压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

主持人：譚總展示了大數據的方法，下面我們再強調一下。先不安排提問環節了，下面的演講者是我們國家在漏洞挖掘方面最頂級的專家，號稱國內Windows內核漏洞的第一人，南京瀚海源的方興，我們有請。他報告的題目是“數字空間的威脅感知”。

方興：今天時間比較有限，我講的東西是比較水的，沒有什么干貨的東西，當然更加務虛一點兒，對未來的思考，包括今天早上的時候，我跟有一些客戶在外面交流，他們說現在整個網絡的安全大家都覺得很重要，都在不斷的提出問題，但是好像都沒提出很好的解決問題的方法。

為什么導致這樣的一個現狀呢？我們目前IT整個安全當中有什么樣的一些特性會導致出現這樣的狀態，出現這樣的狀態以后，我們怎么去解決，當然這不一定能完全解決，但確實我們目前整個網絡安全到底跟我們傳統的安全有什么大的不同的地方？

在這當中我覺得我們目前整個網絡安全，包括面臨的最大的一個問題，我們在威脅感知上整個IT系統和網絡體系是缺乏的，感知威脅，我們有一種無痛癥，這種人是非常危險的，因為他接觸到危險的環境是完全沒有感知的，危險對他造成很大的傷害他都不知道回避這種威脅或者解決這種威脅必然就會導致威脅的擴大和問題。這當中大家對我們有點了解的都知道我們是做APT檢測的廠商，這當中我們也發現很多特碼，包括WPS云的攻擊，我們把分析提出來，就會有很多人跳上來質問說這是APT攻擊，你怎么證明它是個P？在這當中APT可以分成三個問題，A問題，P問題和T問題，但是A問題是你怎么感知到這種威脅，你無法感知這種威脅是沒辦法回答P問題和T問題的，它為什么持續，正因為你感知不到攻擊者才能持續的對你發起攻擊，正因為你感知不到威脅者才能進去給你造成很大的威脅，我們現在首先要解決的是A問題，你解決了感知的問題，在這個基礎上你才能真正的解決P問題和T問題，不可能一上來就把P問題和T問題解決掉。所以，我認為要解決當前的問題。首先要解決感知威脅的能力問題。

現實生活中我們怎么感知這種威脅呢？一般事前我們對威脅模式有一個認定，避免進入威脅的場景，我們從小的時候會被爸爸、媽媽教育什么情況是很危險的，你碰到這種情況要避免進入這種威脅的場景。在事中的時候，我們靠各種的感官，當有人打你的時候你會產生疼痛感，這種不斷感受的威脅，并且用已有的知識來識別這種威脅，來避免遭受損失。在事后則是我們通過產生異常的事情或者造成的損失，我們知道威脅產生了，房子坍塌了，我知道有問題了，你的錢包丟了，我知道我整個產生了失竊的事情，但在IT當中我們會發現整個感知威脅的體系面臨很大的挑戰，在事前我們的威脅場景不像在現實生活中是可以回避的，比如我們打開一封郵件是有危險，但是在IT的場景中你能回避這樣的場景嗎？你沒辦法回避，很多是基于工作，基于業務的需要，那你必須要打開。

在事中的時候，我們雖然有一些威脅特征識別的技術，但是沒辦法適應威脅的變化，因為在IT當中，威脅的變化不像現實生活中是固定的，我們的一個木馬隨便變形一下就變成新的東西，不斷有惡意的開發者不但的產生新的威脅，但是我們如果基于已有的威脅的識別很難識別它的。

另一個就是缺乏對威脅的感知，威脅到底是什么，怎么識別這種威脅的感知，我們怎么產生這種痛覺或者能夠產生你觸覺的東西在IT當中是沒有一個嚴格的區分的，所以，產生損失，導致危害的時候你感知不到這種威脅。另外，事后也存在很大的問題，第一損失不可直接的，如果我們信息資產的損失可能把你信息竊走了，你也不知道損失，這個損失沒最終呈現在你的面前，你不知道這個損失的產生，甚至你知道這個損失的產生，你也不知道和IT系統相關，最典型的伊朗的離心機破壞了，但是伊朗并不知道這是因為IT的安全導致了他的這種損失。這樣在整個IT領域中沒辦法識別感知這種威脅，但是只有識別和感知這種威脅，我覺得才能建立一個有效率的，并且能夠真正實現低成本安全的這樣一個方案，我們在現實生活中怎么來建立安全的體系，比如我們走在大街上，我身上可能揣著兩萬塊錢，我卡里有一百萬不需要特別安全的保護也能獲得足夠的安全感，那是為什么呢？那是因為我們通過這種威脅的感知，首先損失的感知映射到你威脅的感知，我錢掉了，產生了有人偷了東西，把這個威脅聯系起來，通過這個威脅我們在場景中取證，去追查，找到犯罪的人，對他進行追責，通過這樣一套事后保證的體系，提高了作案攻擊的成本和法律風險，降低損失。

如果在IT的安全中建立不起來這一套體系，IT只能靠事前或者事中高端對抗的防范成本來防范。整個安全既感知不到威脅，但是你可能為了這種不知道，不能確認的威脅付出巨大的成本，但是也很難真正解決安全的問題。

在這當中，威脅是一種意圖，一種人的主觀的，當然可以分成自然的威脅或者人的主觀的威脅，但是一般在IT系統中更多的我們強調的是人的這一層面的威脅，威脅首先來自于人的意圖，人的意圖你是很難去檢測到的，但是這種人的意圖始終是要借助某種工具或者行為產生，通過這種工具，小偷要作案，他可能要攜帶各種各樣的工具，通過這樣的工具來產生這樣的行為，最后產生事件的后果。要對這種威脅進行感知的話，這當中我們有幾個考慮，一個從工具和負載的行為上針對已知形狀的惡意特征的特征可以歸納，這是我們傳統的安全一直在做的事情。

另一個，是否能通過在事件和后果之間建立一種關聯的惡意的特征曲識別他們之間的這種關聯性，那可能找到更多的這樣一些危害的線索，這種的可能是依賴于我們數據，包括剛才譚曉生談到的數據的分析。

另一個，如果我們在工具和敷在傷的檢測更多是基于事中的檢測，在后面可能是針對事件和后果是基于事中和事后，但是你如果把內容和行為進行關聯，才能把你損失的感知轉化成對威脅的感知，只有把這個鏈路打通了，才能真正建立起可以對威脅進行感知的體系。

我們可以借鑒一下在民航的系統，民航也很重要，這也是我經常講的一個例子，它是怎么全面的感知這種威脅或者保證我們的安全，這當中我們可以看到最先開始我們過民航安檢的時候會進行身份的核查，這是用已知的知識，曾經這個人犯過罪，我可以通過身份證的識別發現這種威脅，之后需要對你所有的行李，包括你的人身進行X光機的檢查，它的原理是什么？是對你的內容和負載進行深度的威脅之間的關聯，進行檢查，看你行李中是不是有可能造成危害的金屬狀的、液狀的，或者尖銳狀的識別來發現你的威脅，登機上有監控的人員，通過行為來發現，比如上次烏魯木齊劫機的時候，劫機者是把武器撞在雨傘帶上飛機，他在飛機上抽這個雨傘的行為被發現，旁邊的安檢人員馬上撲上來把他進行了控制，這時候是通過行為來發現危險。

還有各種危機的事件，這種損失的事件可以跟危險的場景相關聯，比如煙霧的探頭，不應該產生煙霧的地方產生了煙霧，這些地方發現危險，最后有對數據的分析和匯總?？梢钥吹?，通過各個層面對危險的感知最后才能保證基本上我們民航坐飛機覺得有安全感，實現了整個安全感知的情況。

我覺得要建設IT威脅感知能力，首先威脅感知的能力，這當中怎么去建設一個真正對威脅感知的能力，剛才360譚曉生也談到了一些，威脅的感知最大的問題，我們怎么論證哪些是導致危險的，怎么提取這樣的知識，對威脅進行感知，特別是未知的攻擊。時間有限，大家感興趣可以看一下我以前講的PPT，技術當中怎么通過多維度，也是吸取這種多維度威脅感知的思想，從動態的到靜態的對事件的監控，動行為的監控，包括對內容負載的識別，能夠全面的識別潛在的威脅。能夠識別這種威脅之后，實際上需要一種協同運維，因為在IT的整個領域，特別是APT的攻擊中，攻擊者利用的手段，采用的技術，都遠遠不是普通用戶能夠分析和發現到的，這個時候是需要有專業的人員來幫著他協同運維來分析這種威脅，實際上也需要一些信息能共享到專業的人士這邊。

另一個在我卡來未來很重要的威脅信息的共享，因為APT是小概率，但是是大破壞的事件，如果沒有這種威脅信息的共享，我們每個點都是成為一個信息的孤島，它在防御APT的能力上會受到很大的牽制，只有動作這種威脅信息在一個點上發現問題，然后同步到所有的點，對威脅進行處置，才能有效的對威脅進行及時的處置和規避和發現，就像我們感受到痛，我們感受到熱度，這個信息傳遞到大腦，我們產生全身的協調，會逃逸危險的場景。

最后分享一個，我們12月4號的時候逮到一個針對中國政府發起的攻擊，使用的是專門針對國產化的軟件WPS，在這當中我們知道斯諾登，為什么我們沒有產生行動？現在都在推國產化，國產化包括兩個大的安全，包括兩個含義，一個是信任的問題，一個才是狹義的安全的問題，狹義的安全解決的是能力問題，信任解決的是主觀惡意性的問題，推國產化能解決信任的問題，但并不一定能解決安全的問題，攻擊者一樣能針對它發起攻擊。這是我們逮到的一個非常專業的攻擊，可以看到他偽裝成國務院發展中心，專門針對政府的官員，它的漏洞利用了WPS，針對國產化軟件真實的攻擊，如果你用Word打開它，它會告訴你我是一個很重要的文件，你只能使用國產化的軟件打開，給出了一個WPS的鏈接，你用WPS打開就能觸發這個漏洞，最后釋放這個木馬植入到系統中去。

在這當中可以看到運維的價值，實際上它是沒有專業人員在受害的客戶，是信息同步給我們的云端，12月3號晚上發起的攻擊，12月4號早上我們分析出來，緊急進行處理，它制作是非常精良的，0DAY漏洞+特種木馬+變形對抗+虛擬機對抗+高強度加密。我們感知一個威脅要有新型檢測的技術，還要相應的運維的保證和時間響應的速度。

謝謝大家。