【51CTO.com原创稿件】1月,是哈尔滨每年最寒冷的月份,也是安天网络安全冬训营与安全圈内众人践约相见的日子。2017年1月6日至7日,第四届网络安全冬训营在哈尔滨召开。此前三届冬训营分别以“凛冬将至”、“北风乍起”、“朔雪飞扬”为营语,本届冬训营延续了之前三届的特色命名方式,以“冰峰屹立”作为营语,围绕“有效防护,价值输出”的主题展开。
在这两天冬训营会场,安天与来自全国的专家、用户、网络安全从业者、一线工程师们一起探讨了安全检测、分析、防御技术以及大数据和威胁情报资源如何转化为真正有效的用户侧能力,如何更好地驱动全网威胁追溯、有效止损和绕前防御。研讨针对面向资产价值防护的威胁解决方案、端点防御的新技术工程实现、探索沙箱向威胁情报的可靠输出、介绍流量分析视角的安全服务模式等。来自部队、军工、能源、交通、金融、运营商等领域的专家、用户近500人参加了本届冬训营。
重回出发之地
在开放式技术报告中,安天创始人、首席技术架构师肖新光发表了题为《重回出发之地——高级威胁对抗的若干思考》的主题报告。
他在现场分析了高级威胁的现状与起源以及与信息化演进发展间的关系,关键信息基础设施防护所面对的挑战。他表示,“最终我们的防御能力要由攻击者和窥视者来检验。”
肖新光还以反病毒、沙箱和白名单三个技术点的起源、发展和价值解读了如何达成真正有效的安全能力。“安天在后续发展中,将以可靠的检测、分析能力为基础,深度赋能客户,协助客户建立难以被攻击者预测的差异化能力和专有化的安全经验。”他进一步解读到,安天人所说的“智者.安天下”中的智者,不是指安天人自己,安天只是扮演能力输出和服务的角色,安天的客户才是直面威胁,创造价值的真正智者。
九九归一 共商安全
在冬训营的第二天,来自安天各主线研发部门的技术负责人,针对检测、分析、防御技术,以及如何将安天的基础能力转化为有效地用户侧能力,如何协助用户解决实际的安全问题等议题展开演讲,分享了自己的心得体会。
1、安天反病毒引擎研发中心《安天“下一代威胁检测引擎”》
安天下一代威胁检测引擎,不是简单的把检测引擎作为判定器,而是进一步强化引擎的全对象识别和向量输出能力,辅以配套的后台知识和信誉积累,并将其转化为用户场景中可输出能力。通过大量向量提取输出和信誉标注,提升关联分析环节、支撑上层态势感知系统和工程师团队能力以及态势感知与综合决策能力。
2、安天移动安全公司《移动威胁对抗升级——人与机器思辨》
▲经典工程化体系中的关键杠杆点
报告分享了安天过去5年里移动引擎研发和工程化体系建设中的经验,对移动威胁对抗的本质和核心价值观进行了“术”和“道”层面的解读。随后从对抗中的人和机器,以及人和机器之间的各种关系的视角,对安全对抗背后的故事进行了思考和分享。
3、安天端点安全研发部《面向新兴威胁的终端防护技术》
▲安天智甲终端防御系统的特点
安天智甲终端防御系统是专为企业、*、机构等业务网络研发的终端威胁安全防护产品。它集成了安天自主先进AVL反病毒引擎;除了具备企业反病毒产品的标准功能外,还可以针对高级威胁(APT)进行全网威胁追溯和定点查杀;针对勒索者病毒等新兴威胁提供了面向终端的纵深防御能力;面向ATM和工控上位机等专用终端,智甲支持基于多种安全基线的白名单防御模式。同时智甲能够对Windows、Linux和国产系统提供有效防御并进行统一管理。
4、网络安全监测产品研发部《关键威胁的持续追踪与网络监测》
安天探海威胁检测系统在全流量元数据记录的基础上,利用安天下一代威胁检测引擎向量提取的能力,通过多标签联合筛选。探海辅助用户在海量数据中找到关键威胁,构建客户自有场景下的威胁持续追踪分析能力。通过标签聚合,可以实现对海量数据的降维;借助含有指示的标签,用户可以筛选构建自己关注的场景,减少在发现关键威胁信息过程中耗费的时间;配合安天引擎向量提取的能力,更可以建立独有场景下的专用规则。
5、安天追影团队《基于沙箱的威胁情报输出》
安天本地化沙箱可以对样本进行分析获得样本黑白信息,这些信息包括样本的核心目的、样本属于哪种黑客攻击武器。利用这些威胁情报可以第一时间对企业自身进行漏洞文档防护与网络监控终端取证。监管机构可以分析样本获取僵木蠕的C&C,进行DDOS监控预警,对攻击者进行关联追溯等。
6、安全研究与应急处理中心《方程式组织SPARC架构样本的分析调试》
安天CERT回顾了分析方程式组织多平台能力载荷样本的经验,并介绍了SPARC架构的特点、静态逆向分析方法,同时也提出静态分析的一些问题和难点。此外,详细介绍了方程式组织SPARC架构的样本,解密了内置加秘密钥、C2域名和硬编码IP地址,分析了远程攻击指令的分支和通信协议格式,完整还原了攻击的过程,为有效防御对抗提供了检测基础。
7、安天安全研究与应急处理中心《APT样本关联与溯源方法》
▲判断同源性的方法——从四方面进行分析对比
APT事件关联分析和追踪溯源是事件分析中的重要环节,通过关联和追溯,可以在网络空间中实现攻击源定位和攻击时序重构,以有效应对网络攻击,实施针对性的防御和反制,它对于最小化网络攻击的效果,威慑潜在的网络攻击都有着至关重要的作用。
8、安天微电子与嵌入式安全研发中心《SRAM型FPGA的信息安全风险浅析》
报告主要针对SRAM型FPGA的信息安全风险进行了分析,还展示了研究小组对相关问题的初步思考和实验探索。简述FPGA的技术特点和开发流程,分析目前FPGA封闭硬件架构和闭源工具链等潜在安全隐患,并以简单实例演示信息泄露威胁。
9、安天数据技术研发中心《安天可视化的成长历程和自我批判》
安天可视化团队自2012年组建以来,经历了四个重要时期:以提高人们对安全认知为主要目的的安全认知时期;以将安全化无形为有形的具象安全时期;以可视化为工具改善(同源性、关联性)安全分析工作的作用为目的的时期;以保障用户安全和资产价值为目的的用户安全时期。
报告对缺少操作性和可交互性的“地图炮”做了深入的反思和批判。安全可视化不应该停留在宏观上的、实时的和追求酷炫的展示手段,安全可视化要形成价值,必须能从宏观而及微观,是可操作的和可以实现有效的价值输出的。
安全需要产业共同发声
在这次冬训营发声的可不仅仅只有安天内部的技术牛人,安天还邀请了安全圈的同行们做嘉宾进行主题发言。北京数字观星科技有限公司创始人郭亮讲述《DT时代的企业安全观》;北京炼石网络技术有限公司CEO白小勇带来《CipherGateway产品安全实践与塔防模式探索》报告,对纵深防御的塔防模型做了进一步的探索和解读。
在冬训营首日现场,安天还发布了《安天2016年网络威胁年报(征集意见稿)》(下称《威胁年报》)。《威胁年报》总结和回顾了2016年网络安全威胁,展示了安天态势感知和深度分析视角下的高级威胁、信息泄露和黑产大数据、供应链安全、IoT安全等年度热点分析构成。与会专家对安天年报内容进行研讨,提出修订意见,记者了解到,最终版的《威胁年报》将在春节前发布。
回归有效客户价值
▲Panel Discussion嘉宾:(从左到右)原国防大学研究员徐纬地,数字观星创始人郭亮,炼石网络CEO白小勇,安天创始人、首席技术架构师肖新光,前中油瑞飞信息安全高级技术总监、塔防模型的提出者黄晟,360企业安全集团总裁吴云坤。
作为本届冬训营最后一个环节,参与小组讨论的嘉宾都来自国内能力型安全厂商和新锐创业公司的负责人,主持人由资深战略学者徐纬地教授担任,他们对于冬训营提出了期待,对中国网络安全面对的最重要的问题、企业在加强中国网络安全联合中发挥的作用、企业的近期目标等问题进行了探讨。
安天创始人、首席技术架构师肖新光最后对本届冬训营做了总结,他表示,“今年安天冬训营的主要导向是要回归有效客户价值这个本质”,“安天举办冬训营的出发点是希望大家能在哈尔滨严冬的环境中,感受到网络安全所面临的压力与挑战”,“在历史机遇出现的时候,我们要能建立起自己的目标”,共同携手,铸就“冰峰屹立”。
作者:周雪
来源:51CTO