BCS 2019剧透之威胁情报篇：我已在威胁入侵的路上等候多时

　　《孙子兵法》上说,知己知彼,百战不殆。在作战过程中,如果能全面、准确掌握敌我双方的的信息,就能够打胜仗。在现如今在网络空间中,攻守双方的态势更加错综复杂,攻击者往往占据更加主动的位置,而利用威胁情报技术,提前洞悉攻击者的动向,成为了改变攻守双方态势的重要路径。

　　因此有专家将威胁情报比作是新时代网络安全的血液。奇安信集团总裁吴云坤在2019威胁情报生态大会曾表示,威胁情报是构筑积极防御能力体系关键,同时也将在纵深防御乃至基础结构安全发挥重要作用。

　　在2019北京网络安全大会组委会近日公布的8场网络安全技术沙龙日程中,笔者盘点了威胁情报与威胁分析相关的六个议题,先睹为快!

　　8月21日(大会第一日)

　　议题一:以《网空威胁框架》构建全流量监测

　　■14:10国家会议中心C馆308演讲者:安赛CEO林榆坚

　　NSA/CSS在Kill Chain杀伤链和ATT&CK威胁建模等模型基础上,于2018年发布了《网空威胁框架》。该框架的优势在于能从管理者宏观角度出发,明确定义攻击者全生命周期内的各种攻击行为,在具体企业防护应用中具有极大的可操作性。目前,这一模型在国内的应用刚刚起步。

　　本议题将从该模型与技术创新的实践成果出发,对模型在全流量监控中的实际应用和技术革新的指导意义进行论述,针对如何在超大流量背景中高效化存储与分析、如何以双向数据分析手段提高防护效率、如何提高实时检测甚至预判攻击行为并进行阻断的可能性等问题,给出对应的策略思考与解决手段。

　　8月22日(大会第二日)

　　议题二:如何使用NTA检测发现高级威胁

　　■ 14:10国家会议中心C馆308演讲者:山石网科营销资深总监贾彬

　　高级威胁具有长期潜伏、瞬间爆发的基本特点,一次完整的高级威胁需要经过渗透、C&C、扩散、提权、实施等重要阶段。基于特征库的传统安全技术难以有效检测不同阶段的不同威胁行为。但是高级威胁每个阶段的网络流量都会出现不同程度的变化,所以对于流量状态变化的监控是非常有效的检测手段之一。

　　作为2017年Gartner十大信息安全技术之一,本议题将详细介绍如何利用NTA技术,针对于关键网络区域的东西向和南北向的流量进行分析,检测企业网络中的可疑行为,尤其是失陷后的痕迹。

　　8月23日(大会第三日)

　　议题三:基于kubernetes的流式威胁检测平台

　　■ 13:35国家会议中心C馆311A演讲者:华泰安全信息安全架构师邢骁

　　随着底层计算平台的不断发展,机器学习、UEBA等技术的兴起,下一代SIEM也备受关注。但是,如何在SIEM平台中实现实时的事件关联分析、威胁精准定位、安全噪音消除,仍然是众多安全工作者的痛点。

　　本议题将介绍如何基于kubernetes搭建大数据安全检测平台,使平台模块化和微服务化,易于部署和扩展,帮助安全工作者快速落地实现各类需求。此外,本议题还将介绍如何利用Flink流式引擎在海量数据中发现实时威胁,并对威胁进行场景化处理和性质分析。最后,结合隐蔽隧道、主机命令检测等具体案例,介绍如何将规则、基线和机器学习等方法在实战环境中融合,以实现入侵的精准命中。

　　议题四:基于ATT&CK的APT跟踪和狩猎

　　■ 14:10国家会议中心C馆311A演讲者:奇安信集团潘博文

　　APT的跟踪和狩猎从来都不是一件容易的事情。为了便于描述网络攻击和恶意代码, STIX2.0标准中引入了攻击和恶意代码2个相对独立的表述,攻击采用capec,恶意代码采用meac。但是capec和meac过于晦涩,因此2015年发布了ATT&CK模型及建模字典,合并了capec和meac,便于表达和分享,实现安全自动化。

　　本议题结合我们对APT威胁的研究基础,探讨ATT&CK在APT威胁场景下的落地方式,主要内容包括:从APT威胁角度对ATT&CK框架的设计进行剖析;探讨如何将ATT&CK攻击技术框架应用到APT威胁分析中,并结合案例和系统日志层面,探讨其落地的方式和思路;探讨从ATT&CK角度分析APT组织的攻击战术技术手法和特点。

　　议题五:实战化下的全流量威胁发现实践

　　■ 14:10国家会议中心C馆307演讲者:奇安信集团唐伽佳

　　网络攻防演习是网络安全中最能检验安全团队防御能力的方式之一。在攻防演习中,作为防守方,面对“隐蔽”的网络攻击,如何才能有效防御呢?只有沿实战化的攻击路径做纵深检测才能全面应对“组织化”攻击挑战。攻击方在组织入侵攻击时,常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击等。

　　本议题结合攻击者的入侵路径与攻击方法,总结出了互联网突破-威胁检测,内网拓展-威胁检测,关键产品、系统攻击-威胁检测方案,数据驱动的威胁分析能力体系等内容以及相关实例。

　　议题六:情报驱动的网络安全新生态环境

　　■ 13:00国家会议中心C馆308演讲者:天际友盟技术总监谢广坤

　　奇安信集团总裁吴云坤认为,威胁情报生态就是需要帮助生产者生产更优质的情报,帮助消费者更好地利用情报。

　　威胁情报在网络安全解决方案中“知己知彼”的“知彼”一侧发挥着重要作用,但是单独依靠一家或者少数几家威胁情报供应商,是绝对不够的,威胁情报的共享使得网络安全防护能够有效利用外部情报进行针对性精准防护。因此,威胁情报的共享和生态建设是威胁情报利用的关键环节。本议题介绍了国际、国内威胁情报标准的建设情况,从威胁情报共享与应用的角度解读网络安全生态环境的发展。