隨著互聯(lián)網(wǎng)和云計(jì)算在全球企業(yè)生產(chǎn)、辦公環(huán)境中的普及，企業(yè)信息安全面臨著邊界模糊、環(huán)境復(fù)雜、威脅多樣化等多方挑戰(zhàn);《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》的頒布實(shí)施令企業(yè)更為重視網(wǎng)絡(luò)安全合規(guī)、數(shù)據(jù)保護(hù)和業(yè)務(wù)安全；企業(yè)自身的數(shù)字化轉(zhuǎn)型也要求信息安全同步跟上，知己知彼的下一代安全中，威脅情報(bào)將起到至關(guān)重要的驅(qū)動(dòng)作用。

7月25日，2019網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)在北京召開。該會(huì)議由北京微步在線科技有限公司主辦，今年是第三屆。秉承著中立、客觀、開放的原則，邀請(qǐng)來自政府機(jī)關(guān)、金融、互聯(lián)網(wǎng)、安全等各個(gè)領(lǐng)域的一線安全專家，分享企業(yè)信息安全和威脅分析研究成果和落地實(shí)戰(zhàn)案例。

[[272604]]

2019年大會(huì)的主題為“全面·賦能”，來自中國人民銀行、公安部、平安集團(tuán)、螞蟻金服、金山云、順豐集團(tuán)、賽博英杰、微步在線等機(jī)構(gòu)和公司的十余位專家同臺(tái)分享，暢談企業(yè)信息安全建設(shè)與威脅分析的發(fā)展趨勢，對(duì)網(wǎng)絡(luò)防護(hù)與威脅情報(bào)驅(qū)動(dòng)的新一代網(wǎng)絡(luò)安全技術(shù)進(jìn)行多點(diǎn)發(fā)散的深度剖析。本次大會(huì)嘉賓的分享內(nèi)容如下：

北京賽博英杰科技有限公司創(chuàng)始人、董事長譚曉生的演講議題是《情報(bào)驅(qū)動(dòng)的網(wǎng)絡(luò)空間安全防御體系》。他認(rèn)為，在萬物互聯(lián)，一切皆可破解的時(shí)代，威脅情報(bào)的收集、分析、有效使用是為防御的基礎(chǔ)。美國的國家級(jí)網(wǎng)絡(luò)安全攻防體系就是情報(bào)驅(qū)動(dòng)的，對(duì)情報(bào)既有有主動(dòng)收集也有被動(dòng)收集，收集內(nèi)容互聯(lián)網(wǎng)骨干的網(wǎng)元數(shù)據(jù)與內(nèi)容信息，甚至包括對(duì)加密數(shù)據(jù)的分析與破解，斯諾登所曝光的“棱鏡計(jì)劃”也是情報(bào)來源之一。如今全球網(wǎng)絡(luò)犯罪和間諜行為日益增多，加強(qiáng)威脅情報(bào)應(yīng)用產(chǎn)業(yè)發(fā)展已成為必然，于企業(yè)，威脅情報(bào)能力決定企業(yè)安全防線敏感度和長度；于國家對(duì)抗，威脅情報(bào)能力防御發(fā)現(xiàn)外部網(wǎng)絡(luò)攻擊能力。

譚曉生說：“威脅情報(bào)的供應(yīng)商比較少，微步在線可以說是目前走在國內(nèi)前列。”他呼吁整個(gè)產(chǎn)業(yè)給威脅情報(bào)供應(yīng)商以認(rèn)同，為威脅情報(bào)買單。

本次大會(huì)主辦方微步在線創(chuàng)始人、CEO薛鋒分享的議題是《網(wǎng)絡(luò)安全走向云化》。他提出，網(wǎng)絡(luò)安全正在發(fā)生如下幾個(gè)變化：一，從規(guī)則化、策略化走向數(shù)據(jù)化；二，去盒子化，走向云化；三，網(wǎng)絡(luò)安全走向?qū)崙?zhàn)化；四，網(wǎng)絡(luò)安全團(tuán)隊(duì)的服務(wù)化。

薛鋒認(rèn)為網(wǎng)絡(luò)安全走向云化是必然趨勢，首先，云的處理能力更強(qiáng)。其次，企業(yè)各個(gè)系統(tǒng)的應(yīng)用正在走向云端，第三， 4G、5G的發(fā)展讓企業(yè)的邊界走向移動(dòng)化。

薛鋒表示，目前企業(yè)迫切需要有效的入侵檢測能力，而非傳統(tǒng)意義上的IDS。此外，DNS的重要性也應(yīng)被重視。

最后，薛鋒公布了微步在線的情報(bào)獎(jiǎng)勵(lì)計(jì)劃，獎(jiǎng)金池中設(shè)置的金額為1000萬人民幣，微步將用這筆資金鼓勵(lì)安全從業(yè)者在微步在線的X情報(bào)社區(qū)中共享情報(bào)，惠及全行業(yè)。

中國人民銀行金融信息中心信息安全部資深網(wǎng)絡(luò)安全工程師董祎鋮的演講議題是《威脅情報(bào)賦能態(tài)勢感知建設(shè)》。董祎鋮認(rèn)為，態(tài)勢感知源于安全運(yùn)營工作中對(duì)高階威脅的對(duì)抗需求。外部信息有效支撐，強(qiáng)調(diào)及時(shí)準(zhǔn)確;內(nèi)部資源橫向打通，強(qiáng)調(diào)整齊劃一。威脅情報(bào)在其中可以起到重要的“賦能”和“串聯(lián)”作用。

從基于規(guī)則到基于情報(bào)，董祎鋮的安全運(yùn)營團(tuán)隊(duì)完成了從“相信過程”到“相信結(jié)果”的轉(zhuǎn)變，通過規(guī)則來對(duì)流量和日志進(jìn)行分析，過程是正確的，但也會(huì)產(chǎn)生大量的漏報(bào)和誤報(bào)，但情報(bào)是結(jié)果導(dǎo)向的、高度濃縮的知識(shí)，邏輯嚴(yán)謹(jǐn)。域名情報(bào)是斬?cái)喙翩湻浅Ｖ匾矣行У氖侄?，甚至能做?ldquo;人為魚肉，我為刀俎”，形成降維防御。

平安集團(tuán)首席信息安全官陳建的演講題目是《第三方供應(yīng)商信息安全風(fēng)險(xiǎn)管理實(shí)踐》。陳建認(rèn)為供應(yīng)鏈安全對(duì)企業(yè)安全日顯重要，除了傳統(tǒng)的安全審計(jì)和準(zhǔn)入外，對(duì)供應(yīng)商或第三方安全的持續(xù)監(jiān)控顯得尤為重要。平安在這方面做了一些實(shí)踐，在這個(gè)過程中利用了威脅情報(bào)技術(shù)和數(shù)據(jù)幫助管理整個(gè)供應(yīng)鏈的風(fēng)險(xiǎn)。

利用威脅情報(bào)、空間資產(chǎn)的技術(shù)和平安安全合規(guī)上的經(jīng)驗(yàn)積累，通過自動(dòng)化的方式做審計(jì)，平安集團(tuán)的安全團(tuán)隊(duì)能夠?qū)?shù)據(jù)輸入到整個(gè)在線安全評(píng)價(jià)平臺(tái)，對(duì)企業(yè)做比較全面的風(fēng)險(xiǎn)評(píng)估，評(píng)估的結(jié)果可以在線可以隨時(shí)生成報(bào)告，通過這種方式不斷對(duì)第三方供應(yīng)商做評(píng)價(jià)，可以提前發(fā)現(xiàn)風(fēng)險(xiǎn)，在事前、事中、事后都可以對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)控。

原國家信安標(biāo)委會(huì)委員和公安部等級(jí)保護(hù)專家委員會(huì)成員，資深高級(jí)測評(píng)師朱建平的演講議題是《等級(jí)保護(hù)基本要求2.0解讀》。朱建平認(rèn)為，等保2.0的基本要求適合了新技術(shù)的發(fā)展，把云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)，工業(yè)控制系統(tǒng)等納入標(biāo)準(zhǔn)范圍，構(gòu)成了安全通用要求。

同時(shí)，新的等保測評(píng)標(biāo)準(zhǔn)在內(nèi)容上有很大的變化，基本要求、設(shè)計(jì)要求和測評(píng)要求在分類框架上形成了統(tǒng)一。此外，等保2.0標(biāo)準(zhǔn)里面增強(qiáng)了可信計(jì)算，把可信驗(yàn)證列入各個(gè)級(jí)別中間，提出各個(gè)環(huán)節(jié)主要可信驗(yàn)證要求。對(duì)網(wǎng)絡(luò)攻擊分析，特別是威脅情報(bào)、態(tài)勢感知等新安全技術(shù)基本納入到等保三級(jí)的要求內(nèi)。

微步在線技術(shù)運(yùn)營合伙人趙林林的演講題目是《重保中的對(duì)抗、檢測和溯源》。在分享中，趙林林從重保的訴求來看安全建設(shè)中檢測、對(duì)抗以及溯源能力的應(yīng)用。在參與重保的過程中，企業(yè)往往會(huì)出現(xiàn)兩種被攻陷的場景，第一種是企業(yè)盲區(qū)被發(fā)現(xiàn)并攻破，第二種是攻擊者繞過已有的防御體系，從辦公網(wǎng)等其他通道攻入企業(yè)內(nèi)部。

趙林林認(rèn)為，辦公網(wǎng)的價(jià)值和防御的價(jià)值被遠(yuǎn)遠(yuǎn)低估，企業(yè)安全人員需要明白以下幾點(diǎn)內(nèi)容：

一，哪些企業(yè)資產(chǎn)和業(yè)務(wù)是企業(yè)安全力量的主要投入點(diǎn)?

二，企業(yè)資產(chǎn)的面積和邊界，比如企業(yè)IP段、新上線的系統(tǒng)，端口、子域名等。

三，網(wǎng)絡(luò)監(jiān)控應(yīng)當(dāng)如何建設(shè)。

趙林林認(rèn)為，建設(shè)企業(yè)網(wǎng)絡(luò)監(jiān)控應(yīng)當(dāng)遵從二八定律，選擇高杠桿率的地方監(jiān)控，如邊界、郵件、服務(wù)器等。他還表示，在重保的過程中，不必執(zhí)著于某種技術(shù)或某個(gè)理念，應(yīng)當(dāng)以目標(biāo)為導(dǎo)向，圍繞目標(biāo)確定實(shí)現(xiàn)路徑，關(guān)鍵是解決問題。緊接著，他分享了在重?；顒?dòng)中遇到的幾個(gè)案例。

金山云安全負(fù)責(zé)人孟偉的演講議題是《情報(bào)的協(xié)同應(yīng)用及情報(bào)使用的創(chuàng)新方法》。云環(huán)境下，用戶業(yè)務(wù)形態(tài)愈發(fā)多樣化，造成攻擊的形式也更加多元化，傳統(tǒng)的規(guī)則匹配、統(tǒng)計(jì)分析及機(jī)器學(xué)習(xí)的方式已經(jīng)越來越難適應(yīng)新時(shí)期業(yè)務(wù)需要。

孟偉說，金山云安全團(tuán)隊(duì)采取了如下做法，第一，利用情報(bào)保障云平臺(tái)本身的安全，把情報(bào)結(jié)合到入侵檢測和風(fēng)控;第二，把威脅情報(bào)集成到安全產(chǎn)品，如WAF、主機(jī)安全產(chǎn)品等，情報(bào)服務(wù)直接以API的方式放在平臺(tái)上售賣，為云上用戶提供API服務(wù);第三，利用情報(bào)規(guī)避一些合規(guī)的風(fēng)險(xiǎn)，如被污染的IP等;第四，利用情報(bào)來自證清白，如讓微步在線這樣的情報(bào)廠商給被攻擊到的客戶做溯源，把攻擊團(tuán)伙作為一個(gè)實(shí)際的攻擊人找到，并把報(bào)告發(fā)給用戶證明金山云的清白，花很少的資源能夠取得非常好的效果。

孟偉說：”多元化攻擊的場景，會(huì)不可避免地產(chǎn)生大量的誤報(bào)、漏報(bào)，通過將威脅情報(bào)能力集成到現(xiàn)有的安全產(chǎn)品(高防、WAF、主機(jī)安全、威脅感知等)中，與現(xiàn)有的檢測防御機(jī)制協(xié)同工作，消除誤報(bào)，減少漏報(bào)、從而減少安全的運(yùn)營成本，為用戶提供更加高效、精確的防護(hù)。我們要讓安全保障云服務(wù)，安全促進(jìn)云業(yè)務(wù)。“

螞蟻金服平臺(tái)安全部總監(jiān)王宇的演講議題是《應(yīng)急響應(yīng)視角下的安全建設(shè)訴求》。王宇分享了從應(yīng)急響應(yīng)視角下看“自適應(yīng)安全建設(shè)體系”中需要前置的能力建設(shè)項(xiàng)。從整個(gè)建設(shè)閉環(huán)的不同起點(diǎn)看整體安全建設(shè)規(guī)劃，往往能夠催生很多新的建設(shè)訴求。很多的能力需要在安全事件發(fā)生前就需要具備。

王宇認(rèn)為，有效的應(yīng)急響應(yīng)依賴于前期大量的基礎(chǔ)準(zhǔn)備工作，而不僅僅是出問題時(shí)刻的匆忙上陣。應(yīng)急響應(yīng)的介入不僅僅是發(fā)生了攻擊事件，高危漏洞、威脅情報(bào)、檢測規(guī)則更新均有可能作為起點(diǎn)開始響應(yīng)周期。安全人員應(yīng)當(dāng)知己知彼，對(duì)于用戶資產(chǎn)、服務(wù)類型甚至處理的業(yè)務(wù)代碼段都要能夠快速定位，做到心里有數(shù)。安全領(lǐng)域、生產(chǎn)領(lǐng)域、研發(fā)領(lǐng)域的技術(shù)需要廣泛接觸，做到觸類旁通，并據(jù)此設(shè)計(jì)合適的方案;對(duì)于安全威脅不僅僅關(guān)注IOC，更要關(guān)注攻擊者的TTP，對(duì)攻擊熱點(diǎn)保持敏感。

王宇表示，安全建設(shè)期望的是安全能力的完備，而安全產(chǎn)品只是能力的載體，現(xiàn)階段的安全產(chǎn)品并不能很好的覆蓋所有安全能力的訴求。明確建設(shè)重點(diǎn)，全局調(diào)優(yōu)建設(shè)目標(biāo)勢在必行。同時(shí)安全人員要充分思考如何發(fā)揮自身主戰(zhàn)場優(yōu)勢，揚(yáng)長避短，規(guī)劃好資源分配，關(guān)注投入產(chǎn)出比，通過參與安全建設(shè)來獲得能力的快速提升。

微步在線分析團(tuán)隊(duì)負(fù)責(zé)人樊興華的演講議題是《基于Sysmon的企業(yè)級(jí)終端威脅檢測與響應(yīng)》，在本次議題匯總，樊興華分享了微步在線在對(duì)Sysmon應(yīng)用的探索實(shí)踐歷程。

企業(yè)可以通過使用微軟的免費(fèi)EDR工具Sysmon收集終端(辦公終端及服務(wù)器)上的進(jìn)程、文件、網(wǎng)絡(luò)及DNS等相關(guān)行為日志，并上傳到大數(shù)據(jù)平臺(tái)集中存儲(chǔ)，并且按照日志的ProcessGUID等字段還原這些行為之間的衍生關(guān)系，結(jié)合威脅情報(bào)IOC、流量規(guī)則、行為規(guī)則、機(jī)器學(xué)習(xí)算法以及多引擎、沙箱等分析系統(tǒng)對(duì)相關(guān)行為日志進(jìn)行威脅檢測，進(jìn)一步結(jié)合上述行為衍生關(guān)系對(duì)相關(guān)攻擊木馬進(jìn)行定位，輸出取證處置建議，還原攻擊者攻擊路徑，最終形成威脅的檢測、定位、取證、處置及內(nèi)部溯源的檢測與響應(yīng)閉環(huán)。

知名安全自媒體作者“安全小飛俠“王任飛的分享議題是《如何建設(shè)體系化的安全運(yùn)營中心(SOC)》。王任飛首先分享了他所理解的完整應(yīng)急響應(yīng)過程，應(yīng)包括評(píng)估、控制、根除、恢復(fù)和總結(jié)。SOC應(yīng)基于應(yīng)急響應(yīng)思想來建設(shè)，因此王任飛認(rèn)為，完整的、體系化的SOC至少包括日志收集類平臺(tái)、威脅檢測平臺(tái)、IOC檢測平臺(tái)和內(nèi)部威脅追蹤和記錄平臺(tái)。

王任飛還講解了國外公司在建設(shè)SOC時(shí)采用的紅藍(lán)對(duì)抗思路，將團(tuán)隊(duì)分為攻擊方和防守方進(jìn)行分別建設(shè)，并詳細(xì)講解了各個(gè)團(tuán)隊(duì)的構(gòu)成和職責(zé)。此外，王任飛推薦了一些可用工具：如IP域名檢測工具、郵件檢測工具，鏡像工具等。

順豐集團(tuán)信息安全與內(nèi)控處信息安全組負(fù)責(zé)人潘盛合的演講題目是《威脅情報(bào)應(yīng)用實(shí)踐》。他認(rèn)為威脅情報(bào)的場景在被拓寬，不僅在安全上，還擴(kuò)展到業(yè)務(wù)上。順豐希望引入外部的數(shù)據(jù)來預(yù)測內(nèi)部潛在的威脅，把隱患羅列給用戶，作為參考和指導(dǎo)。在供應(yīng)商和員工的風(fēng)控上，威脅情報(bào)有著很大的意義。

”我們做DNS的加固和系統(tǒng)隔離，以及IP異常檢測和判斷，來判斷這是什么團(tuán)伙，最后我們根據(jù)已有數(shù)據(jù)做預(yù)測。“潘盛合說，”整個(gè)威脅情報(bào)行業(yè)需要更廣泛的數(shù)據(jù)和信息，這里面不僅需要乙方不斷努力，還需要社會(huì)各方力量一齊共建威脅情報(bào)行業(yè)的生態(tài)環(huán)境。“