随着互联网和云计算在全球企业生产、办公环境中的普及,企业信息安全面临着边界模糊、环境复杂、威胁多样化等多方挑战;《网络安全法》、《网络安全等级保护条例》的颁布实施令企业更为重视网络安全合规、数据保护和业务安全;企业自身的数字化转型也要求信息安全同步跟上,知己知彼的下一代安全中,威胁情报将起到至关重要的驱动作用。
7月25日,2019网络安全分析与情报大会在北京召开。该会议由北京微步在线科技有限公司主办,今年是第三届。秉承着中立、客观、开放的原则,邀请来自政府机关、金融、互联网、安全等各个领域的一线安全专家,分享企业信息安全和威胁分析研究成果和落地实战案例。
2019年大会的主题为“全面·赋能”,来自中国人民银行、公安部、平安集团、蚂蚁金服、金山云、顺丰集团、赛博英杰、微步在线等机构和公司的十余位专家同台分享,畅谈企业信息安全建设与威胁分析的发展趋势,对网络防护与威胁情报驱动的新一代网络安全技术进行多点发散的深度剖析。本次大会嘉宾的分享内容如下:
北京赛博英杰科技有限公司创始人、董事长谭晓生的演讲议题是《情报驱动的网络空间安全防御体系》。他认为,在万物互联,一切皆可破解的时代,威胁情报的收集、分析、有效使用是为防御的基础。美国的国家级网络安全攻防体系就是情报驱动的,对情报既有有主动收集也有被动收集,收集内容互联网骨干的网元数据与内容信息,甚至包括对加密数据的分析与破解,斯诺登所曝光的“棱镜计划”也是情报来源之一。如今全球网络犯罪和间谍行为日益增多,加强威胁情报应用产业发展已成为必然,于企业,威胁情报能力决定企业安全防线敏感度和长度;于国家对抗,威胁情报能力防御发现外部网络攻击能力。
谭晓生说:“威胁情报的供应商比较少,微步在线可以说是目前走在国内前列。”他呼吁整个产业给威胁情报供应商以认同,为威胁情报买单。
本次大会主办方微步在线创始人、CEO薛锋分享的议题是《网络安全走向云化》。他提出,网络安全正在发生如下几个变化:一,从规则化、策略化走向数据化;二,去盒子化,走向云化;三,网络安全走向实战化;四,网络安全团队的服务化。
薛锋认为网络安全走向云化是必然趋势,首先,云的处理能力更强。其次,企业各个系统的应用正在走向云端,第三, 4G、5G的发展让企业的边界走向移动化。
薛锋表示,目前企业迫切需要有效的入侵检测能力,而非传统意义上的IDS。此外,DNS的重要性也应被重视。
最后,薛锋公布了微步在线的情报奖励计划,奖金池中设置的金额为1000万人民币,微步将用这笔资金鼓励安全从业者在微步在线的X情报社区中共享情报,惠及全行业。
中国人民银行金融信息中心信息安全部资深网络安全工程师董祎铖的演讲议题是《威胁情报赋能态势感知建设》。董祎铖认为,态势感知源于安全运营工作中对高阶威胁的对抗需求。外部信息有效支撑,强调及时准确;内部资源横向打通,强调整齐划一。威胁情报在其中可以起到重要的“赋能”和“串联”作用。
从基于规则到基于情报,董祎铖的安全运营团队完成了从“相信过程”到“相信结果”的转变,通过规则来对流量和日志进行分析,过程是正确的,但也会产生大量的漏报和误报,但情报是结果导向的、高度浓缩的知识,逻辑严谨。域名情报是斩断攻击链非常重要而且有效的手段,甚至能做到“人为鱼肉,我为刀俎”,形成降维防御。
平安集团首席信息安全官陈建的演讲题目是《第三方供应商信息安全风险管理实践》。陈建认为供应链安全对企业安全日显重要,除了传统的安全审计和准入外,对供应商或第三方安全的持续监控显得尤为重要。平安在这方面做了一些实践,在这个过程中利用了威胁情报技术和数据帮助管理整个供应链的风险。
利用威胁情报、空间资产的技术和平安安全合规上的经验积累,通过自动化的方式做审计,平安集团的安全团队能够将数据输入到整个在线安全评价平台,对企业做比较全面的风险评估,评估的结果可以在线可以随时生成报告,通过这种方式不断对第三方供应商做评价,可以提前发现风险,在事前、事中、事后都可以对风险进行监控。
原国家信安标委会委员和公安部等级保护专家委员会成员,资深高级测评师朱建平的演讲议题是《等级保护基本要求2.0解读》。朱建平认为,等保2.0的基本要求适合了新技术的发展,把云计算、移动互联、物联网,工业控制系统等纳入标准范围,构成了安全通用要求。
同时,新的等保测评标准在内容上有很大的变化,基本要求、设计要求和测评要求在分类框架上形成了统一。此外,等保2.0标准里面增强了可信计算,把可信验证列入各个级别中间,提出各个环节主要可信验证要求。对网络攻击分析,特别是威胁情报、态势感知等新安全技术基本纳入到等保三级的要求内。
微步在线技术运营合伙人赵林林的演讲题目是《重保中的对抗、检测和溯源》。在分享中,赵林林从重保的诉求来看安全建设中检测、对抗以及溯源能力的应用。在参与重保的过程中,企业往往会出现两种被攻陷的场景,第一种是企业盲区被发现并攻破,第二种是攻击者绕过已有的防御体系,从办公网等其他通道攻入企业内部。
赵林林认为,办公网的价值和防御的价值被远远低估,企业安全人员需要明白以下几点内容:
一,哪些企业资产和业务是企业安全力量的主要投入点?
二,企业资产的面积和边界,比如企业IP段、新上线的系统,端口、子域名等。
三,网络监控应当如何建设。
赵林林认为,建设企业网络监控应当遵从二八定律,选择高杠杆率的地方监控,如边界、邮件、服务器等。他还表示,在重保的过程中,不必执着于某种技术或某个理念,应当以目标为导向,围绕目标确定实现路径,关键是解决问题。紧接着,他分享了在重保活动中遇到的几个案例。
金山云安全负责人孟伟的演讲议题是《情报的协同应用及情报使用的创新方法》。云环境下,用户业务形态愈发多样化,造成攻击的形式也更加多元化,传统的规则匹配、统计分析及机器学习的方式已经越来越难适应新时期业务需要。
孟伟说,金山云安全团队采取了如下做法,第一,利用情报保障云平台本身的安全,把情报结合到入侵检测和风控;第二,把威胁情报集成到安全产品,如WAF、主机安全产品等,情报服务直接以API的方式放在平台上售卖,为云上用户提供API服务;第三,利用情报规避一些合规的风险,如被污染的IP等;第四,利用情报来自证清白,如让微步在线这样的情报厂商给被攻击到的客户做溯源,把攻击团伙作为一个实际的攻击人找到,并把报告发给用户证明金山云的清白,花很少的资源能够取得非常好的效果。
孟伟说:”多元化攻击的场景,会不可避免地产生大量的误报、漏报,通过将威胁情报能力集成到现有的安全产品(高防、WAF、主机安全、威胁感知等)中,与现有的检测防御机制协同工作,消除误报,减少漏报、从而减少安全的运营成本,为用户提供更加高效、精确的防护。我们要让安全保障云服务,安全促进云业务。“
蚂蚁金服平台安全部总监王宇的演讲议题是《应急响应视角下的安全建设诉求》。王宇分享了从应急响应视角下看“自适应安全建设体系”中需要前置的能力建设项。从整个建设闭环的不同起点看整体安全建设规划,往往能够催生很多新的建设诉求。很多的能力需要在安全事件发生前就需要具备。
王宇认为,有效的应急响应依赖于前期大量的基础准备工作,而不仅仅是出问题时刻的匆忙上阵。应急响应的介入不仅仅是发生了攻击事件,高危漏洞、威胁情报、检测规则更新均有可能作为起点开始响应周期。安全人员应当知己知彼,对于用户资产、服务类型甚至处理的业务代码段都要能够快速定位,做到心里有数。安全领域、生产领域、研发领域的技术需要广泛接触,做到触类旁通,并据此设计合适的方案;对于安全威胁不仅仅关注IOC,更要关注攻击者的TTP,对攻击热点保持敏感。
王宇表示,安全建设期望的是安全能力的完备,而安全产品只是能力的载体,现阶段的安全产品并不能很好的覆盖所有安全能力的诉求。明确建设重点,全局调优建设目标势在必行。同时安全人员要充分思考如何发挥自身主战场优势,扬长避短,规划好资源分配,关注投入产出比,通过参与安全建设来获得能力的快速提升。
微步在线分析团队负责人樊兴华的演讲议题是《基于Sysmon的企业级终端威胁检测与响应》,在本次议题汇总,樊兴华分享了微步在线在对Sysmon应用的探索实践历程。
企业可以通过使用微软的免费EDR工具Sysmon收集终端(办公终端及服务器)上的进程、文件、网络及DNS等相关行为日志,并上传到大数据平台集中存储,并且按照日志的ProcessGUID等字段还原这些行为之间的衍生关系,结合威胁情报IOC、流量规则、行为规则、机器学习算法以及多引擎、沙箱等分析系统对相关行为日志进行威胁检测,进一步结合上述行为衍生关系对相关攻击木马进行定位,输出取证处置建议,还原攻击者攻击路径,最终形成威胁的检测、定位、取证、处置及内部溯源的检测与响应闭环。
知名安全自媒体作者“安全小飞侠“王任飞的分享议题是《如何建设体系化的安全运营中心(SOC)》。王任飞首先分享了他所理解的完整应急响应过程,应包括评估、控制、根除、恢复和总结。SOC应基于应急响应思想来建设,因此王任飞认为,完整的、体系化的SOC至少包括日志收集类平台、威胁检测平台、IOC检测平台和内部威胁追踪和记录平台。
王任飞还讲解了国外公司在建设SOC时采用的红蓝对抗思路,将团队分为攻击方和防守方进行分别建设,并详细讲解了各个团队的构成和职责。此外,王任飞推荐了一些可用工具:如IP域名检测工具、邮件检测工具,镜像工具等。
顺丰集团信息安全与内控处信息安全组负责人潘盛合的演讲题目是《威胁情报应用实践》。他认为威胁情报的场景在被拓宽,不仅在安全上,还扩展到业务上。顺丰希望引入外部的数据来预测内部潜在的威胁,把隐患罗列给用户,作为参考和指导。在供应商和员工的风控上,威胁情报有着很大的意义。
”我们做DNS的加固和系统隔离,以及IP异常检测和判断,来判断这是什么团伙,最后我们根据已有数据做预测。“潘盛合说,”整个威胁情报行业需要更广泛的数据和信息,这里面不仅需要乙方不断努力,还需要社会各方力量一齐共建威胁情报行业的生态环境。“
