亚博全站APP登录

威胁框架:价值的认知——安天冬训营首日纪实

时间 :  2020年01月09日  来源:  安天


       2020年(nian)1月8日,由中共黑(hei)龙(long)江(jiang)省(sheng)委(wei)网(wang)络安(an)全(quan)(quan)和信息化委(wei)员会办(ban)公室(shi)、黑(hei)龙(long)江(jiang)省(sheng)科学技(ji)术(shu)厅(ting)、黑(hei)龙(long)江(jiang)省(sheng)公安(an)厅(ting)主办(ban),中国(guo)信息安(an)全(quan)(quan)测评中心提供技(ji)术(shu)指导,哈尔滨市松北区人(ren)民政府、安(an)天(tian)科技(ji)集团股份有(you)限公司(si)、中国(guo)网(wang)络安(an)全(quan)(quan)产(chan)业联(lian)盟、黑(hei)龙(long)江(jiang)省(sheng)科力高科技(ji)产(chan)业投资有(you)限公司(si)承办(ban)的(de)网(wang)络空间威胁对(dui)抗与(yu)态势感知研讨会暨第七(qi)届安(an)天(tian)网(wang)络安(an)全(quan)(quan)冬训营在哈尔滨开幕。

       本届冬训营为期两天,以“寒夜远征”为营语,以“威胁框架:认知与实践”为主题。业内专家与安天工程师一同深入分析,分享和共商对威胁框架安全价值的理解和实践思考。我们围绕用户的关切,分析来自不同层级威胁行为体的攻击事件,介绍在检测引擎端点防护流量监测深度分析态势感知等方面威胁框架的结合进展,及在重要信息系统和关键基础设施中建立有效防御体系的探索实践。

       在首日的开(kai)幕式上,黑龙江省委网(wang)信(xin)办副主(zhu)任(ren)王希(xi)忠发表了致辞。他表示,当前(qian)我国(guo)网(wang)络安(an)(an)全形势依然严(yan)峻,防(fang)护能力较为薄弱,难以对(dui)抗国(guo)家(jia)级、有组(zu)织的高强(qiang)度(du)网(wang)络攻(gong)击(ji)。以安(an)(an)天(tian)为代表的网(wang)络安(an)(an)全企业,承担着维护和保障国(guo)家(jia)网(wang)络安(an)(an)全的责(ze)任(ren)和使命,是(shi)国(guo)内与威(wei)胁(xie)对(dui)抗的主(zhu)要力量(liang)。

       会上,主(zhu)持人陈晓桦向来宾分发了由安天CERT编写的《2019网络安全威(wei)胁年(nian)报》(征求意见稿(gao)),希(xi)望现(xian)场(chang)嘉宾能够(gou)对安天的工作提出宝(bao)贵的意见和建(jian)议。


2020年安天第七届网络安全冬训营主旨报告

       安天负(fu)责人肖(xiao)新(xin)光(guang)发表了(le)《从(cong)反恶(e)意代码(ma)小闭环(huan)(huan)到威胁对抗大(da)闭环(huan)(huan)》的主(zhu)旨报(bao)告(gao)。报(bao)告(gao)详述了(le)安天自(zi)2000年起在(zai)威胁检测(ce)引擎、大(da)规(gui)模自(zi)动化(hua)分析体(ti)系、恶(e)意代码(ma)捕获分析以及端点、流量等环(huan)(huan)节上所进行(xing)的基(ji)础能力建设(she)的探索过程。

       该报告还分享了(le)(le)安(an)天(tian)(tian)在尝试从(cong)单纯的反(fan)恶意(yi)代码视角提(ti)升(sheng)至威胁(xie)对抗视角时遭遇的多次挫(cuo)折和取得(de)的经验教训,并(bing)由此提(ti)出了(le)(le)安(an)天(tian)(tian)引入(ru)威胁(xie)框架(jia)作为自(zi)身新(xin)一轮能力(li)建设导(dao)向的考虑。过去的一年里,安(an)天(tian)(tian)团队在业内专家的指导(dao)下(xia),围绕威胁(xie)框架(jia),根据实际情况完善了(le)(le)各产品(pin)能力(li)。报告中还展示了(le)(le)安(an)天(tian)(tian)智甲终端(duan)防御系(xi)统(tong)、探海威胁(xie)检测系(xi)统(tong)、追影威胁(xie)分析系(xi)统(tong)、捕风威胁(xie)捕获系(xi)统(tong)、拓痕(hen)安(an)全(quan)工具等相(xiang)关产品(pin)在威胁(xie)框架(jia)视角下(xia)的能力(li)图谱(pu)映射,表达了(le)(le)安(an)天(tian)(tian)希望从(cong)传统(tong)的反(fan)恶意(yi)代码小闭(bi)环切换到(dao)赋能客户、共建防御加威胁(xie)对抗大闭(bi)环的决心。


安天工程师分享网空威胁框架的演进

       安(an)天解(jie)决方(fang)案中心工程师在(zai)会上发(fa)表了(le)《网(wang)空威胁(xie)框架的(de)演进(jin)》的(de)报告(gao)。报告(gao)指出:在(zai)当前网(wang)空对抗形(xing)(xing)势(shi)下,威胁(xie)框架是(shi)认(ren)知威胁(xie)的(de)重要方(fang)法(fa),也是(shi)安(an)全厂商提高客户(hu)安(an)全防(fang)御(yu)能力、达成客户(hu)安(an)全价(jia)值(zhi)(zhi)的(de)有(you)(you)效途(tu)径。当前,网(wang)空威胁(xie)主要是(shi)APT形(xing)(xing)式的(de)攻(gong)击(ji)(ji)(ji),要求我们改变(bian)以往所采用的(de)离散化(hua)的(de)威胁(xie)分(fen)析(xi)方(fang)法(fa),基(ji)于(yu)(yu)攻(gong)击(ji)(ji)(ji)者(zhe)(zhe)视角,以整个(ge)攻(gong)击(ji)(ji)(ji)行动来统(tong)一离散的(de)威胁(xie)事件(jian),形(xing)(xing)成对威胁(xie)的(de)整体性分(fen)析(xi),从而获得更为有(you)(you)效、更有(you)(you)防(fang)御(yu)价(jia)值(zhi)(zhi)的(de)分(fen)析(xi)结果。威胁(xie)框架的(de)核心价(jia)值(zhi)(zhi)在(zai)于(yu)(yu)分(fen)析(xi)防(fang)御(yu)差距、检测(ce)/缓解(jie)攻(gong)击(ji)(ji)(ji)者(zhe)(zhe)着重使用的(de)技(ji)术、跟(gen)踪特定对手的(de)技(ji)术集合、指导攻(gong)击(ji)(ji)(ji)者(zhe)(zhe)模拟、评价(jia)安(an)全技(ji)术,优化(hua)安(an)全部署(shu)、分(fen)析(xi)攻(gong)击(ji)(ji)(ji)行为与威胁(xie)发(fa)展态势(shi)等几个(ge)方(fang)面。

       该报告(gao)依(yi)次(ci)介绍了洛克希德.马丁杀伤链框(kuang)(kuang)架(jia)(jia)、ATT&CK威(wei)(wei)(wei)胁框(kuang)(kuang)架(jia)(jia)、ODNI公(gong)共网空威(wei)(wei)(wei)胁框(kuang)(kuang)架(jia)(jia)、TCTF威(wei)(wei)(wei)胁框(kuang)(kuang)架(jia)(jia)的相关(guan)情况(kuang),并通过对比说明了ATT&CK威(wei)(wei)(wei)胁框(kuang)(kuang)架(jia)(jia)和TCTF威(wei)(wei)(wei)胁框(kuang)(kuang)架(jia)(jia)协(xie)同作用和互补效果。

       安天向所有来宾分发了(le)用于介绍威(wei)胁框架的核心价值的ATT&CK威(wei)胁框架挂图(安天翻译版本)。


业内专家从云安全角度感知网络空间安全的新威胁

       南开大(da)学网(wang)络(luo)空间安全(quan)(quan)学院(yuan)教授(shou)张健在会上发表了《从云安全(quan)(quan)感知网(wang)络(luo)空间安全(quan)(quan)的新威胁(xie)(xie)》的主题演讲,探讨了如(ru)何运用(yong)ATT&CK威胁(xie)(xie)框架中(zhong)云计(ji)算相关内容,分析云计(ji)算所面临的威胁(xie)(xie)状(zhuang)况。

       他表示,在AI、大(da)数(shu)据(ju)、5G等(deng)新(xin)技术新(xin)应用(yong)(yong)推动下,云(yun)(yun)(yun)计(ji)算(suan)技术快(kuai)速发(fa)展(zhan),全(quan)(quan)(quan)球云(yun)(yun)(yun)计(ji)算(suan)市场将(jiang)迎来爆发(fa)式增长。与此同时,云(yun)(yun)(yun)安(an)(an)全(quan)(quan)(quan)问题也日(ri)益凸显(xian),根据(ju)CNCERT的(de)(de)(de)报告,云(yun)(yun)(yun)计(ji)算(suan)平(ping)台(tai)不(bu)仅成为(wei)黑客(ke)攻(gong)击(ji)(ji)(ji)的(de)(de)(de)主(zhu)要(yao)目标,同时也成为(wei)攻(gong)击(ji)(ji)(ji)的(de)(de)(de)源头(tou)。这是(shi)由于政(zheng)府、企(qi)业(ye)等(deng)单位越(yue)来越(yue)多的(de)(de)(de)应用(yong)(yong)和(he)数(shu)据(ju)逐步迁(qian)移到云(yun)(yun)(yun)平(ping)台(tai),云(yun)(yun)(yun)平(ping)台(tai)承载(zai)着高价值的(de)(de)(de)数(shu)据(ju)资产,成为(wei)黑客(ke)攻(gong)击(ji)(ji)(ji)重(zhong)点。另一方面由于云(yun)(yun)(yun)计(ji)算(suan)技术自身的(de)(de)(de)不(bu)足,从硬件、虚(xu)拟化(hua)、网络(luo)层到应用(yong)(yong)层等(deng)各个层面存(cun)在安(an)(an)全(quan)(quan)(quan)漏洞,云(yun)(yun)(yun)内部(bu)安(an)(an)全(quan)(quan)(quan)管理和(he)防护(hu)机(ji)制也不(bu)尽完善,云(yun)(yun)(yun)平(ping)台(tai)受到内外部(bu)攻(gong)击(ji)(ji)(ji)被黑客(ke)控制和(he)利(li)用(yong)(yong)成为(wei)攻(gong)击(ji)(ji)(ji)源,严重(zhong)危(wei)害(hai)网络(luo)和(he)云(yun)(yun)(yun)平(ping)台(tai)的(de)(de)(de)安(an)(an)全(quan)(quan)(quan)。特别是(shi)随着政(zheng)府和(he)关(guan)键(jian)信息(xi)基础设施(shi)运营单位大(da)量使(shi)用(yong)(yong)云(yun)(yun)(yun)平(ping)台(tai),我(wo)们面临的(de)(de)(de)安(an)(an)全(quan)(quan)(quan)威胁发(fa)生(sheng)了(le)显(xian)著变化(hua)。我(wo)们要(yao)准确把握(wo)和(he)应对新(xin)变化(hua)和(he)新(xin)威胁,要(yao)加强(qiang)对云(yun)(yun)(yun)安(an)(an)全(quan)(quan)(quan)技术的(de)(de)(de)研究和(he)开(kai)发(fa),吸(xi)引更(geng)多的(de)(de)(de)企(qi)业(ye)提供优质的(de)(de)(de)安(an)(an)全(quan)(quan)(quan)云(yun)(yun)(yun)产品(pin)和(he)服务,建立形成良好的(de)(de)(de)云(yun)(yun)(yun)安(an)(an)全(quan)(quan)(quan)生(sheng)态(tai)。同时加强(qiang)关(guan)键(jian)信息(xi)基础设施(shi)的(de)(de)(de)保护(hu),开(kai)展(zhan)态(tai)势感知(zhi)研判,提升对安(an)(an)全(quan)(quan)(quan)威胁的(de)(de)(de)发(fa)现和(he)预警(jing)能力(li)。

       最(zui)后,安天研究院分享了(le)《美(mei)军武器系统风险管理的(de)认知(zhi)与启(qi)示(shi)》。

       接下来将有更多精(jing)彩(cai)的分享,敬请期待(dai)!