毕尔巴鄂对阵皇家社会:两支近邻球队将于西甲联赛 “巴斯克德比”中为捍卫荣耀而战贝壳第三季度营收226亿元 经调净利润17.8 亿元 同比下降17.46%AI营销,让科技巨头尝到了大模型商业化的甜头安恒信息范渊在乌镇峰会谈AI:以工具视之、以工具用之、以工具治理之诺基亚与微软再合作,为 Azure 数据中心供货延长五年天岳先进发布业界首款 300mm(12 英寸)N 型碳化硅衬底三星介绍内部安全团队 Project Infinity 攻防演练项目,高效修复 Galaxy 手机平板漏洞上海市将推进低空飞行服务管理能力建设,2027 年底前累计划设相应航线不少于 400 条岁末,海尔给您备好一套“小红花”为什么说Q10K Pro是今年最值得入手的电视?看完这几点就明白了!“小墨方·大不凡”!Brother“小墨方”系列彩喷一体机全新上市黄仁勋:AI智能需求强劲,“物理定律”限制英伟达芯片增长诺基亚与微软再合作,为Azure数据中心供货延长五年国家数据局:到2029年基本建成国家数据基础设施主体结构中国已发展成为全球最大的互联网市场,拥有全球最多的网民和移动互联网用户中国铁塔:计划按照10:1的比例合股美国FCC正式划定5.9GHz频段用于C-V2X技术在AI领域奋起直追!苹果要对Siri大革新 2026年正式发布日本机构公布量子专利榜单:本源量子、国盾量子位居全球第1中国联通:拟向华为、中兴展开5G网络设备竞争性谈判采购
  • 首页 > 网络安全频道 > 攻击防御

    ISC 2020 ATT&CK安全能力衡量论坛:基于网络空间安全攻防全景知识库框架升级防御方案

    2020年08月14日 16:10:37   来源:中文科技资讯

      ATT&CK作为近几年最火的攻防框架,对于安全行业实际检测的指导性价值日益凸显。8月13日,第八届互联网安全大会(ISC 2020)的技术日正式启动,备受专业人士瞩目的ATT&CK安全能力衡量分论坛如期而至。ATT&CK覆盖的攻防技术非常庞杂和具体,大概有300项技术点,如何体系化了解其中的攻击方案,并基于网络空间安全攻防全景知识库框架,相应提出其防御方案是亟需当下网络安全行业重点解决的问题,这场论坛恰好为这些问题提供了答案。

      出席本场论坛的嘉宾有来自青藤云安全COO程度、360政企安全能力评估中心负责人林聚伟、安天科技集团安全研究员侯方勇、360灵腾安全实验室成员戴志斌,他们围绕“ATT&CK高频攻击技术的分析与检测” “基于ATT&CK的安全能力评估与改进实践”“威胁框架的端点安全实践” “全补丁环境下的域内攻防对抗”等议题展开技术探讨与激烈的思维碰撞。

      在网络安全领域,随着攻击工具、方法的逐渐升级和复杂化,安全数据的大规模融合,攻防对抗愈加激烈。安全团队正在从浩瀚数据中发现高级威胁的蛛丝马迹,把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力。

      (青藤云安全COO程度)

      青藤云安全COO程度在演讲中系统介绍了ATT&CK高频攻击技术TOP5、以CARET为代表的攻击检测技术方法论等干货。同时,结合自身研究和实践经验,总结了ATT&CK框架中最高频和最具代表性五大攻击技术(Valid Account、Powershell、Masquerading、Credential Dumping、Scheduled Task),通过对攻击技术概念、攻击技术复现和检测分析三个维度的讲解,使大家全面了解针对ATT&CK攻击研究的三大常规步骤。

      以Valid Account 攻击介绍为例,程度指出攻击者会使⽤利⽤漏洞获取凭证访问的权限技术来窃取⼀个特定⽤户或服务账户的⽤户名密码或凭证,或者是通过社会⼯程学侦查获得特定⽤户或服务账户的⽤户名密码或证书,从⽽获得初始访问的权限。攻击者可能使⽤的账户分为三类:默认账户、本地账户和域账户。他基于一个Valid Account攻击过程复现,向大家展示了如何针对此类攻击,收集“异常登录”、“账号变更”等数据源,追踪异常黑客的异常活动,检测潜在威胁。

      程度总结,要实现ATT&CK高频攻击技术的检测,需要利用一些平台工具方可实现。首先,需要能够收集到高质量的数据;其次,还需要能够解决异构数据源头的连接问题。最后,还需要一个强大分析引擎,能够支持复杂的分析算法,此外还需要一个灵活的分析员。

      (360政企安全能力评估中心负责人林聚伟)

      360政企安全能力评估中心负责人林聚伟基于ATT&CK的安全能力评估与改进实践展开演讲,林聚伟表示,安全运营面临一些挑战,例如当前安全防御体系有效性如何;如何确定安全投资建设的优先级;能否将攻防演练的实战经验用以持续提升安全防御系统,在“战时”运维人力和厂商安全服务回归“平时”后依然能有效应对“常态化”攻击。这些挑战,本质是无法衡量。那么,究竟有没有办法衡量防御体系应对攻击的有效性?实践是检验真理的唯一标准,相信大家的第一个想法就是攻防演练。确实,不少企业也组织了红蓝对抗,但这样的对抗是否全面?是否覆盖了当前流行的攻击行为?对于未覆盖的点是否有记录并持续推动纵深防御体系改进?相信能做到的很少,其根源是缺乏框架和标准。MITRE ATT&CK 模型和知识库解决了这个问题。

      基于ATT&CK框架和知识库设计符合自身需求的防御场景,可以有效评估安全防御体系,入侵者模拟正是基于这样的思路而设计的,可以模拟各种安全场景,以此衡量这些安全挑战应对的状态。入侵者模拟提供自动化模拟攻击与安全设备评估,模拟攻击使用自研无损的payload。这些模拟攻击既基于ATT&CK自上而下进行安全设备评估,也基于应急响应自下而上进行安全设备评估。

      (安天科技集团安全研究员侯方勇)

      端点是网络攻防战中的主战场。安天科技集团安全研究员侯方勇着重讲解了威胁框架的端点安全核心能力,侯方勇表示,以 MITRE ATT&CK 为代表的威胁框架是迄今最有实用性、最具实战价值的高级威胁分析手段。

      据侯方勇介绍,端点防护作为防御的最后一道防线,应具有以下能力:第一,应具有合理的架构安全体系,增强安全运维能力,以减少被攻击面;第二,具有足够纵深的主动防御能力,才能够在多个环节逐步抵消威胁;第三,具有全面的信息采集与分析能力,以便发现常规防御手段无法发现的威胁。

      侯方勇认为,威胁框架使我们对端点主动防御和数据采集的能力指标有了更清晰认知和衡量标准,我们应以威胁框架为科学指引,在实践中不断积累经验、提高认知、优化产品,打赢端点主战场的网络攻防战。

      (360灵腾安全实验室成员戴志斌)

      随着对抗的升级,域安全在红蓝对抗中越来越重要。360灵腾安全实验室成员戴志斌表示,域控网络权限广,网络凭据多,能够集权管理机器,在攻击眼里即便不是靶标也是关键节点。此外,域控不可或缺,作为信息化设备的统一管理认证,是多数企业的必备基础架构。

      针对域内的渗透测试,很多人还停留在打历史漏洞的阶段,相应的安全防护还停留在打补丁上。那么全补丁环境下的域是否绝对安全?戴志斌通过从信息收集、横向移动、权限提升三个安全维度,针对在全补丁环境下域内的攻击方式进行讲解并相应提出其防御方案。

      正如医疗行业中治疗疑难杂症依赖医疗专家,网络空间高级威胁的防护和处置也依赖安全专家的经验与知识。或许这也正是本场ATT&CK安全能力衡量论坛的意义所在,这些经验丰富的网络安全从业者们将最前沿、最先进的知识与理念与大家分享,并试图将对抗高级威胁的技巧逐步升级为权威的科学指南。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    [No. S042]
    分享到微信

    即时

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。

    研究

    中国信通院罗松:深度解读《工业互联网标识解析体系

    9月14日,2024全球工业互联网大会——工业互联网标识解析专题论坛在沈阳成功举办。