协同响应猎杀威胁运行实战化——安天冬训营次日内容回顾
时间: 2019年01月10日
来源:安天
第六届安天网络安全冬训营进入第二天,网络安全研究者和工程师继续围绕会议主题,分享网络安全实战化运行的心得体会和战术型态势感知平台的实践探索,研讨如何协同响应猎杀高级威胁。
以下内容为小编总结的第二日精彩内容回顾↓
(第一天内容请参考《战术型态势感知指控积极防御——安天冬训营首日纪实》)
神州网云CEO宋超:主动防御在威胁狩猎中实战应用
宋超在报告中指出:随着大量网络军火泄露和商业军火的泛滥,目前攻击者的能力和手段越来越强大,传统的被动防御已经不足以做到全面的监测,主动防御的出现以及主动加被动防御相结合,对攻击者的主动监测、溯源分析和威胁狩猎服务提供了有力的支撑。
安天捕获分析技术中心:网空威胁事件模型及应用
安天对NSA/CSS技术网空威胁框架进行了分析解读,并对如何根据威胁框架建立有效布防点、组织防御体系提出了思考。安天认为在战术型态势感知中,针对各种安全设备来源数据需要统一的威胁事件的表达和威胁事件关联关系的表达;需要能够融合非威胁事件和威胁事件,并灵活表达攻击链、网空实体和行为的关系图谱;能够对各种数据进行融合、关联、表达攻击链,从而建立统一的框架和行为描述,方便威胁展示、决策、上层数据交互。
安天端点安全产品研发部:铁流铸智甲—战术型态势感知指导下的终端威胁防御体系
终端作为威胁对抗的主战场,同时也是安全防御的最后一道防线,其面临着十分严峻的安全挑战。过去的一年,安天全面适配了多种终端操作系统,特别是国产化系统,进一步提升了主动防御、配置加固、信息采集、行为画像以及系统深度分析与应急处置的能力。但仅靠累积终端的防御能力,是难以有效应对高能力攻击对手的,终端需要与战术型态势感知平台协同联动,提前发现网空安全风险并开展有效防御。
安天流量监测产品部:无所遁形—战术型态势感知中的全方位流量监测
战术型态势感知必须以可靠的数据留存采集和基础威胁监测发现等能力为基础,融合客户业务在网络空间的投影,对流量持续监测、发现威胁,提供感知网络空间态势的手段,帮助客户理解业务的实际运行过程,发现异常行为。安天通过沙箱和蜜网的结合,产生私有化威胁情报,将其作为基础设施的一部分。流量控制设备接收指控,诱导威胁,达到化被动为主动的目的;监测设备接受态势感知系统的指控,快速响应,按需获取细粒度解析行为和原始流量,为威胁研判做出支撑。通过在流量侧、情报侧与态势感知系统的紧密结合,达成发现威胁、理解威胁、预测威胁、挫败威胁的目的。
安天应急响应中心:“三高”网络环境中与敌手的隔空对决
网络空间的对抗是一场无硝烟的战争,在这场战争背后是攻防两端技术和人才的对决。如何在高等级、高防护、高价值的网络环境中与对手进行隔空对决,进而在未来的网空对抗中实现运筹帷幄猎杀敌手于千里之外?安天是多年持续防御、捕获、分析敌手,与敌手正面交锋的团队。安天分享了多次在网络空间与敌手较量,捕获分析溯源多个境外高级网空威胁行为体的实例。
安天基础引擎研发部:下一代威胁检测引擎—赋能威胁情报
安天是全球重要的威胁检测引擎赋能方,有上百家合作伙伴使用安天的引擎,覆盖超过十五亿部智能终端设备和超过三十万台网络设备。安天下一代威胁检测引擎,立足于攻击方可以获得防御方引擎,并可以绕过引擎检测机制的假想下进行设计,将传统反病毒引擎的检测器作用,提升为“识别+检测+拆解”的综合模块,并支持多种场景化的检测,为态势感知供应向量数据与标签。安天将下一代威胁检测引擎应用于威胁情报生产的整个生命周期,深度赋能威胁情报系统,生产具备战术价值的威胁情报,支撑态势感知系统。
安天应急响应中心:从“绿斑”和“方程式”组织看不同等级威胁行为体的攻击能力
安天始终致力于网空安全的对抗,数年来持续跟踪和研究高级网空威胁行为体,陆续发布数十篇各等级网空威胁行为体研究报告。2015年安天发布了“方程式”系统分析报告,2018年安天曝光了“绿斑”组织。本次通过复盘"绿斑"和"方程式"的攻击行动,以探讨不同等级网空威胁行为体的能力体系的差异,从多种维度分析对比不同等级网空威胁行为体的能力,从应对超高等级威胁行为体的角度展示做好实战化运行的战术型态势感知平台和动态综合防御体系的重要性。
安天网络安全服务部:人机协同态势感知运行能力建设
围绕战术型态势感知形成的防御模式中,网空安全防御人员是态势感知不可或缺的“系统组成部分”,人机协同才能充分发挥态势感知网络安全防御能力。安天在态势感知建设过程中,为实现客户侧有效防护的价值落地,从赋能客户角度出发,思考人员如何有效使用态势感知,如何结合态势感知实战化应对网络安全威胁,经过一定的工程化实践,不断总结与验证实战化运行经验,为客户建立实战化的网络安全运行机制,赋能客户侧人员结合态势感知发现威胁踪迹,并针对潜伏威胁展开“猎杀”行动。
安天微电子与嵌入式安全研发部:接触式攻击和电磁装备在网空攻防中所带来的威胁
物理隔离长期被视为关键性的安全屏障。但对于高级网空威胁行为体来说,接触式攻击、供应链攻击与一些电磁手段结合,让物理隔离形同虚设。通过接触式攻击(包括供应链和物流链劫持等手段)和电磁装备能够有效地突破隔离网络,进行横向移动,构建第二信道,完成控制、下载、数据的回传以及远程控制。安天通过对外方泄露装备的研究,分析了我国重要信息系统面临的相关风险,提出做好人防、物防、技防工作,用体系化防御应对体系化攻击的观点。
两天来十余位研究者和工程师的演讲,对态势感知技术体系在积极防御体系中的作用做了详尽的分析,指出了当前在态势感知实践中所遇到的问题,以及构建实战化的战术型态势感知的必要性和紧迫性。“网络空间威胁对抗与态势感知研讨会暨第六届安天网络安全冬训营——铁流鏖战”的公开报告部分至此也圆满结束,安天将坚持以敌情想定为前提,协助客户开展深度结合与全面覆盖的体系化网络安全规划与建设,支撑起协同联动的实战化运行,赋能客户筑起可对抗高级威胁的网络安全防线。
网络安全是当前大国博弈的焦点领域,是持续性对抗的领域。在网络强国战略思想的指引下,安天将与客户一道,携手共进,将网空防御力量打造成滚滚“铁流”,不惧艰险,“鏖战”强敌。