信息來源:比特網(wǎng)
近日����,由安天實驗室主辦的“朔雪飛揚”第三屆網(wǎng)絡(luò)安全冬訓營再次在冰城哈爾濱拉開帷幕����。在這場以“情報的支撐 塔防的實踐”為主要議題方向的盛會中,從網(wǎng)絡(luò)安全的布局布控�����、對抗策略,到各個領(lǐng)域的最新安全技術(shù)分享�,參會者在為期三天的培訓中感受了一次網(wǎng)絡(luò)安全的饕餮盛宴。
我們究竟面臨怎樣的網(wǎng)絡(luò)空間威脅��?
冬訓營首日��,主辦方安天實驗室首席技術(shù)架構(gòu)師肖新光首先指出:在錯綜復雜的國際關(guān)系中����,傳統(tǒng)大國間的博弈與地緣安全態(tài)勢的發(fā)展已投射到網(wǎng)絡(luò)空間的安全威脅與態(tài)勢之中。面對如此之高的網(wǎng)絡(luò)地緣風險�,以及來自多方面網(wǎng)絡(luò)空間的威脅,不管是傳統(tǒng)情報作業(yè)的延展�����,還是信息站的前奏準備����,這一切都已與傳統(tǒng)的博弈策略和手段融為一體。
而網(wǎng)絡(luò)空間威脅的演進����,也在隨著互聯(lián)網(wǎng)+向傳統(tǒng)領(lǐng)域延伸,網(wǎng)絡(luò)攻擊也隨著智能終端設(shè)備的增多而走向新的新興領(lǐng)域。如今的安全威脅����,正朝著縱深和泛化兩個方向發(fā)展。
在實際情況中����,我們所面臨的攻擊也從網(wǎng)絡(luò)空間到實體空間無處不在:各種文檔、各種外設(shè)設(shè)備都可以被用于進行攻擊��,連可信計算本身也同樣會遭受攻擊�����。網(wǎng)絡(luò)安全已并非單點的防御所能夠解決問題����,僅僅強調(diào)“自主”也不能完全保證“可控”��。
在此背景之下�����,高級持續(xù)性威脅(APT)則又為我們開啟了新的威脅時代�。這一威脅攻擊多以國家和政治經(jīng)濟集團為背景發(fā)動,可以說,全世界主要國家均處在無處不在的APT 攻擊之中�。
而我國的情況則更為嚴峻,我們對于網(wǎng)絡(luò)攻擊威脅的認知乃是自斯諾登事件爆出后才意識到�����,而在實際的對于網(wǎng)絡(luò)安全的認知中�,我們同樣存在一系列盲點,這其中包括:過多強調(diào)以隔離換取安全����,忽略信息有效鏈接和整合是重要的安全手段;過多強調(diào)信息技術(shù)的自我短板, 不積極在安全環(huán)節(jié)上有效布防;過度強調(diào)主要對手的基礎(chǔ)優(yōu)勢�����,缺乏對手攻擊作業(yè)方式和作業(yè)路徑的系統(tǒng)研判;過度看重網(wǎng)站安全����,針對重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)被入侵、信息被竊取的問題 投入甚少����。對此肖新光認為:“對于互聯(lián)網(wǎng)+ ,我們需要關(guān)注網(wǎng)絡(luò)攻擊帶來的縱深挑戰(zhàn)����,需要關(guān)注對手的實際能力�?���!?
不僅如此,而隨著APT攻擊的演進����,被肖新光稱之為“神一樣對手”的A2PT攻擊正逐漸呈現(xiàn)在我們眼前。A2PT攻擊有充足的0day儲備�、高度模塊化、經(jīng)過了高級的加密和偽裝����、甚至可以通過人工植入和物流鏈劫持����,具備持久化、模塊化等特點����。
除此之外,一些標準化的具有強大能力的商業(yè)化攻擊平臺開始不斷涌現(xiàn)�����,這些攻擊平臺使用商業(yè)漏洞、商業(yè)木馬�����、采用攻擊平臺進行投放����,具備持續(xù)攻擊能力,課覆蓋主要操作系統(tǒng)�。而這一攻擊力強大的平臺已被稱之為“商業(yè)軍火”。
應(yīng)對:“情報的支撐”�����、“塔防的實踐
面對如此嚴峻的網(wǎng)絡(luò)空間安全威脅形勢�,肖新光指出:APT攻擊是一種社會行為 , APT攻擊 的防御不可能由任何單點的產(chǎn)品來完成�,必須要有縱深防御的整個體系,而防御APT 攻擊的核心思路就在于切斷作業(yè)鏈��。
同時�,肖新光也強調(diào):傳統(tǒng)的安全產(chǎn)品和防御環(huán)節(jié)仍舊有其價值,而新的布防點也需要建立起來�?���?偠灾?����,防御能力的提升將來自于安全思路轉(zhuǎn)換�����、以及安全觀的變革����。即:從方法 上,需要從合規(guī)向能力型安全防御轉(zhuǎn)化;從戰(zhàn)略設(shè)計方面�����,要以治理為主導轉(zhuǎn)向國內(nèi)治理國際博弈雙重的方向;從視野上�,則要以邊界為主導的安全觀轉(zhuǎn)化為點點皆邊界的國土安全觀��。
而正如本次訓練營的主題一樣��,“情報的支撐”��、“塔防的實踐”,這些都是應(yīng)對當前威脅的重要手段和環(huán)節(jié)����。
北京微步在線科技有限公司CEO薛峰首先明確了威脅情報的概念,即:“威脅情報≠社工庫 黑產(chǎn) 諜報”��。他強調(diào):做威脅情報的基礎(chǔ)能力是數(shù)據(jù)和分析�。而數(shù)據(jù)的收集則需要包括商業(yè)情報、開源情報�����、 基礎(chǔ)數(shù)據(jù)�����、眾包情報等等;以及來自外部的DNS日志����、DHCP日志 防火墻日志、各種日志等等�。
那么,對于威脅情報而的收集而言����,是不是數(shù)據(jù)越大就越好��?對此薛峰表示:首先而言數(shù)據(jù)越大對威脅情報而言是有益處的�����,但并非只要數(shù)據(jù)越大就越好����。這其中還關(guān)系到數(shù)據(jù)的質(zhì)量�����、多樣性�����、有效性��、時效性以及時間的維度等等����。
數(shù)據(jù)分析是重要的部分����,薛峰特別強調(diào):一個安全響應(yīng)團隊最重要的關(guān)鍵是分析師團隊和能力是否強大�。而威脅情報的落地則需要更多的考量威脅情報如何與現(xiàn)在的安全產(chǎn)品做結(jié)合����。
薛峰表示:2016年將是威脅情報的元年,許多方案與產(chǎn)品將落地�,屆時我們將能看到于威脅情報相關(guān)的具體應(yīng)用出現(xiàn)。對于這一點�����,我們也將充滿期待�����。
另一方面����,在傳統(tǒng)的安全防御模式下,面對逐漸成體系化的攻擊趨勢�,攻擊階段越來越多,甚至出現(xiàn)了“專業(yè)外包”攻擊任務(wù)的現(xiàn)象��,復雜的進攻已讓傳統(tǒng)的安全邊界或網(wǎng)絡(luò)隔離策略難以湊效����。由此�,前中油瑞飛技術(shù)總監(jiān)黃晟提出��,要拋棄“一招制敵”的幻想��,利用塔防游戲中防守者的先發(fā)優(yōu)勢�����,不知好層層防線�,綜合利用多樣化手段,讓攻擊者在防守者布局的環(huán)境中掙扎�����,以“塔防”模式依托縱深防御對抗攻擊者的思路��。
黃晟強調(diào):“塔防”模式是一種基于失效的防御機制��,即縱深的目的就是要考慮每一道防線都有可能被繞過��,而我們的防線要有疊加效果��,從而可以將前面防御不掉的在后面的防線中防御到��。
此外,本次冬訓營各講師還就社會工程學攻擊����、惡意代碼����、移動安全、等熱點話題進行了充分的分享����。
編后:
在經(jīng)歷前兩期分別以凜冬降至” 、“北風乍起”命名的網(wǎng)絡(luò)安全冬訓營后����,本期網(wǎng)絡(luò)安全冬訓營以“朔雪飛揚”為題命名,似乎也彰顯出當下網(wǎng)絡(luò)安全的發(fā)展已進入一個新的階段��。
與以往安全圈往往偏重于技術(shù)討論的各類研討�����、培訓活動有所差異的是����,在本次網(wǎng)絡(luò)安全冬訓營中,有關(guān)信息安全戰(zhàn)略、戰(zhàn)術(shù)方面的內(nèi)容同樣成為重頭戲����。而這一點在近來安全圈的一系列活動中也已突顯端倪。這說明�,在國際網(wǎng)絡(luò)空間安全威脅形勢不斷演進的當下,我們對于信息安全的認知正在全面拓展�����,在網(wǎng)絡(luò)空間這一看不見硝煙的戰(zhàn)場上�����,戰(zhàn)略戰(zhàn)術(shù)與好的技術(shù)支撐作為能否讓我們在戰(zhàn)爭中運籌帷幄的關(guān)鍵�,二者所占據(jù)的重要地位正在越來越多的被意識到和認同。
由此我們可以試想�,在未來我們新的探索中,網(wǎng)絡(luò)安全或許將迎來理論與技術(shù)齊頭并進�、共同發(fā)展的局面。網(wǎng)絡(luò)安全威脅嚴峻的態(tài)勢之風已呼嘯而至�,對信息安全從業(yè)者而言,接下來要做的����,便是朔雪飛揚�,迎接挑戰(zhàn)��。
