威脅的過程,顯示出360DNS安全監測系統全面的威脅發現和防御能力。
最后,高祎瑋還在演講中宣布360公共DNS的服務升級計劃正式發布,即日起360公共DNS服務將全面支持IPv4和IPv6雙棧解析,并啟動DoH(doh.360.cn)和DoT(dot.360.cn)解析服務的全網公測。
除威脅情報驅動的安全能力建設論壇外,第八屆互聯網安全大會(ISC 2020)首次設置了新基建日、戰略日、信創日、技術日、產業日、人才日等多個主題日,還陸續推出網絡空間戰略與治理論壇、漏洞管理與研究論壇、信創安全論壇、大數據安全論壇、人工智能與安全論壇、城市安全論壇、關鍵信息基礎設施安全防護論壇等在內的27場論壇研討,圍繞新基建、戰略、信創、技術、產業等領域進行全方位探討與交流,洞察數字孿生時代下的安全趨勢,共同探索助推安全產業發展的新機遇。
目前,27場論壇正在陸續開放中,更多前沿技術話題、大咖觀點分享將在第八屆互聯網安全大會中持續呈現。鎖定永不閉幕的ISC 2020,與眾多行業大咖、技術專家一同千里云聚,共話安全。
上一篇:網絡爬蟲