亚博全站APP登录

威胁框架:艰难的落地实践——安天冬训营次日纪实

时(shi)间 :  2020年01月(yue)10日  来源:  安(an)天


       冬训营第(di)二日,网络安(an)全研(yan)究者和工(gong)程师继续围绕会议主题,从以(yi)威(wei)(wei)胁(xie)框架为(wei)方法框架分(fen)析(xi)安(an)天(tian)历史上曝光的经典APT事件(jian)入手(shou),介绍(shao)在(zai)智甲端点(dian)防御系统、探海威(wei)(wei)胁(xie)检(jian)测系统、追影威(wei)(wei)胁(xie)分(fen)析(xi)系统等产(chan)(chan)品通过威(wei)(wei)胁(xie)框架对标形成的新的能力特点(dian),以(yi)及安(an)天(tian)下一代威(wei)(wei)胁(xie)检(jian)测引(yin)擎、威(wei)(wei)胁(xie)情报(bao)生产(chan)(chan)体系等内核和支撑(cheng)环节对威(wei)(wei)胁(xie)情报(bao)的支持情况。安(an)天(tian)向(xiang)参会嘉(jia)宾介绍(shao)了三款主机安(an)全工(gong)具的研(yan)发思路和使用方法。


安天应急响应中心:震网与SWIFT入侵事件的对比回顾—超高能力网空威胁行为体的作业模式分析

       网空威胁行为体是网络空间攻击活动的来源,它们有不同的目的和动机,其能力也存在明显的差异。根据作业动机、攻击能力、掌控资源等角度,安天结合与业内专家的研讨,将网空威胁行为体正式划分为七个层级,分别是业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体。其中,超高能力国家/地区行为体,或称为超高能力网空威胁行为体,拥有严密的规模建制,庞大的支撑工程体系,掌控体系化的攻击装备和攻击资源,可以进行最为隐蔽和致命的网络攻击。安天将这种网络攻击称之为A2PT(高级的高级持续性威胁)。2019年安天发布了两篇超高能力网空威胁行为体的长篇分析报告——《震网事件的九年再复盘与思考》和《方程式组织攻击SWIFT服务提供商EastNets事件复盘分析报告》。本次冬训营安天分析人员,以两篇报告为内容基础,进一步披露一些未公开的研究内容和更完整的攻击事件链细节,借助TCTF威胁框架,分析在体系化支撑下,针对隔离网目标的集成化武器作业与针对连接互联网基础设施目标的展开远程推进式作业两种作业模式的异同。


安天态势感知研发部:从态势感知视角分析方程式攻击中东最大SWIFT服务商事件

       本议(yi)题延(yan)续前一(yi)议(yi)题对“方程式(shi)”组织攻(gong)(gong)(gong)击(ji)(ji)中东SWIFT供应商事(shi)件(jian)(jian)(以下(xia)简称(cheng)SWIFT事(shi)件(jian)(jian))的(de)(de)(de)(de)复盘分(fen)析。按照威胁(xie)(xie)框(kuang)架将整个(ge)攻(gong)(gong)(gong)击(ji)(ji)过程动(dong)作逐个(ge)进行(xing)(xing)(xing)精(jing)细化(hua)(hua)拆解,通(tong)(tong)过回放每(mei)个(ge)攻(gong)(gong)(gong)击(ji)(ji)分(fen)解步骤(zhou),分(fen)析每(mei)个(ge)攻(gong)(gong)(gong)击(ji)(ji)步骤(zhou)中防(fang)(fang)御(yu)方在(zai)基(ji)础结构安(an)全(quan)(quan)工作、防(fang)(fang)御(yu)纵深(shen)设(she)置、事(shi)件(jian)(jian)采(cai)集与留(liu)存、系统配置策略、安(an)全(quan)(quan)产(chan)(chan)(chan)品布防(fang)(fang)等方面(mian)的(de)(de)(de)(de)不(bu)足(zu),在(zai)A2PT级别(bie)的(de)(de)(de)(de)攻(gong)(gong)(gong)击(ji)(ji)下(xia),单点安(an)全(quan)(quan)能力(li)失效(xiao)是(shi)难以避免(mian)的(de)(de)(de)(de),需要(yao)把敌已在(zai)内(nei)作为基(ji)础的(de)(de)(de)(de)敌情(qing)(qing)想定,以面(mian)向失效(xiao)的(de)(de)(de)(de)设(she)计为基(ji)本规划原则。在(zai)“实(shi)战化(hua)(hua)”安(an)全(quan)(quan)运行(xing)(xing)(xing)环境(jing)中检验和持续提升防(fang)(fang)御(yu)能力(li)。以资(zi)(zi)产(chan)(chan)(chan)安(an)全(quan)(quan)运维(wei)平台明晰资(zi)(zi)产(chan)(chan)(chan)底数,形(xing)(xing)成网(wang)(wang)空地形(xing)(xing),建立统一(yi)安(an)全(quan)(quan)补丁、统一(yi)安(an)全(quan)(quan)策略分(fen)发调整,实(shi)现(xian)有(you)效(xiao)的(de)(de)(de)(de)资(zi)(zi)产(chan)(chan)(chan)安(an)全(quan)(quan)加(jia)固。通(tong)(tong)过端(duan)点侧(ce)(ce)、网(wang)(wang)络侧(ce)(ce)、分(fen)析侧(ce)(ce)的(de)(de)(de)(de)有(you)效(xiao)数据(ju)(ju)采(cai)集、情(qing)(qing)报(bao)(bao)生产(chan)(chan)(chan),建设(she)态势感知平台系统进行(xing)(xing)(xing)数据(ju)(ju)汇聚和分(fen)析,形(xing)(xing)成有(you)效(xiao)安(an)全(quan)(quan)策略,指控响应行(xing)(xing)(xing)动(dong)。安(an)天正(zheng)在(zai)研发的(de)(de)(de)(de)战术型态势感知平台,在(zai)安(an)天全(quan)(quan)线产(chan)(chan)(chan)品体(ti)系支撑(cheng)下(xia)通(tong)(tong)过全(quan)(quan)面(mian)监测(ce)和发现(xian)、自动(dong)化(hua)(hua)甄别(bie)与研判威胁(xie)(xie),辅助资(zi)(zi)产(chan)(chan)(chan)安(an)全(quan)(quan)运维(wei),利用多源威胁(xie)(xie)情(qing)(qing)报(bao)(bao)和私(si)有(you)化(hua)(hua)生产(chan)(chan)(chan)的(de)(de)(de)(de)内(nei)部情(qing)(qing)报(bao)(bao),赋能客户(hu),协助客户(hu)开展网(wang)(wang)络安(an)全(quan)(quan)防(fang)(fang)御(yu)体(ti)系的(de)(de)(de)(de)构建和防(fang)(fang)御(yu)能力(li)的(de)(de)(de)(de)持续提升。


安天端点安全产品子线:威胁框架在端点主动防御和数据采集的应用 ——ATT&CK在端点防护的实践分享

       本(ben)议题主要从(cong)端点防护系统的主动防御(yu)和数(shu)据采(cai)集两个方面,介(jie)绍了(le)安天智(zhi)甲终(zhong)端防御(yu)系统借助(zhu)ATT&CK威(wei)胁框(kuang)架提升防御(yu)和采(cai)集效果的实践经验(yan)。

       传(chuan)统(tong)杀(sha)毒(du)软件重(zhong)主(zhu)防(fang)(fang)、轻采集(ji),导致对(dui)态(tai)势判断画像(xiang)的基(ji)础(chu)数据(ju)(ju)供(gong)给不足,未(wei)发挥出主(zhu)防(fang)(fang)技(ji)术驱动层、内(nei)核级的工作机理优势;而(er)新兴EDR软件重(zhong)采集(ji)、弱主(zhu)防(fang)(fang),实际数据(ju)(ju)采集(ji)层次较浅,难以发现(xian)内(nei)核级安全(quan)事件。因(yin)此安天认为一款合格的端点防(fang)(fang)护产品,应(ying)该在(zai)主(zhu)动防(fang)(fang)御和数据(ju)(ju)采集(ji)画像(xiang)两个方面结合发力,而(er)威胁框架对(dui)于提升和验证主(zhu)动防(fang)(fang)御和数据(ju)(ju)采集(ji)能力具有较高价值。

       通过回顾安天智甲终端(duan)防御系统(tong)应用ATT&CK威胁(xie)框架(jia)的(de)(de)实践过程,总结(jie)了(le)(le)ATT&CK在(zai)(zai)端(duan)点(dian)落(luo)地(di)(di)的(de)(de)经验(yan)和注意(yi)事项(xiang),例(li)如技术点(dian)选取的(de)(de)优先(xian)级(ji)、如何针对ATT&CK官方(fang)(fang)实例(li)给出的(de)(de)防御方(fang)(fang)法不充分的(de)(de)情况进行(xing)补(bu)充等(deng)(deng)。此(ci)外在(zai)(zai)数据采(cai)集(ji)方(fang)(fang)面,基于智甲采(cai)集(ji)能力在(zai)(zai)ATT&CK威胁(xie)框架(jia)中的(de)(de)映(ying)射(she),强调了(le)(le)ATT&CK对构建清晰、完备(bei)的(de)(de)采(cai)集(ji)体系的(de)(de)价(jia)值,以及(ji)在(zai)(zai)日(ri)常监(jian)控、重点(dian)蹲(dun)守、处置追溯等(deng)(deng)不同(tong)应用场景(jing)下数据采(cai)集(ji)的(de)(de)落(luo)地(di)(di)方(fang)(fang)案。

       报告结合实(shi)际攻(gong)防(fang)(fang)场景(jing),演示了智甲产(chan)品在(zai)融合了ATT&CK威胁(xie)框架后如何在(zai)攻(gong)击的(de)(de)每个环节进行拦(lan)截和信息采集,进而达成最终防(fang)(fang)护效果(guo)。同时强(qiang)调了威胁(xie)框架落地的(de)(de)注(zhu)意(yi)事项,例如不能只注(zhu)重可(ke)(ke)视化(hua)效果(guo)而忽(hu)略在(zai)端(duan)点(dian)的(de)(de)防(fang)(fang)护能力,并指出(chu)在(zai)规模(mo)化(hua)信息资产(chan)防(fang)(fang)御(yu)场景(jing)中(zhong),需要(yao)具(ju)有全面自动化(hua)采集部署机制(zhi)的(de)(de)端(duan)点(dian)防(fang)(fang)御(yu)产(chan)品、可(ke)(ke)落地的(de)(de)响(xiang)应猎杀(sha)流程(cheng)与(yu)机制(zhi)以及能够和态(tai)势感知对接的(de)(de)商用级分析工(gong)具(ju)。


安天监测分析产品子线:流量全要素记录融合细粒度威胁情报支撑威胁猎杀

       报告(gao)根据(ju)(ju)“敌(di)(di)将(jiang)在(zai)内、敌(di)(di)已在(zai)内”的(de)(de)敌(di)(di)情(qing)想定,将(jiang)“探海(hai)”威(wei)(wei)(wei)(wei)胁(xie)检测(ce)系统部署于(yu)攻击者的(de)(de)必经之路,基(ji)于(yu)合理设计(ji)的(de)(de)防御(yu)纵深,在(zai)充分(fen)考虑单点失效的(de)(de)前提(ti)(ti)(ti)(ti)下(xia)(xia),保障(zhang)交叉火(huo)力(li)(li)对威(wei)(wei)(wei)(wei)胁(xie)行(xing)为(wei)(wei)体(ti)的(de)(de)行(xing)为(wei)(wei)感(gan)知覆盖,同时也(ye)为(wei)(wei)分(fen)析人员全面(mian)掌握资(zi)产、实现实体(ti)分(fen)析提(ti)(ti)(ti)(ti)供(gong)全要素采集的(de)(de)支撑。“探海(hai)”提(ti)(ti)(ti)(ti)供(gong)的(de)(de)全要素采集能(neng)力(li)(li)借(jie)助(zhu)较完(wan)备的(de)(de)元数(shu)(shu)据(ju)(ju)化技术(shu),在(zai)保障(zhang)威(wei)(wei)(wei)(wei)胁(xie)猎杀所(suo)需完(wan)整要素的(de)(de)前提(ti)(ti)(ti)(ti)下(xia)(xia),比全流(liu)量(liang)记录(lu)更节约空间;“探海(hai)”也(ye)提(ti)(ti)(ti)(ti)供(gong)了情(qing)报和场景(jing)触发的(de)(de)不同粒度(du)数(shu)(shu)据(ju)(ju)记录(lu)能(neng)力(li)(li),特定条件下(xia)(xia)可记录(lu)全流(liu)量(liang)数(shu)(shu)据(ju)(ju),辅助(zhu)威(wei)(wei)(wei)(wei)胁(xie)分(fen)析并固化证据(ju)(ju);提(ti)(ti)(ti)(ti)取的(de)(de)各种元数(shu)(shu)据(ju)(ju)不仅(jin)保障(zhang)了对威(wei)(wei)(wei)(wei)胁(xie)框架中技术(shu)的(de)(de)感(gan)知能(neng)力(li)(li)覆盖,也(ye)为(wei)(wei)下(xia)(xia)一代引(yin)擎提(ti)(ti)(ti)(ti)供(gong)了丰富的(de)(de)输入对象,使得“探海(hai)”可以借(jie)助(zhu)下(xia)(xia)一代引(yin)擎提(ti)(ti)(ti)(ti)供(gong)的(de)(de)丰富拆解能(neng)力(li)(li)、情(qing)报承载能(neng)力(li)(li)以及(ji)沙箱(xiang)的(de)(de)动(dong)态分(fen)析能(neng)力(li)(li),在(zai)一定程度(du)上(shang)补足流(liu)量(liang)与(yu)终端行(xing)为(wei)(wei)之间的(de)(de)断链。

       综合多种数据融合的(de)能力,“探海(hai)”不仅提供了全(quan)要素的(de)记录(lu),更可以(yi)融合威胁情(qing)报基于确(que)定的(de)线索辅助人员(yuan)完成组织同源(yuan)的(de)关联分析(xi),可以(yi)根据情(qing)报指引(yin)、场景条件触(chu)发记录(lu)的(de)不同粒度(du)数据,进行分析(xi)并产出新线索。

       为平衡对(dui)威(wei)(wei)胁(xie)(xie)感知的(de)(de)全方(fang)位覆盖(gai)和保障业务的(de)(de)连续(xu)可用,旁路部署(shu)流量检(jian)(jian)测设(she)备对(dui)分光或镜像的(de)(de)流量进行检(jian)(jian)测和记(ji)(ji)录是建设(she)动态(tai)综合(he)防御体系的(de)(de)过程(cheng)中(zhong)经(jing)常使(shi)用的(de)(de)方(fang)案。流量全要(yao)素记(ji)(ji)录能力在威(wei)(wei)胁(xie)(xie)框架的(de)(de)指引下(xia),融(rong)合(he)了细粒度的(de)(de)威(wei)(wei)胁(xie)(xie)情报之后,可以获得相当优秀(xiu)的(de)(de)威(wei)(wei)胁(xie)(xie)检(jian)(jian)测能力。安天(tian)的(de)(de)探(tan)海威(wei)(wei)胁(xie)(xie)检(jian)(jian)测系统与(yu)追影威(wei)(wei)胁(xie)(xie)分析系统的(de)(de)搭档组合(he),继在2018年(nian)(nian)取(qu)得中(zhong)国网络威(wei)(wei)胁(xie)(xie)对(dui)抗(kang)赛的(de)(de)两项冠军之后,又获得了2019年(nian)(nian)该比赛的(de)(de)第一名,蝉(chan)联冠军,正是依靠了全要(yao)素记(ji)(ji)录能力与(yu)承载(zai)威(wei)(wei)胁(xie)(xie)情报的(de)(de)下(xia)一代威(wei)(wei)胁(xie)(xie)检(jian)(jian)测引擎。

       融合(he)威(wei)(wei)胁情报(bao)与(yu)威(wei)(wei)胁框架(jia)的(de)(de)技术实践,从2019年(nian)下(xia)半年(nian)开始,在(zai)客(ke)户探针部(bu)署(shu)中,为客(ke)户提供(gong)了(le)有效(xiao)的(de)(de)威(wei)(wei)胁猎杀指引,支撑了(le)态势(shi)感知能力的(de)(de)建设,这些能力都(dou)将在(zai)今年(nian)走向更多客(ke)户。


安天基础引擎研发部:下一代威胁检测引擎承载威胁情报

       “谁(shei)对我发起了攻(gong)击?用了什么(me)手段?我面(mian)临什么(me)样的威胁?我需要作出怎样的防御(yu)动(dong)(dong)作?我能(neng)够自(zi)动(dong)(dong)化的完成这些(xie)动(dong)(dong)作么(me)?……”这些(xie)都是在(zai)新的网络安全形(xing)势下需要被解决的问题(ti)。

       面对(dui)(dui)这(zhei)(zhei)样的(de)(de)(de)(de)需求,业界普遍引入威(wei)胁情(qing)报来解决这(zhei)(zhei)些问题。IOC情(qing)报常(chang)常(chang)被与传(chuan)统反病毒产(chan)品一起(qi)使用(yong),人们期望(wang)这(zhei)(zhei)样能够达成对(dui)(dui)攻(gong)击方所使用(yong)的(de)(de)(de)(de)装(zhuang)备或(huo)基(ji)础设施的(de)(de)(de)(de)指向(xiang)能力(li)(li)和对(dui)(dui)海(hai)量的(de)(de)(de)(de)恶意代码的(de)(de)(de)(de)检(jian)测(ce)与辨(bian)识能力(li)(li),从而达到发(fa)现和阻断威(wei)胁的(de)(de)(de)(de)作(zuo)用(yong)。这(zhei)(zhei)种(zhong)检(jian)测(ce)能力(li)(li)组(zu)合虽然对(dui)(dui)类似(si)(si)海(hai)莲(lian)花、白象、绿(lv)斑一类的(de)(de)(de)(de)APT攻(gong)击具有一定的(de)(de)(de)(de)价值(zhi),但在过去十年内对(dui)(dui)于对(dui)(dui)抗来自(zi)更高(gao)水平的(de)(de)(de)(de)威(wei)胁行为体的(de)(de)(de)(de)活(huo)动收(shou)效甚微。在对(dui)(dui)类似(si)(si)毒曲II、方程(cheng)式(shi)等高(gao)级威(wei)胁行动或(huo)组(zu)织(zhi)的(de)(de)(de)(de)发(fa)现、阻断和猎杀活(huo)动中,这(zhei)(zhei)些情(qing)报几乎(hu)无法发(fa)挥(hui)任何作(zuo)用(yong)。这(zhei)(zhei)主要和IOC情(qing)报本身检(jian)测(ce)机制(zhi)的(de)(de)(de)(de)鲁棒性(xing)较差以(yi)及(ji)传(chuan)统反病毒引擎的(de)(de)(de)(de)局限性(xing)有关。

       传统(tong)的(de)(de)(de)威胁情(qing)报,能够(gou)较低成(cheng)(cheng)本(ben)有(you)效(xiao)落地(di)使(shi)用的(de)(de)(de)通常只有(you)Hash、域名、URL等(deng)IOC信(xin)标,面对广泛使(shi)用不落地(di)样本(ben)、样本(ben)按需(xu)定制和掌控大量C2基础设施的(de)(de)(de)攻击方(fang),传统(tong)威胁情(qing)报效(xiao)用性不佳(jia)。而(er)在威胁分析成(cheng)(cheng)果中,一(yi)(yi)些的(de)(de)(de)事实上可(ke)机读(du)、可(ke)形(xing)式化的(de)(de)(de)信(xin)息(xi),例如关键(jian)代码(ma)段、关键(jian)字符(fu)串等(deng),因安全产品缺少(shao)足够(gou)的(de)(de)(de)预(yu)处理能力,无法实现情(qing)报落地(di)。在业(ye)内资(zi)深专家的(de)(de)(de)指导下,安天下一(yi)(yi)代威胁检测引擎全面完善了(le)情(qing)报承载能力,支(zhi)持对多(duo)种形(xing)式化信(xin)息(xi)进(jin)行匹配(pei),拓宽(kuan)了(le)用户扩展情(qing)报能力的(de)(de)(de)“频谱”。

       传统反(fan)病(bing)毒引(yin)擎配套提供(gong)的(de)知(zhi)识决策信息是单一病(bing)毒名(ming),对(dui)(dui)于高级威胁(xie)对(dui)(dui)抗来(lai)说信息不(bu)足。安天下一代威胁(xie)检测引(yin)擎支(zhi)持多种输入与输出,包括对(dui)(dui)应载荷的(de)ATT&CK威胁(xie)框架、TCTF威胁(xie)框架相关(guan)的(de)知(zhi)识映射标签。


安天研究院:打造一个轻量级分析工具

       安(an)天(tian)研(yan)究院研(yan)究人员介绍了安(an)天(tian)轻量级行(xing)为分(fen)(fen)析(xi)工具产品(pin)行(xing)为显微镜(Action Scope)的(de)研(yan)发(fa)过(guo)程和(he)能力特点。并就如何(he)推(tui)动研(yan)发(fa)体系(xi)和(he)分(fen)(fen)析(xi)体系(xi)实现有效的(de)能力协同分(fen)(fen)享(xiang)了自己的(de)思考(kao)。

       会上,安(an)天(tian)向现场嘉宾通过U盘发放了3个实用(yong)安(an)全工(gong)具的(de)免(mian)费版本(ben),安(an)天(tian)工(gong)程师介绍(shao)了研发思路和使用(yong)方(fang)法。

       行为显微(wei)镜Action Scope

       Action Scope是(shi)安天研究(jiu)院(yuan)研发的对程(cheng)序的动(dong)态(tai)行(xing)为进行(xing)揭示(shi)的便携类工具产品,通过动(dong)态(tai)行(xing)为监控与(yu)人工交互分(fen)析的有(you)效结(jie)合,揭示(shi)文件每一(yi)步执(zhi)行(xing)的具体行(xing)为、模块调用及(ji)漏(lou)洞利用等情况(kuang),辅助专业(ye)分(fen)析人员进行(xing)判定。

       系统(tong)深度分析工具ATool

       ATool是安(an)(an)天(tian)面向(xiang)威胁检测(ce)与威胁分(fen)析(xi)(xi)人员开发的(de)Windows系统(tong)深度分(fen)析(xi)(xi)工(gong)具,其通过对(dui)系统(tong)内核模块、驱动(dong)、服(fu)务、进程、模块、端(duan)口(kou)等信息进行分(fen)析(xi)(xi)关(guan)联,进行对(dui)象的(de)安(an)(an)全检查和可信验证,协助(zhu)完成(cheng)手动(dong)分(fen)析(xi)(xi)处置工(gong)作。该(gai)工(gong)具最早版本发布于2002年,并在2006年引入了(le)四层守信模型进行安(an)(an)全分(fen)析(xi)(xi),是安(an)(an)天(tian)威胁分(fen)析(xi)(xi)猎杀(sha)工(gong)程师的(de)必(bi)备(bei)工(gong)具。

       精细化扫描工具ScanTool

       ScanTool是一款(kuan)区别于传统病毒检(jian)测(ce)工具与计算机(ji)取证工具的(de)(de)便携式自动化检(jian)测(ce)工具,其(qi)核心是对主机(ji)全量(liang)文件和(he)其(qi)他检(jian)测(ce)对象完成多(duo)引擎的(de)(de)检(jian)测(ce)扫描和(he)全面的(de)(de)元数据提(ti)取与验(yan)证,形成完整日志,并提(ti)取出可疑文件。为专业分(fen)析人(ren)员快速定(ding)位威胁及(ji)取证工作(zuo)提(ti)供有力(li)支(zhi)撑(cheng)。

       安天通过创意安天论坛对相关工具免费版本提供支持:http://bbs.lineinthesandjumper.com

       会议最后,安天研究(jiu)院介绍(shao)了《Windows的安全演(yan)进对国产操作系统的启(qi)示》。

       随(sui)着(zhe)网(wang)络强国战略的(de)(de)不断推进实施,网(wang)络安(an)(an)全(quan)所面(mian)临的(de)(de)风险挑战也(ye)会(hui)更加严峻(jun)(jun),对(dui)能(neng)力型网(wang)络安(an)(an)全(quan)企业的(de)(de)使(shi)命要求也(ye)在不断提(ti)高。从与恶(e)意代(dai)码对(dui)抗的(de)(de)小闭环,走向(xiang)全(quan)面(mian)赋能(neng)客(ke)户、助力客(ke)户建设防(fang)御(yu)(yu)体系,有效实现威胁对(dui)抗大闭环,对(dui)安(an)(an)天人来说是一个艰(jian)难的(de)(de)过程,也(ye)是必须完成的(de)(de)突(tu)破。这也(ye)是我们(men)把(ba)本(ben)届冬训营营语定为(wei)“寒夜(ye)远征(zheng)”的(de)(de)原因(yin),“寒夜(ye)”是严峻(jun)(jun)的(de)(de)安(an)(an)全(quan)威胁挑战,“远征(zheng)”是我们(men)达成目标的(de)(de)信(xin)念(nian)与行动。智(zhi)者安(an)(an)天下(xia),安(an)(an)天将与客(ke)户携(xie)手(shou),共同创造(zao)网(wang)络安(an)(an)全(quan)防(fang)御(yu)(yu)的(de)(de)未来。

       以上为冬训营第二日精彩内容回顾(首日纪实见:威胁框架:价值的认知——安天冬训营首日纪实)