信息來源:比特網(wǎng)
近日,由安天實(shí)驗(yàn)室主辦的“朔雪飛揚(yáng)”第三屆網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)再次在冰城哈爾濱拉開帷幕。在這場(chǎng)以“情報(bào)的支撐 塔防的實(shí)踐”為主要議題方向的盛會(huì)中,從網(wǎng)絡(luò)安全的布局布控、對(duì)抗策略,到各個(gè)領(lǐng)域的最新安全技術(shù)分享,參會(huì)者在為期三天的培訓(xùn)中感受了一次網(wǎng)絡(luò)安全的饕餮盛宴。
我們究竟面臨怎樣的網(wǎng)絡(luò)空間威脅?
冬訓(xùn)營(yíng)首日,主辦方安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光首先指出:在錯(cuò)綜復(fù)雜的國(guó)際關(guān)系中,傳統(tǒng)大國(guó)間的博弈與地緣安全態(tài)勢(shì)的發(fā)展已投射到網(wǎng)絡(luò)空間的安全威脅與態(tài)勢(shì)之中。面對(duì)如此之高的網(wǎng)絡(luò)地緣風(fēng)險(xiǎn),以及來自多方面網(wǎng)絡(luò)空間的威脅,不管是傳統(tǒng)情報(bào)作業(yè)的延展,還是信息站的前奏準(zhǔn)備,這一切都已與傳統(tǒng)的博弈策略和手段融為一體。
而網(wǎng)絡(luò)空間威脅的演進(jìn),也在隨著互聯(lián)網(wǎng)+向傳統(tǒng)領(lǐng)域延伸,網(wǎng)絡(luò)攻擊也隨著智能終端設(shè)備的增多而走向新的新興領(lǐng)域。如今的安全威脅,正朝著縱深和泛化兩個(gè)方向發(fā)展。
在實(shí)際情況中,我們所面臨的攻擊也從網(wǎng)絡(luò)空間到實(shí)體空間無處不在:各種文檔、各種外設(shè)設(shè)備都可以被用于進(jìn)行攻擊,連可信計(jì)算本身也同樣會(huì)遭受攻擊。網(wǎng)絡(luò)安全已并非單點(diǎn)的防御所能夠解決問題,僅僅強(qiáng)調(diào)“自主”也不能完全保證“可控”。
在此背景之下,高級(jí)持續(xù)性威脅(APT)則又為我們開啟了新的威脅時(shí)代。這一威脅攻擊多以國(guó)家和政治經(jīng)濟(jì)集團(tuán)為背景發(fā)動(dòng),可以說,全世界主要國(guó)家均處在無處不在的APT 攻擊之中。
而我國(guó)的情況則更為嚴(yán)峻,我們對(duì)于網(wǎng)絡(luò)攻擊威脅的認(rèn)知乃是自斯諾登事件爆出后才意識(shí)到,而在實(shí)際的對(duì)于網(wǎng)絡(luò)安全的認(rèn)知中,我們同樣存在一系列盲點(diǎn),這其中包括:過多強(qiáng)調(diào)以隔離換取安全,忽略信息有效鏈接和整合是重要的安全手段;過多強(qiáng)調(diào)信息技術(shù)的自我短板, 不積極在安全環(huán)節(jié)上有效布防;過度強(qiáng)調(diào)主要對(duì)手的基礎(chǔ)優(yōu)勢(shì),缺乏對(duì)手攻擊作業(yè)方式和作業(yè)路徑的系統(tǒng)研判;過度看重網(wǎng)站安全,針對(duì)重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)被入侵、信息被竊取的問題 投入甚少。對(duì)此肖新光認(rèn)為:“對(duì)于互聯(lián)網(wǎng)+ ,我們需要關(guān)注網(wǎng)絡(luò)攻擊帶來的縱深挑戰(zhàn),需要關(guān)注對(duì)手的實(shí)際能力?!?
不僅如此,而隨著APT攻擊的演進(jìn),被肖新光稱之為“神一樣對(duì)手”的A2PT攻擊正逐漸呈現(xiàn)在我們眼前。A2PT攻擊有充足的0day儲(chǔ)備、高度模塊化、經(jīng)過了高級(jí)的加密和偽裝、甚至可以通過人工植入和物流鏈劫持,具備持久化、模塊化等特點(diǎn)。
除此之外,一些標(biāo)準(zhǔn)化的具有強(qiáng)大能力的商業(yè)化攻擊平臺(tái)開始不斷涌現(xiàn),這些攻擊平臺(tái)使用商業(yè)漏洞、商業(yè)木馬、采用攻擊平臺(tái)進(jìn)行投放,具備持續(xù)攻擊能力,課覆蓋主要操作系統(tǒng)。而這一攻擊力強(qiáng)大的平臺(tái)已被稱之為“商業(yè)軍火”。
應(yīng)對(duì):“情報(bào)的支撐”、“塔防的實(shí)踐
面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅形勢(shì),肖新光指出:APT攻擊是一種社會(huì)行為 , APT攻擊 的防御不可能由任何單點(diǎn)的產(chǎn)品來完成,必須要有縱深防御的整個(gè)體系,而防御APT 攻擊的核心思路就在于切斷作業(yè)鏈。
同時(shí),肖新光也強(qiáng)調(diào):傳統(tǒng)的安全產(chǎn)品和防御環(huán)節(jié)仍舊有其價(jià)值,而新的布防點(diǎn)也需要建立起來??偠灾?,防御能力的提升將來自于安全思路轉(zhuǎn)換、以及安全觀的變革。即:從方法 上,需要從合規(guī)向能力型安全防御轉(zhuǎn)化;從戰(zhàn)略設(shè)計(jì)方面,要以治理為主導(dǎo)轉(zhuǎn)向國(guó)內(nèi)治理國(guó)際博弈雙重的方向;從視野上,則要以邊界為主導(dǎo)的安全觀轉(zhuǎn)化為點(diǎn)點(diǎn)皆邊界的國(guó)土安全觀。
而正如本次訓(xùn)練營(yíng)的主題一樣,“情報(bào)的支撐”、“塔防的實(shí)踐”,這些都是應(yīng)對(duì)當(dāng)前威脅的重要手段和環(huán)節(jié)。
北京微步在線科技有限公司CEO薛峰首先明確了威脅情報(bào)的概念,即:“威脅情報(bào)≠社工庫 黑產(chǎn) 諜報(bào)”。他強(qiáng)調(diào):做威脅情報(bào)的基礎(chǔ)能力是數(shù)據(jù)和分析。而數(shù)據(jù)的收集則需要包括商業(yè)情報(bào)、開源情報(bào)、 基礎(chǔ)數(shù)據(jù)、眾包情報(bào)等等;以及來自外部的DNS日志、DHCP日志 防火墻日志、各種日志等等。
那么,對(duì)于威脅情報(bào)而的收集而言,是不是數(shù)據(jù)越大就越好?對(duì)此薛峰表示:首先而言數(shù)據(jù)越大對(duì)威脅情報(bào)而言是有益處的,但并非只要數(shù)據(jù)越大就越好。這其中還關(guān)系到數(shù)據(jù)的質(zhì)量、多樣性、有效性、時(shí)效性以及時(shí)間的維度等等。
數(shù)據(jù)分析是重要的部分,薛峰特別強(qiáng)調(diào):一個(gè)安全響應(yīng)團(tuán)隊(duì)最重要的關(guān)鍵是分析師團(tuán)隊(duì)和能力是否強(qiáng)大。而威脅情報(bào)的落地則需要更多的考量威脅情報(bào)如何與現(xiàn)在的安全產(chǎn)品做結(jié)合。
薛峰表示:2016年將是威脅情報(bào)的元年,許多方案與產(chǎn)品將落地,屆時(shí)我們將能看到于威脅情報(bào)相關(guān)的具體應(yīng)用出現(xiàn)。對(duì)于這一點(diǎn),我們也將充滿期待。
另一方面,在傳統(tǒng)的安全防御模式下,面對(duì)逐漸成體系化的攻擊趨勢(shì),攻擊階段越來越多,甚至出現(xiàn)了“專業(yè)外包”攻擊任務(wù)的現(xiàn)象,復(fù)雜的進(jìn)攻已讓傳統(tǒng)的安全邊界或網(wǎng)絡(luò)隔離策略難以湊效。由此,前中油瑞飛技術(shù)總監(jiān)黃晟提出,要拋棄“一招制敵”的幻想,利用塔防游戲中防守者的先發(fā)優(yōu)勢(shì),不知好層層防線,綜合利用多樣化手段,讓攻擊者在防守者布局的環(huán)境中掙扎,以“塔防”模式依托縱深防御對(duì)抗攻擊者的思路。
黃晟強(qiáng)調(diào):“塔防”模式是一種基于失效的防御機(jī)制,即縱深的目的就是要考慮每一道防線都有可能被繞過,而我們的防線要有疊加效果,從而可以將前面防御不掉的在后面的防線中防御到。
此外,本次冬訓(xùn)營(yíng)各講師還就社會(huì)工程學(xué)攻擊、惡意代碼、移動(dòng)安全、等熱點(diǎn)話題進(jìn)行了充分的分享。
編后:
在經(jīng)歷前兩期分別以凜冬降至” 、“北風(fēng)乍起”命名的網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)后,本期網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)以“朔雪飛揚(yáng)”為題命名,似乎也彰顯出當(dāng)下網(wǎng)絡(luò)安全的發(fā)展已進(jìn)入一個(gè)新的階段。
與以往安全圈往往偏重于技術(shù)討論的各類研討、培訓(xùn)活動(dòng)有所差異的是,在本次網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)中,有關(guān)信息安全戰(zhàn)略、戰(zhàn)術(shù)方面的內(nèi)容同樣成為重頭戲。而這一點(diǎn)在近來安全圈的一系列活動(dòng)中也已突顯端倪。這說明,在國(guó)際網(wǎng)絡(luò)空間安全威脅形勢(shì)不斷演進(jìn)的當(dāng)下,我們對(duì)于信息安全的認(rèn)知正在全面拓展,在網(wǎng)絡(luò)空間這一看不見硝煙的戰(zhàn)場(chǎng)上,戰(zhàn)略戰(zhàn)術(shù)與好的技術(shù)支撐作為能否讓我們?cè)趹?zhàn)爭(zhēng)中運(yùn)籌帷幄的關(guān)鍵,二者所占據(jù)的重要地位正在越來越多的被意識(shí)到和認(rèn)同。
由此我們可以試想,在未來我們新的探索中,網(wǎng)絡(luò)安全或許將迎來理論與技術(shù)齊頭并進(jìn)、共同發(fā)展的局面。網(wǎng)絡(luò)安全威脅嚴(yán)峻的態(tài)勢(shì)之風(fēng)已呼嘯而至,對(duì)信息安全從業(yè)者而言,接下來要做的,便是朔雪飛揚(yáng),迎接挑戰(zhàn)。