冬训营专题培训日图文记录
为期两天的安天冬训营已经结束,之前安天微信公众号推送了第一天开放式技术报告的内容,今天为大家带来的是第二天专题培训日的图文记录。
冬训营第二天的演讲者均来自安天各主线研发部门。演讲内容则着重于介绍相关的检测、分析、防御技术,以及如何将安天的基础能力转化为有效地用户侧能力,如何协助用户解决实际的安全问题等等,也涉及部分对威胁演进的思考。
1、安天反病毒引擎研发中心《安天“下一代威胁检测引擎”》
▲反病毒引擎的定义
传统的检测是围绕着输入对象的黑白判断展开的,采用特征检测、启发式扫描和其他决策方法,对输入对象是不是恶意代码以及是何种恶意代码做出判断进行输出。这就使攻击者可以通过免杀、0day漏洞、碰撞构造等方式逃避检测。安天下一代威胁检测引擎,不是简单的把检测引擎作为判定器,而是进一步强化引擎的全对象识别和向量输出能力,辅以配套的后台知识和信誉积累,并将其转化为用户场景中可输出能力。通过大量向量提取输出和信誉标注,提升关联分析环节、支撑上层态势感知系统和工程师团队能力以及态势感知与综合决策能力。
2、安天移动安全公司《移动威胁对抗升级——人与机器思辨》
▲归一化原则下的经典工程化模型(2011年)
▲经典工程化体系中的关键杠杆点
报告分享了安天过去5年里移动引擎研发和工程化体系建设中的经验,对移动威胁对抗的本质以及其核心价值观进行了“术”和“道”层面的解读。随后从对抗中的人和机器,以及人和机器之间的各种关系的视角,对安全对抗背后的故事进行了思考和分享。通过这些思考,向观众做出了移动安全场景下“智者安天下”的产品和服务理念的解读。
3、安天端点安全研发部《面向新兴威胁的终端防护技术》
▲安天智甲终端防御系统三要素
▲安天智甲终端防御系统的特点
安天智甲终端防御系统是专为企业、政府、机构等业务网络研发的终端威胁安全防护产品,它以本地引擎和云查杀技术为基础,也支持未知程序的发现与防御;除具有传统反病毒产品功能外,还具有纵深防御能力以应对新兴威胁;对多种类型的终端进行统一管理,并可以持续扩展安全能力。
智甲面向政企用户网络安全需求,集成了安天自主先进AVL反病毒引擎;除了具备企业反病毒产品的标准功能外,还可以针对高级威胁(APT)进行全网威胁追溯和定点查杀;针对勒索者病毒等新兴威胁提供了面向终端的纵深防御能力;面向ATM和工控上位机等专用终端,智甲支持基于多种安全基线的白名单防御模式。同时智甲能够对Windows、Linux和国产系统提供有效防御并进行统一管理。
4、网络安全监测产品研发部《关键威胁的持续追踪与网络监测》
▲降维第一步:标签聚合/为今天的网络行为画像
安天探海威胁检测系统(以下简称探海)在全流量元数据记录的基础上,利用安天下一代威胁检测引擎向量提取的能力,通过多标签联合筛选。探海辅助用户在海量数据中找到关键威胁,构建客户自有场景下的威胁持续追踪分析能力。通过标签聚合,可以实现对海量数据的降维;借助含有指示的标签,用户可以筛选构建自己关注的场景,减少在发现关键威胁信息过程中耗费的时间;配合安天引擎向量提取的能力,更可以建立独有场景下的专用规则。
5、安天追影团队《基于沙箱的威胁情报输出》
▲威胁情报流程沙箱
▲知识与特征关联
威胁情报具有防护、监控、取证、追溯作用,可用于APT、DDoS、僵木蠕等领域。本地沙箱产出的威胁情报具有知识关联和本地独特性,在长尾的威胁情况下具有及时有效的组织防御价值。
安天本地化沙箱可以对样本进行分析获得样本黑白信息,这些信息包括样本的核心目的、样本属于哪种黑客攻击武器。沙箱输出可以检查威胁情报特征,这些特征具有上下文关联信息,包含丰富的知识。利用这些威胁情报可以第一时间对企业自身进行漏洞文档防护与网络监控终端取证。监管机构可以分析样本获取僵木蠕的C&C,进行DDOS监控预警,对攻击者进行关联追溯等。
6、安全研究与应急处理中心《方程式组织SPARC架构样本的分析调试》
▲攻击平台-组件
安天CERT回顾了分析方程式组织多平台能力载荷样本的经验,并介绍了SPARC架构的特点、静态逆向分析方法,同时也提出静态分析的一些问题和难点。同时,安天CERT详细介绍了方程式组织SPARC架构的样本,解密了内置加秘密钥、C2域名和硬编码IP地址,分析了远程攻击指令的分支和通信协议格式,完整还原了攻击的过程,为有效防御对抗提供了检测基础。
7、安天安全研究与应急处理中心《APT样本关联与溯源方法》
▲APT样本关联分析示意图
▲判断同源性的方法——从四方面进行分析对比
APT事件关联分析和追踪溯源是事件分析中的重要环节,它可以确定攻击者身份或位置、判断样本和事件的同源性、寻找受害者,还原攻击路径等。
通过关联和追溯,可以在网络空间中实现攻击源定位和攻击时序重构,以有效应对网络攻击,实施针对性的防御和反制,它对于最小化网络攻击的效果、威慑潜在的网络攻击都有着至关重要的作用。
8、安天微电子与嵌入式安全研发中心《SRAM型FPGA的信息安全风险浅析》
▲电磁泄露威胁展示
报告主要针对SRAM型FPGA的信息安全风险进行了分析,在基因测序、大数据分析、机器学习等应用的需求牵引和微电子技术发展的推动下,FPGA正逐渐从专用的电子器件转变为通用信息处理的计算工具。FPGA特有的技术特性使其在高性能计算方面展现出了巨大优势和潜力,但也面临着特有的信息安全挑战。
报告还展示了研究小组对相关问题的初步思考和实验探索。简述FPGA的技术特点和开发流程,分析目前FPGA封闭硬件架构和闭源工具链等潜在安全隐患,并以简单实例演示信息泄露威胁。
9、安天数据技术研发中心《安天可视化的成长历程和自我批判》
▲安天可视化团队经历的四个重要时期
▲可调节沙盘效果展示
安天可视化团队自2012年组建以来,经历了四个重要时期,在每个时期不同产品和需求的引导下,沉淀了不同阶段的成果。
这四个时期分别是:以提高人们对安全认知为主要目的的安全认知时期;以将安全化无形为有形的具象安全时期;以可视化为工具改善(同源性、关联性)安全分析工作的作用为目的的时期;以保障用户安全和资产价值为目的的用户安全时期。
报告对缺少操作性和可交互性的“地图炮”做了深入的反思和批判。安全可视化不应该停留在宏观上的、实时的和追求酷炫的展示手段,安全可视化要形成价值,必须能从宏观而及微观,是可操作的和可以实现有效的价值输出的。
10、Panel Discussion《有效防护 价值输出》
▲Panel Discussion嘉宾:(从左到右)原国防大学研究员徐纬地老师,数字观星创始人郭亮,炼石网络CEO白小勇,安天创始人、首席技术架构师肖新光,前中油瑞飞信息安全高级技术总监、塔防模型的提出者黄晟,360企业安全集团总裁吴云坤。
作为本届冬训营最后一个环节,参与Panel Discussion的嘉宾来自国内能力型安全厂商和新锐创业公司的负责人,主持人由资深战略学者徐纬地教授担任。他们对于冬训营提出了期待,对中国网络安全面对的最重要的问题、企业在加强中国网络安全联合中发挥的作用、企业的近期目标等问题进行了探讨。
安天创始人、首席技术架构师肖新光最后对本届冬训营做了总结,他表示,“今年安天冬训营的主要导向是要回归有效客户价值这个本质”,“安天举办冬训营的出发点是希望大家能在哈尔滨严冬的环境中,感受到网络安全所面临的压力与挑战”,“在历史机遇出现的时候,我们要能建立起自己的目标”,共同携手,铸就“冰峰屹立”。