亚博全站APP登录

协同响应猎杀威胁运行实战化——安天冬训营次日内容回顾

时间: 2019年01月10日 来源:安天

        第六届安(an)天网络(luo)安(an)全冬训营进(jin)入(ru)第二天,网络(luo)安(an)全研究者和(he)工程师继续围绕会(hui)议主题,分享(xiang)网络(luo)安(an)全实战化运行的(de)心得体会(hui)和(he)战术型态(tai)势感知平台的(de)实践探索,研讨(tao)如何(he)协同响应猎杀(sha)高级(ji)威胁。

        以下(xia)内(nei)容为(wei)小编总结的第二(er)日(ri)精彩内(nei)容回(hui)顾↓

        (第一天内容请参考《战术型态势感知指控积极防御——安天冬训营首日纪实》

神州网云CEO宋超:主动防御在威胁狩猎中实战应用


       宋超在报告中指出(chu):随着(zhe)大量(liang)网络(luo)军火(huo)(huo)泄露和商业军火(huo)(huo)的泛(fan)滥,目前攻(gong)击(ji)者的能力和手段越来越强大,传统的被(bei)动(dong)防御已经不足以做到(dao)全(quan)面(mian)的监(jian)(jian)测,主(zhu)动(dong)防御的出(chu)现(xian)以及(ji)主(zhu)动(dong)加被(bei)动(dong)防御相结合,对攻(gong)击(ji)者的主(zhu)动(dong)监(jian)(jian)测、溯源分析和威(wei)胁狩猎服务提供了(le)有力的支(zhi)撑。

安天捕获分析技术中心:网空威胁事件模型及应用


       安天(tian)(tian)对NSA/CSS技术网空(kong)威(wei)(wei)胁(xie)(xie)框(kuang)架进行了分析解读,并对如何根据威(wei)(wei)胁(xie)(xie)框(kuang)架建立(li)有效布(bu)防(fang)点、组织防(fang)御(yu)体系(xi)(xi)提出(chu)了思考。安天(tian)(tian)认为在战(zhan)术型(xing)态势感(gan)知中,针对各种(zhong)安全设备来源数(shu)(shu)据需要(yao)统一(yi)的威(wei)(wei)胁(xie)(xie)事(shi)(shi)件(jian)的表(biao)达(da)(da)和(he)威(wei)(wei)胁(xie)(xie)事(shi)(shi)件(jian)关(guan)联(lian)关(guan)系(xi)(xi)的表(biao)达(da)(da);需要(yao)能够融合非威(wei)(wei)胁(xie)(xie)事(shi)(shi)件(jian)和(he)威(wei)(wei)胁(xie)(xie)事(shi)(shi)件(jian),并灵活表(biao)达(da)(da)攻击链、网空(kong)实(shi)体和(he)行为的关(guan)系(xi)(xi)图(tu)谱;能够对各种(zhong)数(shu)(shu)据进行融合、关(guan)联(lian)、表(biao)达(da)(da)攻击链,从而建立(li)统一(yi)的框(kuang)架和(he)行为描述,方(fang)便威(wei)(wei)胁(xie)(xie)展(zhan)示、决策、上层数(shu)(shu)据交互。

安天端点安全产品研发部:铁流铸智甲—战术型态势感知指导下的终端威胁防御体系


       终端作(zuo)为威胁对抗的主战(zhan)场,同时也是(shi)安(an)全防(fang)(fang)御(yu)(yu)的最后一(yi)(yi)道防(fang)(fang)线,其面(mian)临着十(shi)分严峻(jun)的安(an)全挑(tiao)战(zhan)。过(guo)去的一(yi)(yi)年,安(an)天全面(mian)适配了(le)多(duo)种终端操作(zuo)系(xi)统(tong),特别是(shi)国产化系(xi)统(tong),进一(yi)(yi)步(bu)提升了(le)主动防(fang)(fang)御(yu)(yu)、配置加固、信(xin)息采集、行为画(hua)像以(yi)及(ji)系(xi)统(tong)深度分析与应急(ji)处(chu)置的能力(li)。但仅靠累(lei)积(ji)终端的防(fang)(fang)御(yu)(yu)能力(li),是(shi)难以(yi)有效(xiao)应对高(gao)能力(li)攻击对手的,终端需要与战(zhan)术型态势感知平台协(xie)同联动,提前发现网空(kong)安(an)全风险并开展有效(xiao)防(fang)(fang)御(yu)(yu)。

安天流量监测产品部:无所遁形—战术型态势感知中的全方位流量监测


       战术型态势感(gan)(gan)知(zhi)必须以(yi)可靠(kao)的(de)(de)(de)数(shu)据(ju)留存采集和(he)基础(chu)(chu)威(wei)(wei)胁(xie)(xie)(xie)监测(ce)发(fa)(fa)现等能力为基础(chu)(chu),融合客(ke)户(hu)业(ye)务在网(wang)络空间(jian)的(de)(de)(de)投影(ying),对流(liu)量持续监测(ce)、发(fa)(fa)现威(wei)(wei)胁(xie)(xie)(xie),提供感(gan)(gan)知(zhi)网(wang)络空间(jian)态势的(de)(de)(de)手(shou)段,帮助客(ke)户(hu)理(li)解业(ye)务的(de)(de)(de)实际运行(xing)过程,发(fa)(fa)现异常行(xing)为。安(an)天通过沙箱(xiang)和(he)蜜(mi)网(wang)的(de)(de)(de)结合,产(chan)生私(si)有化(hua)威(wei)(wei)胁(xie)(xie)(xie)情(qing)报,将其(qi)作为基础(chu)(chu)设施的(de)(de)(de)一(yi)部(bu)分。流(liu)量控(kong)制设备接收指控(kong),诱导威(wei)(wei)胁(xie)(xie)(xie),达到化(hua)被动为主动的(de)(de)(de)目的(de)(de)(de);监测(ce)设备接受态势感(gan)(gan)知(zhi)系(xi)统的(de)(de)(de)指控(kong),快速响应,按需获取细粒度解析行(xing)为和(he)原始流(liu)量,为威(wei)(wei)胁(xie)(xie)(xie)研判做出支撑。通过在流(liu)量侧(ce)、情(qing)报侧(ce)与态势感(gan)(gan)知(zhi)系(xi)统的(de)(de)(de)紧密结合,达成发(fa)(fa)现威(wei)(wei)胁(xie)(xie)(xie)、理(li)解威(wei)(wei)胁(xie)(xie)(xie)、预测(ce)威(wei)(wei)胁(xie)(xie)(xie)、挫败威(wei)(wei)胁(xie)(xie)(xie)的(de)(de)(de)目的(de)(de)(de)。

安天应急响应中心:“三高”网络环境中与敌手的隔空对决


       网(wang)络(luo)空间的对抗是(shi)一场无硝烟的战争,在这场战争背后是(shi)攻防(fang)(fang)两端技术和人才的对决。如何在高等级、高防(fang)(fang)护、高价值的网(wang)络(luo)环(huan)境(jing)中(zhong)与(yu)对手(shou)进行隔空对决,进而在未来的网(wang)空对抗中(zhong)实现(xian)运(yun)筹帷(wei)幄猎杀敌手(shou)于千里(li)之外(wai)?安天是(shi)多(duo)年持续防(fang)(fang)御、捕(bu)获、分(fen)析敌手(shou),与(yu)敌手(shou)正面(mian)交(jiao)锋的团(tuan)队。安天分(fen)享了(le)多(duo)次在网(wang)络(luo)空间与(yu)敌手(shou)较(jiao)量,捕(bu)获分(fen)析溯源多(duo)个境(jing)外(wai)高级网(wang)空威胁(xie)行为体的实例。

安天基础引擎研发部:下一代威胁检测引擎—赋能威胁情报


       安天是全(quan)球重要的(de)威胁(xie)检(jian)测(ce)(ce)引(yin)(yin)擎(qing)赋能方,有上百(bai)家(jia)合作(zuo)伙伴使用(yong)安天的(de)引(yin)(yin)擎(qing),覆盖超过(guo)十五亿部智能终(zhong)端设(she)备(bei)和超过(guo)三十万台网络设(she)备(bei)。安天下(xia)一代威胁(xie)检(jian)测(ce)(ce)引(yin)(yin)擎(qing),立(li)足(zu)于(yu)攻击方可(ke)以(yi)获得防御方引(yin)(yin)擎(qing),并可(ke)以(yi)绕过(guo)引(yin)(yin)擎(qing)检(jian)测(ce)(ce)机(ji)制的(de)假(jia)想下(xia)进(jin)行(xing)设(she)计,将传(chuan)统反病毒引(yin)(yin)擎(qing)的(de)检(jian)测(ce)(ce)器作(zuo)用(yong),提升(sheng)为“识别+检(jian)测(ce)(ce)+拆解(jie)”的(de)综合模块,并支持多种(zhong)场景化的(de)检(jian)测(ce)(ce),为态势感知(zhi)供应(ying)向量数据与标签。安天将下(xia)一代威胁(xie)检(jian)测(ce)(ce)引(yin)(yin)擎(qing)应(ying)用(yong)于(yu)威胁(xie)情(qing)报(bao)生(sheng)(sheng)产的(de)整个(ge)生(sheng)(sheng)命(ming)周期,深度(du)赋能威胁(xie)情(qing)报(bao)系(xi)统,生(sheng)(sheng)产具备(bei)战术价(jia)值的(de)威胁(xie)情(qing)报(bao),支撑态势感知(zhi)系(xi)统。

安天应急响应中心:从“绿斑”和“方程式”组织看不同等级威胁行为体的攻击能力


       安(an)天始终致力(li)(li)于网(wang)空安(an)全的(de)对(dui)抗,数(shu)年(nian)来(lai)持续(xu)跟(gen)踪和研究(jiu)高级网(wang)空威(wei)(wei)胁(xie)(xie)行(xing)为体(ti),陆续(xu)发(fa)布数(shu)十篇各等级网(wang)空威(wei)(wei)胁(xie)(xie)行(xing)为体(ti)研究(jiu)报告。2015年(nian)安(an)天发(fa)布了“方程(cheng)(cheng)式(shi)”系统分(fen)析报告,2018年(nian)安(an)天曝光了“绿(lv)(lv)斑”组织。本(ben)次通过复盘(pan)"绿(lv)(lv)斑"和"方程(cheng)(cheng)式(shi)"的(de)攻击行(xing)动,以探讨(tao)不(bu)同等级网(wang)空威(wei)(wei)胁(xie)(xie)行(xing)为体(ti)的(de)能力(li)(li)体(ti)系的(de)差异,从多种(zhong)维度分(fen)析对(dui)比(bi)不(bu)同等级网(wang)空威(wei)(wei)胁(xie)(xie)行(xing)为体(ti)的(de)能力(li)(li),从应对(dui)超高等级威(wei)(wei)胁(xie)(xie)行(xing)为体(ti)的(de)角度展示做好实战化运行(xing)的(de)战术(shu)型(xing)态势感知(zhi)平台和动态综合防御体(ti)系的(de)重要性。

安天网络安全服务部:人机协同态势感知运行能力建设


       围绕战(zhan)(zhan)术型态(tai)(tai)(tai)(tai)势(shi)感(gan)(gan)知形(xing)成的(de)(de)防御(yu)模式中,网(wang)空安(an)(an)全(quan)(quan)防御(yu)人(ren)员(yuan)是(shi)态(tai)(tai)(tai)(tai)势(shi)感(gan)(gan)知不可(ke)或缺的(de)(de)“系统组(zu)成部分”,人(ren)机(ji)协同才能(neng)(neng)充分发挥态(tai)(tai)(tai)(tai)势(shi)感(gan)(gan)知网(wang)络(luo)安(an)(an)全(quan)(quan)防御(yu)能(neng)(neng)力。安(an)(an)天在态(tai)(tai)(tai)(tai)势(shi)感(gan)(gan)知建(jian)设过程中,为实现客(ke)(ke)户(hu)侧有(you)效(xiao)防护的(de)(de)价值落地,从赋(fu)能(neng)(neng)客(ke)(ke)户(hu)角度(du)出发,思考(kao)人(ren)员(yuan)如何有(you)效(xiao)使用(yong)态(tai)(tai)(tai)(tai)势(shi)感(gan)(gan)知,如何结合(he)态(tai)(tai)(tai)(tai)势(shi)感(gan)(gan)知实战(zhan)(zhan)化应对网(wang)络(luo)安(an)(an)全(quan)(quan)威胁(xie),经(jing)过一定的(de)(de)工程化实践,不断总结与验证(zheng)实战(zhan)(zhan)化运行经(jing)验,为客(ke)(ke)户(hu)建(jian)立实战(zhan)(zhan)化的(de)(de)网(wang)络(luo)安(an)(an)全(quan)(quan)运行机(ji)制,赋(fu)能(neng)(neng)客(ke)(ke)户(hu)侧人(ren)员(yuan)结合(he)态(tai)(tai)(tai)(tai)势(shi)感(gan)(gan)知发现威胁(xie)踪迹,并(bing)针(zhen)对潜伏(fu)威胁(xie)展开“猎(lie)杀(sha)”行动。

安天微电子与嵌入式安全研发部:接触式攻击和电磁装备在网空攻防中所带来的威胁


       物(wu)理隔离长期被(bei)视为(wei)关(guan)(guan)键(jian)性(xing)的(de)安(an)全屏障。但对于高级(ji)网(wang)空威胁行(xing)为(wei)体(ti)来说,接(jie)触式攻(gong)(gong)击、供应链攻(gong)(gong)击与(yu)一(yi)些(xie)电磁手段(duan)结合,让物(wu)理隔离形(xing)同虚设。通过接(jie)触式攻(gong)(gong)击(包括供应链和(he)物(wu)流链劫持(chi)等(deng)手段(duan))和(he)电磁装(zhuang)备(bei)能够有效地突破隔离网(wang)络,进(jin)行(xing)横向(xiang)移动(dong),构(gou)建第二信(xin)道,完成控(kong)制、下载、数据(ju)的(de)回传以及远程控(kong)制。安(an)天通过对外方泄露装(zhuang)备(bei)的(de)研究(jiu),分析了我(wo)国重要信(xin)息系(xi)统面临的(de)相关(guan)(guan)风(feng)险(xian),提出做好人防(fang)、物(wu)防(fang)、技防(fang)工作(zuo),用(yong)体(ti)系(xi)化防(fang)御应对体(ti)系(xi)化攻(gong)(gong)击的(de)观点。

       两天(tian)(tian)来(lai)十余(yu)位研究(jiu)者和工程师(shi)的(de)(de)(de)(de)(de)(de)演(yan)讲,对态(tai)势感(gan)知技术体系在(zai)积(ji)极防(fang)御体系中的(de)(de)(de)(de)(de)(de)作(zuo)用(yong)做了详(xiang)尽的(de)(de)(de)(de)(de)(de)分析,指出了当前在(zai)态(tai)势感(gan)知实践中所遇到的(de)(de)(de)(de)(de)(de)问题(ti),以(yi)及构(gou)建(jian)(jian)实战(zhan)(zhan)化的(de)(de)(de)(de)(de)(de)战(zhan)(zhan)术型(xing)态(tai)势感(gan)知的(de)(de)(de)(de)(de)(de)必要性(xing)和紧迫性(xing)。“网(wang)络(luo)空间威胁对抗与态(tai)势感(gan)知研讨会暨第六届安(an)(an)天(tian)(tian)网(wang)络(luo)安(an)(an)全冬训营——铁流鏖战(zhan)(zhan)”的(de)(de)(de)(de)(de)(de)公开报告部(bu)分至此(ci)也(ye)圆满(man)结(jie)束,安(an)(an)天(tian)(tian)将坚(jian)持以(yi)敌情想定为前提,协助客(ke)户(hu)(hu)开展深度结(jie)合与全面(mian)覆盖的(de)(de)(de)(de)(de)(de)体系化网(wang)络(luo)安(an)(an)全规划与建(jian)(jian)设,支撑起(qi)(qi)协同联动(dong)的(de)(de)(de)(de)(de)(de)实战(zhan)(zhan)化运行,赋能客(ke)户(hu)(hu)筑起(qi)(qi)可(ke)对抗高级威胁的(de)(de)(de)(de)(de)(de)网(wang)络(luo)安(an)(an)全防(fang)线。

       网(wang)络安全是当前大国博(bo)弈的焦(jiao)点(dian)领域(yu),是持续性对抗的领域(yu)。在网(wang)络强国战略思想的指引下,安天将与客户一道,携手(shou)共进(jin),将网(wang)空防御力量打造成(cheng)滚滚“铁(tie)流(liu)”,不(bu)惧(ju)艰险,“鏖战”强敌(di)。