10月22日,为期两天的2020 网络安全分析与情报大会(以下简称 CTIC)圆满落幕。CTIC 是中国威胁情报行业规模最大的国际性行业盛会,由北京微步在线科技有限公司主办。微步在线是中国威胁情报行业的先行者和领军者,也是唯一连续3次入选全球权威技术研究机构Gartner发布的《全球威胁情报市场指南》的中国公司。
自2017年起,CTIC已成功举办四届。今年为积极响应疫情防控,大会以线上直播的方式举行。本届大会以“共生、共享、共进”为主题,邀请来自微软、光大银行、滴滴、Zendesk、京东、雾帜智能、微步在线等机构和企业的十余位专家同台分享,探讨情报驱动的威胁检测与响应,以及情报赋能的智能化安全建设,畅谈由此延伸出的实践案例与行业展望。
微软全球威胁情报中心总经理John Lambert表示安全人员可以基于社区为信息安全领域赋能,以公开的标准模型来加快信息安全建设的学习,即信息安全的“GitHub化”。一个强大的社区,结构清晰的知识体系,可落地执行的专有技术,以及可重复使用的分析方法,能够提高学习网络安全的速度。当一个全新的攻击技巧被公布出来时,安全人员可以通过在Githubification 框架下分别做出力所能及的贡献,迅速展开防御。如果所有组织机构都能贡献自己特有的专业技能,并且通过借鉴其他企业的经验进一步武装自己,原先单打独斗的信息安全人员就可以通过网络效应形成合力,共同打击入侵者。
光大银行信息科技部安全处处长牟健君表示,现在安全形势日益复杂,对于企业安全运维来说,攻防不对等、困难重重,所有的企业现在都在致力于建设一个偏动态的、主动的安全防御体系。被动防御和主动防御主要的差别就在于安全狩猎和威胁情报。威胁情报和态势感知平台结合,可以多维度对攻击者的身份进行画像,综合研判我们的受威胁程度,来决定是否自动化或者人工来进行处置工作。牟健君希望行业间可以实现情报共享,更大地发挥情报的价值。
滴滴安全运营负责人秦波认为,情报是我们跟外部能力相互打通的一个重要的桥梁。在攻击发生之前,通过情报来发现我们目前整个在互联网暴露的资产面的不同形态下的一些脆弱性,并且做到快速的摸查、修复、加固;在攻击正在发生的过程当中,情报作为一个重要的检测手段,可以帮我们确凿地去发现每一个攻击的真实性,在整个过程中做到真实、有效和快速。
微步在线技术合伙人赵林林介绍了将会取代IDS的新一代流量检测技术NDR(Network Detection and Response,网络的检测和响应)。与IDS相比,在威胁检测方面,NDR检测的有效性更好,覆盖内容更多、范围更广,复杂度更多面。在威胁响应方面,NDR非常重视响应,并且把响应提升和检测一样的高度。这是IDS和NDR最大的区别。
国际安全响应联盟(FIRST)前主席、现任 Zendesk CISO Maarten Van Horenbeeck 表示威胁情报与网络安全事件响应二者之间具有紧密的联系。网络安全事件响应分为检测事件、对其进行诊断、分析并最终做出响应。在事件响应周期的每一步,都有使用威胁情报的方法。我们还可以与合作伙伴或受害者分享我们从响应周期中获得的信息,我们要设法实现自动化共享,确保我们共享的数据对其他组织发挥最大效用。
微步在线研究响应团队负责人樊兴华表示,企业经常会面临数据泄露风险、漏洞攻击活动,还有一些资产方面的风险,外部威胁已不容忽视,企业应建立外部威胁监控系统。微步在线外部威胁监控产品基于微步在线多年的基础数据和情报数据的积累,帮助企业梳理域名、IP以及端口服务等网络资产,发现潜在的安全风险和弱点。进一步帮助企业梳理目前已经泄露在Github、Gitee等代码托管平台的敏感信息以及网盘、暗网、黑客论坛、社交应用等渠道的数据泄露事件。目前该产品已经在服务金融、互联网、政府等行业客户,有效帮助了相关政企客户发现潜在外部风险和威胁。
知名安全自媒体“安全小飞侠”作者王任飞介绍了当前云上威胁主要面临的两大场景:云上租户问题和云平台自身问题。随后从方法论、量化度量及实践思路三个层面分享了如何进行云上攻防实践。王任飞表示,随着越来越多的企业上云,云上的威胁必定会成为未来攻击的主要趋势,且攻击会越来越复杂。安全人员要多从攻击者视角去谈防御重点,这样能够帮防守方确定投入ROI,也能够确定未来工作的重点。
京东信息安全部架构师胡兆丰说威胁情报对网络安全起到至关重要的作用。安全运营体系就是发现、止损、溯源、情报分析和监控,每一部分都会有情报的作用。通过情报分析才能驱动我们的防御体系,而且保证一个持续提升的过程。
雾帜智能CTO傅奎站在中小企业的角度介绍了如何轻松地、更加贴近实战地去使用情报,来帮助企业加速安全事件的响应,提升企业整体安全能力防护水平。傅奎说,精准的情报加上自动化响应,能够在帮助我们超越攻击的速度和规模这条道路上走得更快、更远。
当前,全球经济正在进行数字化转型,物联网、云计算、大数据、5G、人工智能等新技术的应用也为企业和机构带来了巨大机遇,但与此同时,网络安全环境日益复杂多样化,网络风险也与日俱成为现实威胁。随着“网络安全法”、“等保2.0”、“关基”等的颁布实施,企业更加重视网络安全合规、数据保护和业务安全,网络安全防护正在从被动防御向威胁的主动检测与响应演进,威胁情报已经成为企业和机构网络安全防护的不可或缺的力量。2020年8月28日,威胁情报生产技术更是被列入到商务部、科技部发布的《中国禁止出口限制出口技术目录》。
微步在线创始人、CEO薛锋说,在过去五年内,威胁情报从阳春白雪的新技术,到等保合规的要求,甚至被列入国家出口限制的关键技术的名单,整个威胁情报行业取得巨大的进展和进步。威胁情报可以应用于很多产品和场景,不管是在态势感知和日志型的方案里,还是在网络流量检测中(NDR),包括在终端的检测中(EDR),威胁情报都发挥了决定性的作用,威胁情报是威胁检测技术里面的灵魂。薛锋还表示,情报检测具有网络效应,情报网络会随着更多用户的加入和分享而不断壮大,进而真正起到联防的作用。
本届大会上,来自金融、互联网、人工智能、安全等领域的国内多位外安全专家表示,威胁情报已成功运用到安全运营的多个环节,加速了安全事件的发现和响应。同时,情报共享也正成为企业和机构安全运营的迫切需求。