10月22日，為期兩天的2020 網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)（以下簡稱 CTIC）圓滿落幕。CTIC 是中國威脅情報(bào)行業(yè)規(guī)模最大的國際性行業(yè)盛會(huì)，由北京微步在線科技有限公司主辦。微步在線是中國威脅情報(bào)行業(yè)的先行者和領(lǐng)軍者，也是唯一連續(xù)3次入選全球權(quán)威技術(shù)研究機(jī)構(gòu)Gartner發(fā)布的《全球威脅情報(bào)市場指南》的中國公司。

       自2017年起，CTIC已成功舉辦四屆。今年為積極響應(yīng)疫情防控，大會(huì)以線上直播的方式舉行。本屆大會(huì)以“共生、共享、共進(jìn)”為主題，邀請來自微軟、光大銀行、滴滴、Zendesk、京東、霧幟智能、微步在線等機(jī)構(gòu)和企業(yè)的十余位專家同臺(tái)分享，探討情報(bào)驅(qū)動(dòng)的威脅檢測與響應(yīng)，以及情報(bào)賦能的智能化安全建設(shè)，暢談?dòng)纱搜由斐龅膶?shí)踐案例與行業(yè)展望。

微軟全球威脅情報(bào)中心總經(jīng)理John Lambert表示安全人員可以基于社區(qū)為信息安全領(lǐng)域賦能，以公開的標(biāo)準(zhǔn)模型來加快信息安全建設(shè)的學(xué)習(xí)，即信息安全的“GitHub化”。一個(gè)強(qiáng)大的社區(qū)，結(jié)構(gòu)清晰的知識(shí)體系，可落地執(zhí)行的專有技術(shù)，以及可重復(fù)使用的分析方法，能夠提高學(xué)習(xí)網(wǎng)絡(luò)安全的速度。當(dāng)一個(gè)全新的攻擊技巧被公布出來時(shí)，安全人員可以通過在Githubification 框架下分別做出力所能及的貢獻(xiàn)，迅速展開防御。如果所有組織機(jī)構(gòu)都能貢獻(xiàn)自己特有的專業(yè)技能，并且通過借鑒其他企業(yè)的經(jīng)驗(yàn)進(jìn)一步武裝自己，原先單打獨(dú)斗的信息安全人員就可以通過網(wǎng)絡(luò)效應(yīng)形成合力，共同打擊入侵者。

光大銀行信息科技部安全處處長牟健君表示，現(xiàn)在安全形勢日益復(fù)雜，對于企業(yè)安全運(yùn)維來說，攻防不對等、困難重重，所有的企業(yè)現(xiàn)在都在致力于建設(shè)一個(gè)偏動(dòng)態(tài)的、主動(dòng)的安全防御體系。被動(dòng)防御和主動(dòng)防御主要的差別就在于安全狩獵和威脅情報(bào)。威脅情報(bào)和態(tài)勢感知平臺(tái)結(jié)合，可以多維度對攻擊者的身份進(jìn)行畫像，綜合研判我們的受威脅程度，來決定是否自動(dòng)化或者人工來進(jìn)行處置工作。牟健君希望行業(yè)間可以實(shí)現(xiàn)情報(bào)共享，更大地發(fā)揮情報(bào)的價(jià)值。

滴滴安全運(yùn)營負(fù)責(zé)人秦波認(rèn)為，情報(bào)是我們跟外部能力相互打通的一個(gè)重要的橋梁。在攻擊發(fā)生之前，通過情報(bào)來發(fā)現(xiàn)我們目前整個(gè)在互聯(lián)網(wǎng)暴露的資產(chǎn)面的不同形態(tài)下的一些脆弱性，并且做到快速的摸查、修復(fù)、加固；在攻擊正在發(fā)生的過程當(dāng)中，情報(bào)作為一個(gè)重要的檢測手段，可以幫我們確鑿地去發(fā)現(xiàn)每一個(gè)攻擊的真實(shí)性，在整個(gè)過程中做到真實(shí)、有效和快速。

微步在線技術(shù)合伙人趙林林介紹了將會(huì)取代IDS的新一代流量檢測技術(shù)NDR（Network Detection and Response，網(wǎng)絡(luò)的檢測和響應(yīng)）。與IDS相比，在威脅檢測方面，NDR檢測的有效性更好，覆蓋內(nèi)容更多、范圍更廣，復(fù)雜度更多面。在威脅響應(yīng)方面，NDR非常重視響應(yīng)，并且把響應(yīng)提升和檢測一樣的高度。這是IDS和NDR最大的區(qū)別。

國際安全響應(yīng)聯(lián)盟（FIRST）前主席、現(xiàn)任 Zendesk CISO Maarten Van Horenbeeck 表示威脅情報(bào)與網(wǎng)絡(luò)安全事件響應(yīng)二者之間具有緊密的聯(lián)系。網(wǎng)絡(luò)安全事件響應(yīng)分為檢測事件、對其進(jìn)行診斷、分析并最終做出響應(yīng)。在事件響應(yīng)周期的每一步，都有使用威脅情報(bào)的方法。我們還可以與合作伙伴或受害者分享我們從響應(yīng)周期中獲得的信息，我們要設(shè)法實(shí)現(xiàn)自動(dòng)化共享，確保我們共享的數(shù)據(jù)對其他組織發(fā)揮最大效用。

微步在線研究響應(yīng)團(tuán)隊(duì)負(fù)責(zé)人樊興華表示，企業(yè)經(jīng)常會(huì)面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)、漏洞攻擊活動(dòng)，還有一些資產(chǎn)方面的風(fēng)險(xiǎn)，外部威脅已不容忽視，企業(yè)應(yīng)建立外部威脅監(jiān)控系統(tǒng)。微步在線外部威脅監(jiān)控產(chǎn)品基于微步在線多年的基礎(chǔ)數(shù)據(jù)和情報(bào)數(shù)據(jù)的積累，幫助企業(yè)梳理域名、IP以及端口服務(wù)等網(wǎng)絡(luò)資產(chǎn)，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)和弱點(diǎn)。進(jìn)一步幫助企業(yè)梳理目前已經(jīng)泄露在Github、Gitee等代碼托管平臺(tái)的敏感信息以及網(wǎng)盤、暗網(wǎng)、黑客論壇、社交應(yīng)用等渠道的數(shù)據(jù)泄露事件。目前該產(chǎn)品已經(jīng)在服務(wù)金融、互聯(lián)網(wǎng)、政府等行業(yè)客戶，有效幫助了相關(guān)政企客戶發(fā)現(xiàn)潛在外部風(fēng)險(xiǎn)和威脅。 

知名安全自媒體“安全小飛俠”作者王任飛介紹了當(dāng)前云上威脅主要面臨的兩大場景：云上租戶問題和云平臺(tái)自身問題。隨后從方法論、量化度量及實(shí)踐思路三個(gè)層面分享了如何進(jìn)行云上攻防實(shí)踐。王任飛表示，隨著越來越多的企業(yè)上云，云上的威脅必定會(huì)成為未來攻擊的主要趨勢，且攻擊會(huì)越來越復(fù)雜。安全人員要多從攻擊者視角去談防御重點(diǎn)，這樣能夠幫防守方確定投入ROI，也能夠確定未來工作的重點(diǎn)。

京東信息安全部架構(gòu)師胡兆豐說威脅情報(bào)對網(wǎng)絡(luò)安全起到至關(guān)重要的作用。安全運(yùn)營體系就是發(fā)現(xiàn)、止損、溯源、情報(bào)分析和監(jiān)控，每一部分都會(huì)有情報(bào)的作用。通過情報(bào)分析才能驅(qū)動(dòng)我們的防御體系，而且保證一個(gè)持續(xù)提升的過程。

霧幟智能CTO傅奎站在中小企業(yè)的角度介紹了如何輕松地、更加貼近實(shí)戰(zhàn)地去使用情報(bào)，來幫助企業(yè)加速安全事件的響應(yīng)，提升企業(yè)整體安全能力防護(hù)水平。傅奎說，精準(zhǔn)的情報(bào)加上自動(dòng)化響應(yīng)，能夠在幫助我們超越攻擊的速度和規(guī)模這條道路上走得更快、更遠(yuǎn)。

當(dāng)前，全球經(jīng)濟(jì)正在進(jìn)行數(shù)字化轉(zhuǎn)型，物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、5G、人工智能等新技術(shù)的應(yīng)用也為企業(yè)和機(jī)構(gòu)帶來了巨大機(jī)遇，但與此同時(shí)，網(wǎng)絡(luò)安全環(huán)境日益復(fù)雜多樣化，網(wǎng)絡(luò)風(fēng)險(xiǎn)也與日俱成為現(xiàn)實(shí)威脅。隨著“網(wǎng)絡(luò)安全法”、“等保2.0”、“關(guān)基”等的頒布實(shí)施，企業(yè)更加重視網(wǎng)絡(luò)安全合規(guī)、數(shù)據(jù)保護(hù)和業(yè)務(wù)安全，網(wǎng)絡(luò)安全防護(hù)正在從被動(dòng)防御向威脅的主動(dòng)檢測與響應(yīng)演進(jìn)，威脅情報(bào)已經(jīng)成為企業(yè)和機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)的不可或缺的力量。2020年8月28日，威脅情報(bào)生產(chǎn)技術(shù)更是被列入到商務(wù)部、科技部發(fā)布的《中國禁止出口限制出口技術(shù)目錄》。

微步在線創(chuàng)始人、CEO薛鋒說，在過去五年內(nèi)，威脅情報(bào)從陽春白雪的新技術(shù)，到等保合規(guī)的要求，甚至被列入國家出口限制的關(guān)鍵技術(shù)的名單，整個(gè)威脅情報(bào)行業(yè)取得巨大的進(jìn)展和進(jìn)步。威脅情報(bào)可以應(yīng)用于很多產(chǎn)品和場景，不管是在態(tài)勢感知和日志型的方案里，還是在網(wǎng)絡(luò)流量檢測中（NDR），包括在終端的檢測中(EDR)，威脅情報(bào)都發(fā)揮了決定性的作用，威脅情報(bào)是威脅檢測技術(shù)里面的靈魂。薛鋒還表示，情報(bào)檢測具有網(wǎng)絡(luò)效應(yīng)，情報(bào)網(wǎng)絡(luò)會(huì)隨著更多用戶的加入和分享而不斷壯大，進(jìn)而真正起到聯(lián)防的作用。

本屆大會(huì)上，來自金融、互聯(lián)網(wǎng)、人工智能、安全等領(lǐng)域的國內(nèi)多位外安全專家表示，威脅情報(bào)已成功運(yùn)用到安全運(yùn)營的多個(gè)環(huán)節(jié)，加速了安全事件的發(fā)現(xiàn)和響應(yīng)。同時(shí)，情報(bào)共享也正成為企業(yè)和機(jī)構(gòu)安全運(yùn)營的迫切需求。