《孫子兵法》上說,知己知彼,百戰不殆。在作戰過程中,如果能全面、準確掌握敵我雙方的的信息,就能夠打勝仗。在現如今在網絡空間中,攻守雙方的態勢更加錯綜復雜,攻擊者往往占據更加主動的位置,而利用威脅情報技術,提前洞悉攻擊者的動向,成為了改變攻守雙方態勢的重要路徑。

　　因此有專家將威脅情報比作是新時代網絡安全的血液。奇安信集團總裁吳云坤在2019威脅情報生態大會曾表示,威脅情報是構筑積極防御能力體系關鍵,同時也將在縱深防御乃至基礎結構安全發揮重要作用。

　　在2019北京網絡安全大會組委會近日公布的8場網絡安全技術沙龍日程中,筆者盤點了威脅情報與威脅分析相關的六個議題,先睹為快!

　　8月21日(大會第一日)

　　議題一:以《網空威脅框架》構建全流量監測

　　■14:10國家會議中心C館308演講者:安賽CEO林榆堅

　　NSA/CSS在Kill Chain殺傷鏈和ATT&CK威脅建模等模型基礎上,于2018年發布了《網空威脅框架》。該框架的優勢在于能從管理者宏觀角度出發,明確定義攻擊者全生命周期內的各種攻擊行為,在具體企業防護應用中具有極大的可操作性。目前,這一模型在國內的應用剛剛起步。

　　本議題將從該模型與技術創新的實踐成果出發,對模型在全流量監控中的實際應用和技術革新的指導意義進行論述,針對如何在超大流量背景中高效化存儲與分析、如何以雙向數據分析手段提高防護效率、如何提高實時檢測甚至預判攻擊行為并進行阻斷的可能性等問題,給出對應的策略思考與解決手段。

　　8月22日(大會第二日)

　　議題二:如何使用NTA檢測發現高級威脅

　　■ 14:10國家會議中心C館308演講者:山石網科營銷資深總監賈彬

　　高級威脅具有長期潛伏、瞬間爆發的基本特點,一次完整的高級威脅需要經過滲透、C&C、擴散、提權、實施等重要階段。基于特征庫的傳統安全技術難以有效檢測不同階段的不同威脅行為。但是高級威脅每個階段的網絡流量都會出現不同程度的變化,所以對于流量狀態變化的監控是非常有效的檢測手段之一。

　　作為2017年Gartner十大信息安全技術之一,本議題將詳細介紹如何利用NTA技術,針對于關鍵網絡區域的東西向和南北向的流量進行分析,檢測企業網絡中的可疑行為,尤其是失陷后的痕跡。

　　8月23日(大會第三日)

　　議題三:基于kubernetes的流式威脅檢測平臺

　　■ 13:35國家會議中心C館311A演講者:華泰安全信息安全架構師邢驍

　　隨著底層計算平臺的不斷發展,機器學習、UEBA等技術的興起,下一代SIEM也備受關注。但是,如何在SIEM平臺中實現實時的事件關聯分析、威脅精準定位、安全噪音消除,仍然是眾多安全工作者的痛點。

　　本議題將介紹如何基于kubernetes搭建大數據安全檢測平臺,使平臺模塊化和微服務化,易于部署和擴展,幫助安全工作者快速落地實現各類需求。此外,本議題還將介紹如何利用Flink流式引擎在海量數據中發現實時威脅,并對威脅進行場景化處理和性質分析。最后,結合隱蔽隧道、主機命令檢測等具體案例,介紹如何將規則、基線和機器學習等方法在實戰環境中融合,以實現入侵的精準命中。

　　議題四:基于ATT&CK的APT跟蹤和狩獵

　　■ 14:10國家會議中心C館311A演講者:奇安信集團潘博文

　　APT的跟蹤和狩獵從來都不是一件容易的事情。為了便于描述網絡攻擊和惡意代碼, STIX2.0標準中引入了攻擊和惡意代碼2個相對獨立的表述,攻擊采用capec,惡意代碼采用meac。但是capec和meac過于晦澀,因此2015年發布了ATT&CK模型及建模字典,合并了capec和meac,便于表達和分享,實現安全自動化。

　　本議題結合我們對APT威脅的研究基礎,探討ATT&CK在APT威脅場景下的落地方式,主要內容包括:從APT威脅角度對ATT&CK框架的設計進行剖析;探討如何將ATT&CK攻擊技術框架應用到APT威脅分析中,并結合案例和系統日志層面,探討其落地的方式和思路;探討從ATT&CK角度分析APT組織的攻擊戰術技術手法和特點。

　　議題五:實戰化下的全流量威脅發現實踐

　　■ 14:10國家會議中心C館307演講者:奇安信集團唐伽佳

　　網絡攻防演習是網絡安全中最能檢驗安全團隊防御能力的方式之一。在攻防演習中,作為防守方,面對“隱蔽”的網絡攻擊,如何才能有效防御呢?只有沿實戰化的攻擊路徑做縱深檢測才能全面應對“組織化”攻擊挑戰。攻擊方在組織入侵攻擊時,常見的攻擊步驟為信息收集、漏洞分析、滲透攻擊和后滲透攻擊等。

　　本議題結合攻擊者的入侵路徑與攻擊方法,總結出了互聯網突破-威脅檢測,內網拓展-威脅檢測,關鍵產品、系統攻擊-威脅檢測方案,數據驅動的威脅分析能力體系等內容以及相關實例。

　　議題六:情報驅動的網絡安全新生態環境

　　■ 13:00國家會議中心C館308演講者:天際友盟技術總監謝廣坤

　　奇安信集團總裁吳云坤認為,威脅情報生態就是需要幫助生產者生產更優質的情報,幫助消費者更好地利用情報。

　　威脅情報在網絡安全解決方案中“知己知彼”的“知彼”一側發揮著重要作用,但是單獨依靠一家或者少數幾家威脅情報供應商,是絕對不夠的,威脅情報的共享使得網絡安全防護能夠有效利用外部情報進行針對性精準防護。因此,威脅情報的共享和生態建設是威脅情報利用的關鍵環節。本議題介紹了國際、國內威脅情報標準的建設情況,從威脅情報共享與應用的角度解讀網絡安全生態環境的發展。