【51CTO.com原創(chuàng)稿件】1月，是哈爾濱每年最寒冷的月份，也是安天網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)與安全圈內(nèi)眾人踐約相見(jiàn)的日子。2017年1月6日至7日，第四屆網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)在哈爾濱召開(kāi)。此前三屆冬訓(xùn)營(yíng)分別以“凜冬將至”、“北風(fēng)乍起”、“朔雪飛揚(yáng)”為營(yíng)語(yǔ)，本屆冬訓(xùn)營(yíng)延續(xù)了之前三屆的特色命名方式，以“冰峰屹立”作為營(yíng)語(yǔ)，圍繞“有效防護(hù)，價(jià)值輸出”的主題展開(kāi)。

[[181328]]

　　在這兩天冬訓(xùn)營(yíng)會(huì)場(chǎng)，安天與來(lái)自全國(guó)的專(zhuān)家、用戶、網(wǎng)絡(luò)安全從業(yè)者、一線工程師們一起探討了安全檢測(cè)、分析、防御技術(shù)以及大數(shù)據(jù)和威脅情報(bào)資源如何轉(zhuǎn)化為真正有效的用戶側(cè)能力，如何更好地驅(qū)動(dòng)全網(wǎng)威脅追溯、有效止損和繞前防御。研討針對(duì)面向資產(chǎn)價(jià)值防護(hù)的威脅解決方案、端點(diǎn)防御的新技術(shù)工程實(shí)現(xiàn)、探索沙箱向威脅情報(bào)的可靠輸出、介紹流量分析視角的安全服務(wù)模式等。來(lái)自部隊(duì)、軍工、能源、交通、金融、運(yùn)營(yíng)商等領(lǐng)域的專(zhuān)家、用戶近500人參加了本屆冬訓(xùn)營(yíng)。

　　重回出發(fā)之地

　　在開(kāi)放式技術(shù)報(bào)告中，安天創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光發(fā)表了題為《重回出發(fā)之地——高級(jí)威脅對(duì)抗的若干思考》的主題報(bào)告。

[[181329]]

　　他在現(xiàn)場(chǎng)分析了高級(jí)威脅的現(xiàn)狀與起源以及與信息化演進(jìn)發(fā)展間的關(guān)系，關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)所面對(duì)的挑戰(zhàn)。他表示，“最終我們的防御能力要由攻擊者和窺視者來(lái)檢驗(yàn)。”

　　肖新光還以反病毒、沙箱和白名單三個(gè)技術(shù)點(diǎn)的起源、發(fā)展和價(jià)值解讀了如何達(dá)成真正有效的安全能力。“安天在后續(xù)發(fā)展中，將以可靠的檢測(cè)、分析能力為基礎(chǔ)，深度賦能客戶，協(xié)助客戶建立難以被攻擊者預(yù)測(cè)的差異化能力和專(zhuān)有化的安全經(jīng)驗(yàn)。”他進(jìn)一步解讀到，安天人所說(shuō)的“智者.安天下”中的智者，不是指安天人自己，安天只是扮演能力輸出和服務(wù)的角色，安天的客戶才是直面威脅，創(chuàng)造價(jià)值的真正智者。

　　九九歸一 共商安全

　　在冬訓(xùn)營(yíng)的第二天，來(lái)自安天各主線研發(fā)部門(mén)的技術(shù)負(fù)責(zé)人，針對(duì)檢測(cè)、分析、防御技術(shù)，以及如何將安天的基礎(chǔ)能力轉(zhuǎn)化為有效地用戶側(cè)能力，如何協(xié)助用戶解決實(shí)際的安全問(wèn)題等議題展開(kāi)演講，分享了自己的心得體會(huì)。

　　1、安天反病毒引擎研發(fā)中心《安天“下一代威脅檢測(cè)引擎”》

　　安天下一代威脅檢測(cè)引擎，不是簡(jiǎn)單的把檢測(cè)引擎作為判定器，而是進(jìn)一步強(qiáng)化引擎的全對(duì)象識(shí)別和向量輸出能力，輔以配套的后臺(tái)知識(shí)和信譽(yù)積累，并將其轉(zhuǎn)化為用戶場(chǎng)景中可輸出能力。通過(guò)大量向量提取輸出和信譽(yù)標(biāo)注，提升關(guān)聯(lián)分析環(huán)節(jié)、支撐上層態(tài)勢(shì)感知系統(tǒng)和工程師團(tuán)隊(duì)能力以及態(tài)勢(shì)感知與綜合決策能力。

　　2、安天移動(dòng)安全公司《移動(dòng)威脅對(duì)抗升級(jí)——人與機(jī)器思辨》

▲經(jīng)典工程化體系中的關(guān)鍵杠桿點(diǎn)

　　報(bào)告分享了安天過(guò)去5年里移動(dòng)引擎研發(fā)和工程化體系建設(shè)中的經(jīng)驗(yàn)，對(duì)移動(dòng)威脅對(duì)抗的本質(zhì)和核心價(jià)值觀進(jìn)行了“術(shù)”和“道”層面的解讀。隨后從對(duì)抗中的人和機(jī)器，以及人和機(jī)器之間的各種關(guān)系的視角，對(duì)安全對(duì)抗背后的故事進(jìn)行了思考和分享。

　　3、安天端點(diǎn)安全研發(fā)部《面向新興威脅的終端防護(hù)技術(shù)》

▲安天智甲終端防御系統(tǒng)的特點(diǎn)

　　安天智甲終端防御系統(tǒng)是專(zhuān)為企業(yè)、政府、機(jī)構(gòu)等業(yè)務(wù)網(wǎng)絡(luò)研發(fā)的終端威脅安全防護(hù)產(chǎn)品。它集成了安天自主先進(jìn)AVL反病毒引擎;除了具備企業(yè)反病毒產(chǎn)品的標(biāo)準(zhǔn)功能外，還可以針對(duì)高級(jí)威脅(APT)進(jìn)行全網(wǎng)威脅追溯和定點(diǎn)查殺;針對(duì)勒索者病毒等新興威脅提供了面向終端的縱深防御能力;面向ATM和工控上位機(jī)等專(zhuān)用終端，智甲支持基于多種安全基線的白名單防御模式。同時(shí)智甲能夠?qū)indows、Linux和國(guó)產(chǎn)系統(tǒng)提供有效防御并進(jìn)行統(tǒng)一管理。

　　4、網(wǎng)絡(luò)安全監(jiān)測(cè)產(chǎn)品研發(fā)部《關(guān)鍵威脅的持續(xù)追蹤與網(wǎng)絡(luò)監(jiān)測(cè)》

　　安天探海威脅檢測(cè)系統(tǒng)在全流量元數(shù)據(jù)記錄的基礎(chǔ)上，利用安天下一代威脅檢測(cè)引擎向量提取的能力，通過(guò)多標(biāo)簽聯(lián)合篩選。探海輔助用戶在海量數(shù)據(jù)中找到關(guān)鍵威脅，構(gòu)建客戶自有場(chǎng)景下的威脅持續(xù)追蹤分析能力。通過(guò)標(biāo)簽聚合，可以實(shí)現(xiàn)對(duì)海量數(shù)據(jù)的降維;借助含有指示的標(biāo)簽，用戶可以篩選構(gòu)建自己關(guān)注的場(chǎng)景，減少在發(fā)現(xiàn)關(guān)鍵威脅信息過(guò)程中耗費(fèi)的時(shí)間;配合安天引擎向量提取的能力，更可以建立獨(dú)有場(chǎng)景下的專(zhuān)用規(guī)則。

　　5、安天追影團(tuán)隊(duì)《基于沙箱的威脅情報(bào)輸出》

　　安天本地化沙箱可以對(duì)樣本進(jìn)行分析獲得樣本黑白信息，這些信息包括樣本的核心目的、樣本屬于哪種黑客攻擊武器。利用這些威脅情報(bào)可以第一時(shí)間對(duì)企業(yè)自身進(jìn)行漏洞文檔防護(hù)與網(wǎng)絡(luò)監(jiān)控終端取證。監(jiān)管機(jī)構(gòu)可以分析樣本獲取僵木蠕的C&C，進(jìn)行DDOS監(jiān)控預(yù)警，對(duì)攻擊者進(jìn)行關(guān)聯(lián)追溯等。

　　6、安全研究與應(yīng)急處理中心《方程式組織SPARC架構(gòu)樣本的分析調(diào)試》

　　安天CERT回顧了分析方程式組織多平臺(tái)能力載荷樣本的經(jīng)驗(yàn)，并介紹了SPARC架構(gòu)的特點(diǎn)、靜態(tài)逆向分析方法，同時(shí)也提出靜態(tài)分析的一些問(wèn)題和難點(diǎn)。此外，詳細(xì)介紹了方程式組織SPARC架構(gòu)的樣本，解密了內(nèi)置加秘密鑰、C2域名和硬編碼IP地址，分析了遠(yuǎn)程攻擊指令的分支和通信協(xié)議格式，完整還原了攻擊的過(guò)程，為有效防御對(duì)抗提供了檢測(cè)基礎(chǔ)。

　　7、安天安全研究與應(yīng)急處理中心《APT樣本關(guān)聯(lián)與溯源方法》

▲判斷同源性的方法——從四方面進(jìn)行分析對(duì)比

　　APT事件關(guān)聯(lián)分析和追蹤溯源是事件分析中的重要環(huán)節(jié)，通過(guò)關(guān)聯(lián)和追溯，可以在網(wǎng)絡(luò)空間中實(shí)現(xiàn)攻擊源定位和攻擊時(shí)序重構(gòu)，以有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊，實(shí)施針對(duì)性的防御和反制，它對(duì)于最小化網(wǎng)絡(luò)攻擊的效果，威懾潛在的網(wǎng)絡(luò)攻擊都有著至關(guān)重要的作用。

　　8、安天微電子與嵌入式安全研發(fā)中心《SRAM型FPGA的信息安全風(fēng)險(xiǎn)淺析》

　　報(bào)告主要針對(duì)SRAM型FPGA的信息安全風(fēng)險(xiǎn)進(jìn)行了分析，還展示了研究小組對(duì)相關(guān)問(wèn)題的初步思考和實(shí)驗(yàn)探索。簡(jiǎn)述FPGA的技術(shù)特點(diǎn)和開(kāi)發(fā)流程，分析目前FPGA封閉硬件架構(gòu)和閉源工具鏈等潛在安全隱患，并以簡(jiǎn)單實(shí)例演示信息泄露威脅。

　　9、安天數(shù)據(jù)技術(shù)研發(fā)中心《安天可視化的成長(zhǎng)歷程和自我批判》

　　安天可視化團(tuán)隊(duì)自2012年組建以來(lái)，經(jīng)歷了四個(gè)重要時(shí)期：以提高人們對(duì)安全認(rèn)知為主要目的的安全認(rèn)知時(shí)期;以將安全化無(wú)形為有形的具象安全時(shí)期;以可視化為工具改善(同源性、關(guān)聯(lián)性)安全分析工作的作用為目的的時(shí)期;以保障用戶安全和資產(chǎn)價(jià)值為目的的用戶安全時(shí)期。

　　報(bào)告對(duì)缺少操作性和可交互性的“地圖炮”做了深入的反思和批判。安全可視化不應(yīng)該停留在宏觀上的、實(shí)時(shí)的和追求酷炫的展示手段，安全可視化要形成價(jià)值，必須能從宏觀而及微觀，是可操作的和可以實(shí)現(xiàn)有效的價(jià)值輸出的。

　　安全需要產(chǎn)業(yè)共同發(fā)聲

　　在這次冬訓(xùn)營(yíng)發(fā)聲的可不僅僅只有安天內(nèi)部的技術(shù)牛人，安天還邀請(qǐng)了安全圈的同行們做嘉賓進(jìn)行主題發(fā)言。北京數(shù)字觀星科技有限公司創(chuàng)始人郭亮講述《DT時(shí)代的企業(yè)安全觀》;北京煉石網(wǎng)絡(luò)技術(shù)有限公司CEO白小勇帶來(lái)《CipherGateway產(chǎn)品安全實(shí)踐與塔防模式探索》報(bào)告，對(duì)縱深防御的塔防模型做了進(jìn)一步的探索和解讀。

　　在冬訓(xùn)營(yíng)首日現(xiàn)場(chǎng)，安天還發(fā)布了《安天2016年網(wǎng)絡(luò)威脅年報(bào)(征集意見(jiàn)稿)》(下稱(chēng)《威脅年報(bào)》)。《威脅年報(bào)》總結(jié)和回顧了2016年網(wǎng)絡(luò)安全威脅，展示了安天態(tài)勢(shì)感知和深度分析視角下的高級(jí)威脅、信息泄露和黑產(chǎn)大數(shù)據(jù)、供應(yīng)鏈安全、IoT安全等年度熱點(diǎn)分析構(gòu)成。與會(huì)專(zhuān)家對(duì)安天年報(bào)內(nèi)容進(jìn)行研討，提出修訂意見(jiàn)，記者了解到，最終版的《威脅年報(bào)》將在春節(jié)前發(fā)布。

　　回歸有效客戶價(jià)值

▲Panel Discussion嘉賓：(從左到右)原國(guó)防大學(xué)研究員徐緯地，數(shù)字觀星創(chuàng)始人郭亮，煉石網(wǎng)絡(luò)CEO白小勇，安天創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光，前中油瑞飛信息安全高級(jí)技術(shù)總監(jiān)、塔防模型的提出者黃晟，360企業(yè)安全集團(tuán)總裁吳云坤。

　　作為本屆冬訓(xùn)營(yíng)最后一個(gè)環(huán)節(jié)，參與小組討論的嘉賓都來(lái)自國(guó)內(nèi)能力型安全廠商和新銳創(chuàng)業(yè)公司的負(fù)責(zé)人，主持人由資深戰(zhàn)略學(xué)者徐緯地教授擔(dān)任，他們對(duì)于冬訓(xùn)營(yíng)提出了期待，對(duì)中國(guó)網(wǎng)絡(luò)安全面對(duì)的最重要的問(wèn)題、企業(yè)在加強(qiáng)中國(guó)網(wǎng)絡(luò)安全聯(lián)合中發(fā)揮的作用、企業(yè)的近期目標(biāo)等問(wèn)題進(jìn)行了探討。

　　安天創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光最后對(duì)本屆冬訓(xùn)營(yíng)做了總結(jié)，他表示，“今年安天冬訓(xùn)營(yíng)的主要導(dǎo)向是要回歸有效客戶價(jià)值這個(gè)本質(zhì)”，“安天舉辦冬訓(xùn)營(yíng)的出發(fā)點(diǎn)是希望大家能在哈爾濱嚴(yán)冬的環(huán)境中，感受到網(wǎng)絡(luò)安全所面臨的壓力與挑戰(zhàn)”，“在歷史機(jī)遇出現(xiàn)的時(shí)候，我們要能建立起自己的目標(biāo)”，共同攜手，鑄就“冰峰屹立”。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】