物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、萬(wàn)物互聯(lián)的飛速發(fā)展正在加速全面數(shù)字化世界的到來(lái)，虛擬空間與物理世界正在被打通。來(lái)源于虛擬世界的黑客攻擊足與將其破壞性延伸至現(xiàn)實(shí)世界轉(zhuǎn)成物理的傷害，直接危害政治安全、國(guó)防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、工業(yè)生產(chǎn)安全、金融安全、社會(huì)安全甚至公民的人身安全。

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的不斷升級(jí)，網(wǎng)絡(luò)安全攻防對(duì)抗的對(duì)手也早已不再是曾經(jīng)的“小蟊賊”，高智商的網(wǎng)絡(luò)犯罪組織、網(wǎng)絡(luò)恐怖主義分子和國(guó)家級(jí)黑客組織這樣的 “大玩家”們?cè)诩娂娙刖郑山M織、成建制，有戰(zhàn)術(shù)、有布局的“正規(guī)軍”們憑借著較高的“戰(zhàn)術(shù)修養(yǎng)”和攻擊資源在網(wǎng)絡(luò)空間中虎踞一方，從國(guó)防核電到電力交通能源等關(guān)鍵領(lǐng)域都成為了這些組織攻擊的靶心。 “看不見(jiàn)”威脅全貌、缺乏應(yīng)對(duì)威脅之良策，赫然成為數(shù)字時(shí)代下的致命一環(huán)。

在這樣的背景下，8月13日，“威脅情報(bào)驅(qū)動(dòng)的安全能力建設(shè)論壇”正式在第八屆互聯(lián)網(wǎng)安全大會(huì)ISC 2020揭幕，資深網(wǎng)絡(luò)安全專(zhuān)家、360高級(jí)威脅研究院副院長(zhǎng)宋申雷，神州網(wǎng)云CEO、重大活動(dòng)網(wǎng)絡(luò)安保組網(wǎng)絡(luò)安全專(zhuān)家、網(wǎng)信辦網(wǎng)絡(luò)安全和信息化專(zhuān)家委員會(huì)專(zhuān)家、烽火臺(tái)威脅情報(bào)聯(lián)盟聯(lián)合創(chuàng)始人宋超，360網(wǎng)絡(luò)安全研究院安全分析工程師張?jiān)诜?，北京天際友盟信息技術(shù)有限公司技術(shù)總監(jiān)劉廣坤，360企業(yè)安全集團(tuán)高級(jí)產(chǎn)品總監(jiān)高祎瑋5位威脅情報(bào)領(lǐng)域資深專(zhuān)家就當(dāng)下嚴(yán)峻的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)，和如何用威脅情報(bào)驅(qū)動(dòng)安全能力建設(shè)的話題展開(kāi)了深入的探討。

傳統(tǒng)防御已難御敵

威脅情報(bào)是狩獵APT攻擊的重要武器

論壇伊始，資深網(wǎng)絡(luò)安全專(zhuān)家、360高級(jí)威脅研究院副院長(zhǎng)宋申雷率先結(jié)合360基于高級(jí)威脅情報(bào)能力狩獵APT組織案例，分享了360威脅情報(bào)金字塔建設(shè)的經(jīng)驗(yàn)和思考。宋申雷談到，網(wǎng)絡(luò)世界中的安全威脅無(wú)時(shí)無(wú)刻都在變化，而高級(jí)持續(xù)性威脅（APT）目前已經(jīng)成為政府和企業(yè)不可忽視的重要威脅。由于APT具有定向性、長(zhǎng)期持續(xù)、隱蔽潛伏的攻擊特點(diǎn)，使得安全人員運(yùn)用傳統(tǒng)的檢測(cè)手段無(wú)法辨別和發(fā)現(xiàn)APT攻擊，而借助海量的安全數(shù)據(jù)、先進(jìn)的機(jī)器學(xué)習(xí)技術(shù)和經(jīng)驗(yàn)豐富的專(zhuān)家團(tuán)隊(duì)產(chǎn)生的高級(jí)威脅情報(bào)進(jìn)行威脅狩獵，已經(jīng)成為安全人員發(fā)現(xiàn)APT攻擊真正有效方法。

宋申雷表示，傳統(tǒng)被動(dòng)式的防御手段以及針對(duì)單點(diǎn)的攻擊取證與溯源技術(shù)已經(jīng)無(wú)力應(yīng)對(duì)高級(jí)持續(xù)性威脅（APT）和新型高危漏洞等復(fù)雜的安全威脅。未來(lái)，威脅情報(bào)的作用會(huì)進(jìn)一步被放大。結(jié)合關(guān)聯(lián)威脅情報(bào)，可以對(duì)攻擊方進(jìn)行組織畫(huà)像和溯源，利用威脅情報(bào)構(gòu)建攻擊知識(shí)庫(kù)，能夠?qū)崿F(xiàn)對(duì)APT攻擊的智能化攻擊意圖推理及樣本變種自動(dòng)化跟蹤。在信息共享和事件應(yīng)急場(chǎng)景下，根據(jù)威脅情報(bào)反映的互聯(lián)網(wǎng)安全態(tài)勢(shì)，有助于預(yù)判后續(xù)可能的安全風(fēng)險(xiǎn)，使得響應(yīng)網(wǎng)絡(luò)威脅的速度更快。

[[337769]]

威脅情報(bào)應(yīng)用的關(guān)鍵價(jià)值在于協(xié)同、共享、生態(tài)

數(shù)據(jù)標(biāo)簽化是鎖定威脅源的重要手段之一

針對(duì)威脅情報(bào)能力的建設(shè)問(wèn)題，神州網(wǎng)云CEO、重大活動(dòng)網(wǎng)絡(luò)安保組網(wǎng)絡(luò)安全專(zhuān)家、網(wǎng)信辦網(wǎng)絡(luò)安全和信息化專(zhuān)家委員會(huì)專(zhuān)家、烽火臺(tái)威脅情報(bào)聯(lián)盟聯(lián)合創(chuàng)始人宋超認(rèn)為，目前網(wǎng)絡(luò)安全公司每天收集的報(bào)警信息量級(jí)在上百萬(wàn)個(gè)日志事件和數(shù)十萬(wàn)個(gè)指標(biāo)的數(shù)據(jù),對(duì)于威脅情報(bào)分析師而言，已經(jīng)無(wú)法完成每天的分析工作，必須自動(dòng)進(jìn)行數(shù)據(jù)收集和處理及分類(lèi)，使用元數(shù)據(jù)報(bào)警標(biāo)簽、人工標(biāo)簽、第三方威脅信息標(biāo)簽對(duì)其進(jìn)行標(biāo)識(shí)，形成畫(huà)像，精確識(shí)別每個(gè)網(wǎng)絡(luò)安全事件的全方位信息。

安全研究團(tuán)隊(duì)?wèi)?yīng)該基于威脅同源關(guān)聯(lián)分析模型，需對(duì)威脅情報(bào)中心進(jìn)行優(yōu)化，內(nèi)置威脅同源關(guān)聯(lián)分析算法，以支撐相關(guān)分析工作?；谇閳?bào)的威脅同源關(guān)聯(lián)分析技術(shù)核心在于對(duì)威脅源的標(biāo)簽化畫(huà)像。對(duì)看似不同源的多個(gè)安全威脅，通過(guò)畫(huà)像標(biāo)簽的深度關(guān)聯(lián)，來(lái)挖掘和判斷其之間的關(guān)聯(lián)關(guān)系，實(shí)現(xiàn)不同威脅線索的串聯(lián)。對(duì)每一次高級(jí)威脅攻擊的攻擊鏈條的每個(gè)環(huán)節(jié)打上威脅標(biāo)簽、行業(yè)標(biāo)簽，提取IOC指標(biāo)發(fā)現(xiàn)關(guān)聯(lián)關(guān)系，進(jìn)行針對(duì)性的防御。

以更科學(xué)透明的IOC評(píng)估機(jī)制

提升威脅情報(bào)IOC的應(yīng)用水平

360網(wǎng)絡(luò)安全研究院安全分析工程師張?jiān)诜鍎t分享了360在威脅情報(bào)中IOC評(píng)估工作中的實(shí)踐方法。張?jiān)诜逄岬剑谕{情報(bào)的使用過(guò)程中，威脅情報(bào)IOC的定量評(píng)估是衡量威脅情報(bào)質(zhì)量的關(guān)鍵。因此評(píng)估威脅情報(bào)的IOC質(zhì)量對(duì)于IOC的提供方和使用方來(lái)說(shuō)都有非常重要的現(xiàn)實(shí)意義。

科學(xué)，透明的評(píng)估方法是將威脅情報(bào)IOC的評(píng)估方式定量化，可操作化的核心。以公開(kāi)、可驗(yàn)證的合理的評(píng)估方法供不同的用戶(hù)，不同的使用場(chǎng)景選擇重點(diǎn)關(guān)注的的測(cè)試指標(biāo)，選擇最適合自己的威脅情報(bào)IOC。在業(yè)界首次采用靜態(tài)評(píng)估與動(dòng)態(tài)評(píng)估相結(jié)合方式將IOC評(píng)估程序化運(yùn)營(yíng)，以?xún)?yōu)化IOC的評(píng)估機(jī)制，為威脅情報(bào)的提供方和使用方科學(xué)合理的評(píng)估威脅情報(bào)提供參考，進(jìn)而促進(jìn)威脅情報(bào)IOC的科學(xué)發(fā)展。

[[337770]]

建立威脅情報(bào)&主動(dòng)防御機(jī)制

方能知己知彼，百戰(zhàn)不殆

北京天際友盟信息技術(shù)有限公司技術(shù)總監(jiān)劉廣坤就威脅情報(bào)與主動(dòng)防御的話題進(jìn)行了分享。他認(rèn)為，縱深防御安全架構(gòu)和技術(shù)產(chǎn)品正遭受公開(kāi)的挑戰(zhàn)，互聯(lián)網(wǎng)上充斥著對(duì)現(xiàn)有安全防御技術(shù)的“繞過(guò)”技術(shù)。企業(yè)信息安全不僅僅是關(guān)注企業(yè)網(wǎng)絡(luò)邊界路由器內(nèi)的安全，更多的分布在管理權(quán)限外的潛在威脅使得數(shù)字風(fēng)險(xiǎn)的響應(yīng)和處置越來(lái)越困難。

互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和工控網(wǎng)絡(luò)的高速發(fā)展，數(shù)字化轉(zhuǎn)型快速普及，使得網(wǎng)絡(luò)防護(hù)的邊界越來(lái)越模糊，攻擊者和防護(hù)者的界面不再以防護(hù)者所設(shè)定的邊界而涇渭分明地分處兩端。威脅情報(bào)的出現(xiàn)及拓展概念-安全情報(bào)，為防護(hù)者達(dá)成“知己知彼，百戰(zhàn)不殆”的愿望提供了可能性，威脅情報(bào)通過(guò)向防護(hù)者提供外部威脅信息，形成了新的攻防平衡，同時(shí)，基于威脅情報(bào)的響應(yīng)能力也為打擊業(yè)務(wù)層面的數(shù)字風(fēng)險(xiǎn)侵犯提供了可能性，從而為企業(yè)的數(shù)字化轉(zhuǎn)型護(hù)航。

DNS數(shù)據(jù)具有巨大的安全價(jià)值

是挖掘網(wǎng)絡(luò)威脅的寶藏

在題為《情報(bào)驅(qū)動(dòng)的DNS安全實(shí)踐》的演講中，360企業(yè)安全集團(tuán)高級(jí)產(chǎn)品總監(jiān)高祎瑋分享了在360安全DNS和域名威脅情報(bào)領(lǐng)域的工作經(jīng)驗(yàn)與探索。

高祎瑋提到，DNS協(xié)議在設(shè)計(jì)之初就只注重其可用性，忽視其安全性，由于協(xié)議的重要性和特殊性，幾乎所有的技防措施都允許DNS協(xié)議類(lèi)型數(shù)據(jù)報(bào)文不受限制的傳輸，隨著時(shí)間的推移，DNS暴露出越來(lái)越多的安全問(wèn)題。DNS已經(jīng)成為網(wǎng)絡(luò)威脅流通的主要通道，DNS數(shù)據(jù)也因此具有巨大的安全研究?jī)r(jià)值，對(duì)網(wǎng)絡(luò)安全威脅行為的挖掘具有至關(guān)重要的意義，但目前通過(guò)DNS檢測(cè)威脅仍然存在數(shù)據(jù)信息量少、威脅域名動(dòng)態(tài)性強(qiáng)的難點(diǎn)。

高祎瑋表示，受益于360安全大腦多維、海量安全大數(shù)據(jù)和DNS解析大數(shù)據(jù)的積累，360已經(jīng)建立了一個(gè)“DNS威脅情報(bào) + 智能威脅檢測(cè)算法”的檢測(cè)模型，能夠以高頻更新的DNS威脅情報(bào)和經(jīng)過(guò)驗(yàn)證的智能威脅檢測(cè)算法來(lái)解決DNS數(shù)據(jù)信息量少和威脅域名動(dòng)態(tài)性強(qiáng)所帶來(lái)的DNS檢測(cè)難題。在演講中，高祎瑋以一個(gè)暗刷病毒為例，演示了通過(guò)部署在大網(wǎng)中的“360DNS安全監(jiān)測(cè)系統(tǒng)”從DNS流量中發(fā)現(xiàn)、分析、追蹤和阻斷網(wǎng)絡(luò)威脅的過(guò)程，顯示出360DNS安全監(jiān)測(cè)系統(tǒng)全面的威脅發(fā)現(xiàn)和防御能力。

最后，高祎瑋還在演講中宣布360公共DNS的服務(wù)升級(jí)計(jì)劃正式發(fā)布，即日起360公共DNS服務(wù)將全面支持IPv4和IPv6雙棧解析，并啟動(dòng)DoH(doh.#)和DoT(dot.#)解析服務(wù)的全網(wǎng)公測(cè)。

[[337771]]

除威脅情報(bào)驅(qū)動(dòng)的安全能力建設(shè)論壇外，第八屆互聯(lián)網(wǎng)安全大會(huì)（ISC 2020）首次設(shè)置了新基建日、戰(zhàn)略日、信創(chuàng)日、技術(shù)日、產(chǎn)業(yè)日、人才日等多個(gè)主題日，還陸續(xù)推出網(wǎng)絡(luò)空間戰(zhàn)略與治理論壇、漏洞管理與研究論壇、信創(chuàng)安全論壇、大數(shù)據(jù)安全論壇、人工智能與安全論壇、城市安全論壇、關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)論壇等在內(nèi)的27場(chǎng)論壇研討，圍繞新基建、戰(zhàn)略、信創(chuàng)、技術(shù)、產(chǎn)業(yè)等領(lǐng)域進(jìn)行全方位探討與交流，洞察數(shù)字孿生時(shí)代下的安全趨勢(shì)，共同探索助推安全產(chǎn)業(yè)發(fā)展的新機(jī)遇。

目前，27場(chǎng)論壇正在陸續(xù)開(kāi)放中，更多前沿技術(shù)話題、大咖觀點(diǎn)分享將在第八屆互聯(lián)網(wǎng)安全大會(huì)中持續(xù)呈現(xiàn)。鎖定永不閉幕的ISC 2020，與眾多行業(yè)大咖、技術(shù)專(zhuān)家一同千里云聚，共話安全。