物联网、工业互联网、万物互联的快速发展正在加速全面数字世界的到来,虚拟空间物理世界正在被打开。源自虚拟世界的黑客攻击,足以将其破坏力延伸至现实世界,并转化为物理破坏,直接危害政治安全、国防安全、关键基础设施安全、工业生产安全、金融安全、社会安全乃至人身安全。公民的安全。随着网络安全风险不断升级,网络安全攻防对抗的对手不再是昔日的“小偷”,而是高智商网络犯罪组织、网络恐怖分子、国家级黑客组织等“大玩家”.相继入局、成组织、成体系、有战术、有布局的“正规军”,凭借高“战术素养”和攻击资源,在网络空间占据一方,从国防核力量到电力交通能源等重点领域。都成了这些组织攻击的对象。“看不到”威胁全貌,缺乏应对威胁的良好策略,已成为数字时代的致命一环。在此背景下,8月13日,“威胁情报驱动的安全能力建设论坛”在第八届互联网安全大会ISC2020上正式亮相。高级网络安全专家、高级威胁研究院副院长宋申雷,宋神舟网云CEO赵超重大事件网络安全组网络安全专家国家网信办网络安全与信息化专家委员会专家烽火威胁情报联盟联合创始人宋超安全分析工程师360网络安全研究所研究员,北京刘广坤,天机友盟信息技术有限公司技术总监,360企业安全组高级产品总监高义伟,五位威胁情报领域资深专家,讨论了当前严峻的网络安全威胁形势以及如何利用威胁情报驱动安全能力建设的话题进行了深入的讨论。传统防御难防敌。威胁情报是追踪APT攻击的重要武器。论坛伊始,资深网络安全专家、360高级威胁研究院副院长宋申雷率先结合360基于高级威胁情报能力猎杀APT组织案例,分享经验以及360威胁情报金字塔构建的思考。宋申雷表示,网络世界的安全威胁时刻在变化,高级持续性威胁(APT)现已成为政府和企业不容忽视的重要威胁。由于APT攻击具有定向性、长期持续性、隐蔽性等特点,传统检测手段无法识别和发现APT攻击。借助海量安全数据、先进的机器学习技术和经验丰富的专家团队,先进的威胁情报威胁搜寻已成为安全人员发现APT攻击的真正有效手段。宋申雷表示,传统的被动防御方式和单点攻击取证溯源技术已经无法应对高级持续性威胁(APT)、新型高危漏洞等复杂安全威胁。未来,威胁情报的作用将进一步放大。结合关联的威胁情报,对攻击者进行画像溯源,利用威胁情报构建攻击知识库,实现APT攻击的攻击意图智能推理和样本变体自动跟踪。在信息共享和应急响应场景中,通过威胁情报反映的互联网安全态势,有助于预测后续可能存在的安全风险,更快地响应网络威胁。威胁情报应用的关键价值在于协作、共享和生态数据标记是锁定威胁源的重要手段之一。对于威胁情报能力建设,神舟网云CEO、重大事件网络安全组网络安全专家、网信办网安全与信息化专家委员会专家、联合创始人宋超柏莱威胁情报联盟认为,网络安全公司每天收集的告警信息在百万条日志事件和数十万条指标量级。对于分析师来说,已经不可能完成日常的分析工作了。数据采集??、处理和分类必须自动化进行,利用元数据告警标签、人工标签、第三方威胁信息标签对其进行识别,形成画像,准确识别每一个网络安全事件的综合信息。安全研究团队应基于威胁同源关联分析模型,优化威胁情报中心,内置威胁同源关联分析算法,支持相关分析工作。基于情报的威胁同源关联分析技术的核心在于威胁源的标记画像。对于看似来源不同的多种安全威胁,通过人像标签的深度关联,可以挖掘和判断它们之间的关系,实现不同威胁线索的串联。为每一次高级威胁攻击的攻击链条的每个环节打上威胁标签和行业标签,提取IOC指标寻找关联,进行针对性防御。以更科学透明的IOC评估机制提升威胁情报IOC应用水平360网络安全研究所安全分析工程师张再峰分享了360威胁情报中IOC评估工作的实用方法。张再峰提到,在使用威胁情报的过程中,威胁情报IOC的量化评估是衡量威胁情报质量的关键。因此,评估威胁情报的IOC质量对于IOC提供者和用户都具有非常重要的现实意义。科学透明的评估方法是量化和操控威胁情报IOC评估方法的核心。为不同用户、不同使用场景提供公开、可验证、合理的评估方法,选择关键测试指标,选择最适合的威胁情报IOC。业内首次采用静态评估与动态评估相结合的方式对IOC评估进行编程,优化IOC评估机制,为威胁情报提供者和用户科学合理评估威胁情报提供参考,然后推广威胁情报IOC。科学发展。只有建立威胁情报主动防御机制,才能知己知彼。北京天际友盟信息技术有限公司技术总监刘广坤分享了威胁情报与主动防御的话题。他认为,纵深防御安全架构和技术产品面临开放性挑战,互联网上充斥着对现有安全防御技术的“旁路”技术。企业信息安全不仅仅关乎企业网络边界路由器的安全,更多分布在管理权限之外的潜在威胁使得数字化风险的响应和处置难度越来越大。互联网、移动互联网和工业控制网络的快速发展,数字化转型的快速普及,使得网络防护的边界越来越模糊,攻击者和防御者的界面不再基于基于攻击者和防御者的明确划分两端。防御者设定的界限。威胁情报及其扩展概念——安全情报的出现,为防御者实现“知己知彼,百战不殆”的愿望提供了可能。威胁情报通过向防御者提供外部威胁信息,形成新的攻防平衡。同时,基于威胁情报的响应能力也为在业务层面打击数字风险违规行为提供了可能,从而为企业的数字化转型保驾护航。DNS数据具有巨大的安全价值,是挖掘网络威胁的宝库在《情报驱动的DNS安全实践》的演讲中,360企业安全事业群高级产品总监高义伟分享了他在360安全DNS和域名领域的工作威胁情报经验与探索。高仪伟提到,DNS协议在设计之初,只注重易用性,而忽略了安全性。由于协议的重要性和特殊性,几乎所有的技术防御措施都允许无限传输,随着时间的推移,DNS暴露出越来越多的安全问题。DNS已经成为网络威胁流通的主要渠道,DNS数据因此具有巨大的安全研究价值,对于网络安全威胁行为的挖掘具有重要意义。动态难度。高义伟表示,得益于多维安全大脑、海量安全大数据和DNS分析大数据的积累,360建立了“DNS威胁情报+智能威胁检测算法”的检测模型,能够频繁更新DNS采用威胁情报和经过验证的智能威胁检测算法,解决DNS数据信息量小、威胁域名动态性强所带来的DNS检测问题。演讲中,高仪伟以隐藏的刷机病毒为例,演示了通过部署在大型网络中的“360DNS安全监控系统”发现、分析、跟踪和阻断来自DNS流量的网络威胁的过程。展示了360DNS安全监控系统全面的威胁发现和防御能力。最后,高仪伟也在致辞中宣布,360公网DNS服务升级方案正式发布。即日起,360公共DNS服务将全面支持IPv4和IPv6双栈解析,并开启全网DoH(doh.360.cn)和DoT(dot.360.cn)解析服务公开测试。除威胁情报驱动的安全能力建设论坛外,第八届互联网安全大会(ISC2020)还设置了新基建日、战略日、创新日、技术日、产业日、人才日等多个主题日第一次。先后推出网络空间战略与治理论坛、漏洞管理与研究论坛、信创安全论坛、大数据安全论坛、人工智能与安全论坛、城市安全论坛、关键信息基础设施安全防护论坛等27场论坛,围绕新基建、战略、创新、技术、产业等领域开展全方位研讨交流,洞悉数字孪生时代安防趋势,共同探索助推安防产业发展的新机遇。目前,27个论坛正在陆续开启,更多前沿科技话题和大咖分享的观点将在第八届互联网安全大会上持续呈现。聚焦永不落幕的ISC2020,与众多行业大咖、技术专家齐聚一堂,共话安全。
