數(shù)字孿生浪潮奔涌而至,“一切皆可編程、萬物均要互聯(lián)、大數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)、軟件定義一切”成為新數(shù)字的時(shí)代標(biāo)簽。以數(shù)字為主體的互聯(lián)網(wǎng)邊界得到實(shí)質(zhì)性地延申與拓展,與此同時(shí),網(wǎng)絡(luò)空間的攻防對(duì)抗態(tài)勢(shì)也逐步升級(jí)。
尤其隨著國(guó)家級(jí)網(wǎng)絡(luò)部隊(duì)這一“大玩家”入局,網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)邊疆、網(wǎng)絡(luò)國(guó)防等新概念更是噴薄而出。如何在層層加碼的高級(jí)別網(wǎng)絡(luò)威脅之下,鍛造嚴(yán)守網(wǎng)絡(luò)空間安全防線的新質(zhì)國(guó)防力,成為全球各國(guó)亟待書寫的安全答卷。
風(fēng)起云涌之中,2020年8月13日,ISC 2020“XDR分析檢測(cè)”論壇重磅上線,聚焦數(shù)字孿生時(shí)代下的高級(jí)威脅檢測(cè),立足全球網(wǎng)絡(luò)安全產(chǎn)業(yè)升級(jí)戰(zhàn)略視野,探索新數(shù)字浪潮下的網(wǎng)絡(luò)安全防御應(yīng)對(duì)之策。
蘋果資本合作人、全國(guó)信息網(wǎng)絡(luò)安全協(xié)會(huì)專家委員、中關(guān)村天使投資理事胡洪濤,安天集團(tuán)威脅情報(bào)部總監(jiān)沈長(zhǎng)偉,IEEE Fellow、浙江大學(xué)美國(guó)西北大學(xué)互聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室主任、杭州奇盾信息技術(shù)有限公司創(chuàng)始人陳焰,360公司PC安全產(chǎn)品事業(yè)部主動(dòng)防御團(tuán)隊(duì)技術(shù)負(fù)責(zé)人何博,360企業(yè)安全高級(jí)安全攻防專家、360靈騰實(shí)驗(yàn)室成員馮作瞳等一眾安全大咖,在本次論壇上圍繞“從投資角度看XDR產(chǎn)品演進(jìn)”、“威脅檢測(cè)引擎—最強(qiáng)勁的威脅情報(bào)發(fā)動(dòng)機(jī)”、“基于實(shí)時(shí)系統(tǒng)級(jí)攻擊溯源的高級(jí)威脅檢測(cè)”、“企業(yè)內(nèi)網(wǎng)橫向滲透檢測(cè)和攔截實(shí)踐”等主題,展開了戰(zhàn)略級(jí)的巔峰對(duì)話。
“網(wǎng)絡(luò)安全產(chǎn)業(yè)正進(jìn)入指數(shù)型增長(zhǎng)初級(jí)階段”
蘋果資本合作人、全國(guó)信息網(wǎng)絡(luò)安全協(xié)會(huì)專家委員,中關(guān)村天使投資理事胡洪濤在演講中,從投資的角度,歷數(shù)端點(diǎn)安全檢測(cè)產(chǎn)品的演進(jìn)與XDR安全產(chǎn)品的未來發(fā)展。
他指出,隨著世界從信息化到數(shù)字化的演進(jìn),企業(yè)面臨著前所未有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。安全廠商們不斷“推陳出新”,渴望通過新思路、新技術(shù)的應(yīng)用,幫助企業(yè)抵御一切網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
Windows+PC的傳統(tǒng)互聯(lián)網(wǎng)時(shí)代,EPP(端點(diǎn)保護(hù)平臺(tái))是政企事業(yè)單位安全防御的主力軍。EPP集殺毒、釣魚&間諜軟件防護(hù)、HIDS、未經(jīng)授權(quán)訪問、數(shù)據(jù)安全防護(hù)等多種組合安全解決方案于一身,立足“網(wǎng)絡(luò)威脅防御”理念,以單機(jī)工作模式,在病毒進(jìn)入保護(hù)范圍的第一時(shí)間攔截攻擊。
移動(dòng)互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)安全產(chǎn)業(yè)漸成體系。不同于EPP的防御機(jī)制, EDR智能端點(diǎn)響應(yīng)平臺(tái)則聚焦網(wǎng)網(wǎng)絡(luò)威脅監(jiān)測(cè),旨在為政企客戶提供智能關(guān)聯(lián)分析、威脅溯源、自動(dòng)化響應(yīng)解決方案。
而當(dāng)時(shí)間軸移至當(dāng)前的萬物互聯(lián)新時(shí)代,以數(shù)據(jù)采集監(jiān)控和事件關(guān)聯(lián)分析為核心的智能安全檢測(cè)體系XDR應(yīng)勢(shì)而生,融合多端點(diǎn)、網(wǎng)絡(luò)、服務(wù)器、應(yīng)用等海量數(shù)據(jù)源,恰到好處地接壤大安全陸地。
從Windows+PC時(shí)代下的EPP,到移動(dòng)互聯(lián)網(wǎng)時(shí)代下的EDR,再到如今智能化萬物互聯(lián)浪潮中的XDR,安全產(chǎn)品發(fā)展的每一步都踏準(zhǔn)了時(shí)代節(jié)拍。而其清晰發(fā)展脈絡(luò)背后,是網(wǎng)絡(luò)安全產(chǎn)業(yè)逐步升級(jí)的最好見證。胡洪濤認(rèn)為,未來,網(wǎng)絡(luò)安全產(chǎn)業(yè)或?qū)⑦M(jìn)入指數(shù)級(jí)增長(zhǎng)。
“威脅檢測(cè)引擎——最強(qiáng)勁的威脅情報(bào)發(fā)動(dòng)機(jī)”
就像汽車的發(fā)動(dòng)機(jī)是汽車的核心動(dòng)力來源一樣,威脅檢測(cè)引擎也是威脅檢測(cè)產(chǎn)品核心鑒定能力的提供者。安天集團(tuán)威脅情報(bào)部總監(jiān)沈長(zhǎng)偉在演講中如是說。
他指出,通常情況下,威脅檢測(cè)引擎會(huì)基于覆蓋百億樣本的海量規(guī)則,以完整的預(yù)處理、深度解析、豐富的檢測(cè)方式,進(jìn)行動(dòng)態(tài)化載荷威脅檢測(cè)。盡管其規(guī)則魯棒性較強(qiáng),但卻并未實(shí)現(xiàn)成體系的知識(shí)化輸出。
而威脅情報(bào)則是某種基于證據(jù)的知識(shí)。通過IOC規(guī)則來為高級(jí)威脅對(duì)抗提供更好的指向性,是當(dāng)前威脅情報(bào)的常態(tài)化應(yīng)用,但對(duì)超高能力且時(shí)刻變幻的網(wǎng)絡(luò)空間威脅活動(dòng),諸如國(guó)家級(jí)網(wǎng)絡(luò)攻擊,IOC規(guī)則幾乎無效。
面對(duì)這一局面,沈長(zhǎng)偉認(rèn)為,威脅檢測(cè)引擎可通過開放情報(bào)承載能力,開放威脅情報(bào)輸入、輸出,在多種防御場(chǎng)景下,實(shí)現(xiàn)對(duì)高級(jí)威脅的發(fā)現(xiàn)、阻斷與揭示,并以此生產(chǎn)抗變性的威脅情報(bào),構(gòu)建面向高級(jí)威脅的檢測(cè)能力閉環(huán)。
“傳統(tǒng)安全產(chǎn)品已無法有效防御高級(jí)持續(xù)威脅(APT)攻擊”
近年來,高級(jí)持續(xù)威脅(APT)攻擊愈演愈烈。通常,這類高級(jí)別黑客組織會(huì)利用遠(yuǎn)控RAT木馬,配合社會(huì)工程學(xué)手段入侵目標(biāo)系統(tǒng)并長(zhǎng)期駐扎,進(jìn)而通過鍵盤紀(jì)錄、截圖、錄音等RAT木馬功能持續(xù)偵察,以進(jìn)行大規(guī)模情報(bào)竊取等惡意行為。
在這一過程中對(duì)APT攻擊進(jìn)行細(xì)粒度動(dòng)態(tài)行為識(shí)別,態(tài)勢(shì)感知、溯源分析是應(yīng)對(duì)此類高級(jí)別網(wǎng)絡(luò)攻擊的重要手段。而傳統(tǒng)安全產(chǎn)品如反病毒,網(wǎng)絡(luò)側(cè)的檢測(cè)和沙箱已無法支撐上述系列威脅檢測(cè)。
在此背景下,基于系統(tǒng)底層數(shù)據(jù),可做到對(duì)威脅準(zhǔn)確、快速、全面檢測(cè)、監(jiān)控和響應(yīng)的EDR(終端檢測(cè)與響應(yīng)系統(tǒng))是滿足當(dāng)下網(wǎng)絡(luò)安全市場(chǎng)的最佳選擇。
IEEE Fellow,浙江大學(xué)美國(guó)西北大學(xué)互聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室主任、杭州奇盾信息技術(shù)有限公司創(chuàng)始人陳焰認(rèn)為,EDR 像人體的免疫系統(tǒng)一樣,實(shí)時(shí)收集主機(jī)系統(tǒng)運(yùn)行的數(shù)據(jù),利用惡意程序和正常程序產(chǎn)生的大量、底層內(nèi)核數(shù)據(jù),使用機(jī)器學(xué)習(xí)方法找出惡意程序攻擊行為模式(IOA)。
“嚴(yán)守內(nèi)網(wǎng)防線,是APT攻擊防御的重要一環(huán)”
在各類高級(jí)別APT攻擊中,橫向滲透是進(jìn)入內(nèi)網(wǎng)環(huán)境后,利用漏洞武器等手段擴(kuò)大控制權(quán)、實(shí)現(xiàn)最終攻擊目標(biāo)的關(guān)鍵。對(duì)各政企事業(yè)單位來說,在這一過程中,及時(shí)發(fā)現(xiàn)和識(shí)別橫向滲透行為,確定攻擊范圍和影響,并對(duì)其進(jìn)行攔截和后續(xù)溯源,是應(yīng)對(duì)APT攻擊防御中的重要一環(huán)。
360公司PC安全衛(wèi)士事業(yè)部主動(dòng)防御團(tuán)隊(duì)技術(shù)負(fù)責(zé)人何博,360企業(yè)安全高級(jí)安全攻防專家、360靈騰實(shí)驗(yàn)室成員馮作瞳基于多年攻防經(jīng)驗(yàn),在“XDR威脅檢測(cè)”論壇上,分享了如何通過網(wǎng)絡(luò)側(cè)、終端側(cè)多維分析模型,利用網(wǎng)絡(luò)流量、終端日志、機(jī)器學(xué)習(xí),以及結(jié)合現(xiàn)有安全基礎(chǔ)設(shè)施等手段,進(jìn)行APT高級(jí)威脅攻擊“企業(yè)內(nèi)網(wǎng)橫向滲透檢測(cè)和攔截實(shí)踐”。
‘
實(shí)戰(zhàn)是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。在該套安全檢測(cè)方法論下,安全專家已累計(jì)處理169萬條真實(shí)攻擊數(shù)據(jù),產(chǎn)出17.5萬條IOC,成功歸類171個(gè)家族、組織,在威脅之前準(zhǔn)確預(yù)警大量僵尸網(wǎng)絡(luò)、勒索病毒、漏洞攻擊,并追蹤溯源APT攻擊多達(dá)40余起。
數(shù)字孿生大廈起,網(wǎng)絡(luò)安全威脅至。隨著全球數(shù)字化轉(zhuǎn)型的加速,網(wǎng)絡(luò)空間已成為國(guó)與國(guó)對(duì)抗的核心戰(zhàn)場(chǎng)。而這其中,國(guó)家級(jí)APT攻擊正是大國(guó)網(wǎng)絡(luò)戰(zhàn)的重要體現(xiàn),其攻擊目標(biāo)更是涉及政治、經(jīng)濟(jì)、情報(bào)等多個(gè)重要板塊。
而如何在這一戰(zhàn)場(chǎng)中,掐準(zhǔn)APT高階威脅對(duì)抗的“七寸”命脈,趕在攻擊來臨之前,扭轉(zhuǎn)對(duì)抗局面,守好數(shù)字孿生新陣地的安全防線,與危共存,履危而安,是值得當(dāng)下每個(gè)安全廠商深思的問題。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )