QCon2017 | 绿盟科技海外分享生态防御最佳实践

百家 作者:绿盟科技 2017-11-27 10:59:38

近日,绿盟科技CTO赵粮博士受邀参加QCon2017全球开发者大会旧金山站会议,并在会上进行题为“从威胁情报获取到生态防御”的演讲,用TI及AI的例子,展示了绿盟科技智慧安全2.0战略下的生态防御最佳实践。

赵粮博士在演讲中提到在应对网络攻击者方面,无论是惯犯还是高级目标攻击者,威胁情报和人工智能有望改变游戏规则,为防守方赢得胜利获取转机。然而,在现实世界中,有许多受害者却存在着不应有的错误。

Equifax带来的深思 知己难知彼更难

9月份,美最大征信机构Equifax发生数据泄露,1.43亿美国公民个人信息被“曝光”,攻击者正是利用了3月份出现的Struts2(S2-045)漏洞。就在漏洞披露后的8小时13分,绿盟科技将防御措施部署到网络入侵防护NIPS和网络应用防火墙WAF设备,在10小时10分检测到第一次攻击,在漏洞披露的24小时后检测到第一次成功入侵,很显然,这是一场攻防速度的较量,然而Equifax却未能在这场较量中作出正确的决策,6个月的时间仍旧无法抵挡入侵。

俗话说 “知己知彼,百战不殆”,但大型企业想要做到“知己”并不容易,业务环境日益复杂,各种开源软件涌入信息系统,各种API调用,供应链越来越长,各种微服务“一言不合”就上线;在这种情况下,洞悉自身网络中的资产、价值和安全属性、逻辑分布和依赖关系等,很具挑战性。而“知彼”更难,攻击者有什么目标和动机?定向的,还是非定向的;他具有什么技术水平?高级的,还是一般的;当前什么趋势,什么漏洞和利用在流行?数百万的安全告警背后分别是什么威胁?

要想“知彼” 威胁情报太多又太少

从名义和定义上看,威胁情报是一个很好的“知彼”渠道。一般来说,市场上可以获得的数十数百种威胁情报,包括免费开源的、商业的,在实际安全运营活动中,常常显得太多了,数以千万的各种威胁信息,需要占用大量资源才能加以分析利用;但有时候又显得太少,当重大或特定安全事件发生时,又发现诸多威胁情报“面面相觑”,都不能提供有价值强关联的可行动信息。解决之道在哪里?

需要不断提炼与消费 以生态形成防御

几年的实践,让业界意识到威胁情报只有不断的消费,不断在分析闭环中的“提炼”,才能展现价值,才能越变越精准。从攻防模型到威胁情报追踪,从UEBA异常行为分析到IP信誉库,从攻击链到自动推理引擎再到人工智能。绿盟科技CTO赵粮博士通过几个例子,展示了TI威胁情报及AI人工智能的实践,利用生态防御方式对既有目标和未知目标攻击展开防御。智慧安全2.0战略下的生态防御是一种机制,它能够帮助防御团队了解威胁者所处的位置及攻击行为,进而可以让防护团队做出更准确的情报追踪。

威胁情报的消费过程也构成了新的“情报”,新的情报再次加入新的“消费”环节,这让威胁情报的用户和提供商一同构成了事实上的网络防护生态,这种“生态”能带给成员最为鲜活的威胁动态和动力,实现一种可持续的、可运营的知“彼”手段。

让我们回到Equifax的事情,如果安全运营团队知道Struts漏洞的情报,了解威胁快速增长曲线,而不只是一个简单的漏洞信息,相信他们会进行更好的决策及应对。

关于QCon


QCon全球开发者大会每年在全球数个国家及城市举行,46%的与会者是技术团队领导人及更高级别人群。此次参与QCon2017旧金山“安全攻击与防御”专场演讲的演讲者,还有Endgame安全公司CTO及漏洞研究负责人、百度安全实验室安全科学家、阿里云首席安全架构师、加州大学伯克利分校教授等。




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接