信息來源：比特網(wǎng)  

近日，由安天實(shí)驗(yàn)室主辦的“朔雪飛揚(yáng)”第三屆網(wǎng)絡(luò)安全冬訓(xùn)營再次在冰城哈爾濱拉開帷幕。在這場以“情報的支撐 塔防的實(shí)踐”為主要議題方向的盛會中，從網(wǎng)絡(luò)安全的布局布控、對抗策略，到各個領(lǐng)域的最新安全技術(shù)分享，參會者在為期三天的培訓(xùn)中感受了一次網(wǎng)絡(luò)安全的饕餮盛宴。

我們究竟面臨怎樣的網(wǎng)絡(luò)空間威脅？

冬訓(xùn)營首日，主辦方安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光首先指出：在錯綜復(fù)雜的國際關(guān)系中，傳統(tǒng)大國間的博弈與地緣安全態(tài)勢的發(fā)展已投射到網(wǎng)絡(luò)空間的安全威脅與態(tài)勢之中。面對如此之高的網(wǎng)絡(luò)地緣風(fēng)險，以及來自多方面網(wǎng)絡(luò)空間的威脅，不管是傳統(tǒng)情報作業(yè)的延展，還是信息站的前奏準(zhǔn)備，這一切都已與傳統(tǒng)的博弈策略和手段融為一體。

而網(wǎng)絡(luò)空間威脅的演進(jìn)，也在隨著互聯(lián)網(wǎng)+向傳統(tǒng)領(lǐng)域延伸，網(wǎng)絡(luò)攻擊也隨著智能終端設(shè)備的增多而走向新的新興領(lǐng)域。如今的安全威脅，正朝著縱深和泛化兩個方向發(fā)展。

在實(shí)際情況中，我們所面臨的攻擊也從網(wǎng)絡(luò)空間到實(shí)體空間無處不在：各種文檔、各種外設(shè)設(shè)備都可以被用于進(jìn)行攻擊，連可信計(jì)算本身也同樣會遭受攻擊。網(wǎng)絡(luò)安全已并非單點(diǎn)的防御所能夠解決問題，僅僅強(qiáng)調(diào)“自主”也不能完全保證“可控”。

在此背景之下，高級持續(xù)性威脅(APT)則又為我們開啟了新的威脅時代。這一威脅攻擊多以國家和政治經(jīng)濟(jì)集團(tuán)為背景發(fā)動，可以說，全世界主要國家均處在無處不在的APT 攻擊之中。

而我國的情況則更為嚴(yán)峻，我們對于網(wǎng)絡(luò)攻擊威脅的認(rèn)知乃是自斯諾登事件爆出后才意識到，而在實(shí)際的對于網(wǎng)絡(luò)安全的認(rèn)知中，我們同樣存在一系列盲點(diǎn)，這其中包括：過多強(qiáng)調(diào)以隔離換取安全，忽略信息有效鏈接和整合是重要的安全手段;過多強(qiáng)調(diào)信息技術(shù)的自我短板，  不積極在安全環(huán)節(jié)上有效布防;過度強(qiáng)調(diào)主要對手的基礎(chǔ)優(yōu)勢，缺乏對手攻擊作業(yè)方式和作業(yè)路徑的系統(tǒng)研判;過度看重網(wǎng)站安全，針對重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)被入侵、信息被竊取的問題  投入甚少。對此肖新光認(rèn)為：“對于互聯(lián)網(wǎng)+ ，我們需要關(guān)注網(wǎng)絡(luò)攻擊帶來的縱深挑戰(zhàn)，需要關(guān)注對手的實(shí)際能力?！?

不僅如此，而隨著APT攻擊的演進(jìn)，被肖新光稱之為“神一樣對手”的A2PT攻擊正逐漸呈現(xiàn)在我們眼前。A2PT攻擊有充足的0day儲備、高度模塊化、經(jīng)過了高級的加密和偽裝、甚至可以通過人工植入和物流鏈劫持，具備持久化、模塊化等特點(diǎn)。

除此之外，一些標(biāo)準(zhǔn)化的具有強(qiáng)大能力的商業(yè)化攻擊平臺開始不斷涌現(xiàn)，這些攻擊平臺使用商業(yè)漏洞、商業(yè)木馬、采用攻擊平臺進(jìn)行投放，具備持續(xù)攻擊能力，課覆蓋主要操作系統(tǒng)。而這一攻擊力強(qiáng)大的平臺已被稱之為“商業(yè)軍火”。

應(yīng)對：“情報的支撐”、“塔防的實(shí)踐

面對如此嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅形勢，肖新光指出：APT攻擊是一種社會行為 ， APT攻擊 的防御不可能由任何單點(diǎn)的產(chǎn)品來完成，必須要有縱深防御的整個體系，而防御APT 攻擊的核心思路就在于切斷作業(yè)鏈。

同時，肖新光也強(qiáng)調(diào)：傳統(tǒng)的安全產(chǎn)品和防御環(huán)節(jié)仍舊有其價值，而新的布防點(diǎn)也需要建立起來?？偠灾烙芰Φ奶嵘龑碜杂诎踩悸忿D(zhuǎn)換、以及安全觀的變革。即：從方法  上，需要從合規(guī)向能力型安全防御轉(zhuǎn)化;從戰(zhàn)略設(shè)計(jì)方面，要以治理為主導(dǎo)轉(zhuǎn)向國內(nèi)治理國際博弈雙重的方向;從視野上，則要以邊界為主導(dǎo)的安全觀轉(zhuǎn)化為點(diǎn)點(diǎn)皆邊界的國土安全觀。

而正如本次訓(xùn)練營的主題一樣，“情報的支撐”、“塔防的實(shí)踐”，這些都是應(yīng)對當(dāng)前威脅的重要手段和環(huán)節(jié)。

北京微步在線科技有限公司CEO薛峰首先明確了威脅情報的概念，即：“威脅情報≠社工庫  黑產(chǎn)  諜報”。他強(qiáng)調(diào)：做威脅情報的基礎(chǔ)能力是數(shù)據(jù)和分析。而數(shù)據(jù)的收集則需要包括商業(yè)情報、開源情報、 基礎(chǔ)數(shù)據(jù)、眾包情報等等;以及來自外部的DNS日志、DHCP日志 防火墻日志、各種日志等等。

那么，對于威脅情報而的收集而言，是不是數(shù)據(jù)越大就越好？對此薛峰表示：首先而言數(shù)據(jù)越大對威脅情報而言是有益處的，但并非只要數(shù)據(jù)越大就越好。這其中還關(guān)系到數(shù)據(jù)的質(zhì)量、多樣性、有效性、時效性以及時間的維度等等。

數(shù)據(jù)分析是重要的部分，薛峰特別強(qiáng)調(diào)：一個安全響應(yīng)團(tuán)隊(duì)最重要的關(guān)鍵是分析師團(tuán)隊(duì)和能力是否強(qiáng)大。而威脅情報的落地則需要更多的考量威脅情報如何與現(xiàn)在的安全產(chǎn)品做結(jié)合。

薛峰表示：2016年將是威脅情報的元年，許多方案與產(chǎn)品將落地，屆時我們將能看到于威脅情報相關(guān)的具體應(yīng)用出現(xiàn)。對于這一點(diǎn)，我們也將充滿期待。

另一方面，在傳統(tǒng)的安全防御模式下，面對逐漸成體系化的攻擊趨勢，攻擊階段越來越多，甚至出現(xiàn)了“專業(yè)外包”攻擊任務(wù)的現(xiàn)象，復(fù)雜的進(jìn)攻已讓傳統(tǒng)的安全邊界或網(wǎng)絡(luò)隔離策略難以湊效。由此，前中油瑞飛技術(shù)總監(jiān)黃晟提出，要拋棄“一招制敵”的幻想，利用塔防游戲中防守者的先發(fā)優(yōu)勢，不知好層層防線，綜合利用多樣化手段，讓攻擊者在防守者布局的環(huán)境中掙扎，以“塔防”模式依托縱深防御對抗攻擊者的思路。

黃晟強(qiáng)調(diào)：“塔防”模式是一種基于失效的防御機(jī)制，即縱深的目的就是要考慮每一道防線都有可能被繞過，而我們的防線要有疊加效果，從而可以將前面防御不掉的在后面的防線中防御到。

此外，本次冬訓(xùn)營各講師還就社會工程學(xué)攻擊、惡意代碼、移動安全、等熱點(diǎn)話題進(jìn)行了充分的分享。

編后：

在經(jīng)歷前兩期分別以凜冬降至” 、“北風(fēng)乍起”命名的網(wǎng)絡(luò)安全冬訓(xùn)營后，本期網(wǎng)絡(luò)安全冬訓(xùn)營以“朔雪飛揚(yáng)”為題命名，似乎也彰顯出當(dāng)下網(wǎng)絡(luò)安全的發(fā)展已進(jìn)入一個新的階段。

與以往安全圈往往偏重于技術(shù)討論的各類研討、培訓(xùn)活動有所差異的是，在本次網(wǎng)絡(luò)安全冬訓(xùn)營中，有關(guān)信息安全戰(zhàn)略、戰(zhàn)術(shù)方面的內(nèi)容同樣成為重頭戲。而這一點(diǎn)在近來安全圈的一系列活動中也已突顯端倪。這說明，在國際網(wǎng)絡(luò)空間安全威脅形勢不斷演進(jìn)的當(dāng)下，我們對于信息安全的認(rèn)知正在全面拓展，在網(wǎng)絡(luò)空間這一看不見硝煙的戰(zhàn)場上，戰(zhàn)略戰(zhàn)術(shù)與好的技術(shù)支撐作為能否讓我們在戰(zhàn)爭中運(yùn)籌帷幄的關(guān)鍵，二者所占據(jù)的重要地位正在越來越多的被意識到和認(rèn)同。

由此我們可以試想，在未來我們新的探索中，網(wǎng)絡(luò)安全或許將迎來理論與技術(shù)齊頭并進(jìn)、共同發(fā)展的局面。網(wǎng)絡(luò)安全威脅嚴(yán)峻的態(tài)勢之風(fēng)已呼嘯而至，對信息安全從業(yè)者而言，接下來要做的，便是朔雪飛揚(yáng)，迎接挑戰(zhàn)。