2020 CTIC 網絡安全分析與情報大會圓滿落幕
10月22日,為期兩天的2020 網絡安全分析與情報大會(以下簡稱 CTIC)圓滿落幕。CTIC 是中國威脅情報行業規模最大的國際性行業盛會,由北京微步在線科技有限公司主辦。微步在線是中國威脅情報行業的先行者和領軍者,也是唯一連續3次入選全球權威技術研究機構Gartner發布的《全球威脅情報市場指南》的中國公司。
自2017年起,CTIC已成功舉辦四屆。今年為積極響應疫情防控,大會以線上直播的方式舉行。本屆大會以“共生、共享、共進”為主題,邀請來自微軟、光大銀行、滴滴、Zendesk、京東、霧幟智能、微步在線等機構和企業的十余位專家同臺分享,探討情報驅動的威脅檢測與響應,以及情報賦能的智能化安全建設,暢談由此延伸出的實踐案例與行業展望。
微軟全球威脅情報中心總經理John Lambert表示安全人員可以基于社區為信息安全領域賦能,以公開的標準模型來加快信息安全建設的學習,即信息安全的“GitHub化”。一個強大的社區,結構清晰的知識體系,可落地執行的專有技術,以及可重復使用的分析方法,能夠提高學習網絡安全的速度。當一個全新的攻擊技巧被公布出來時,安全人員可以通過在Githubification 框架下分別做出力所能及的貢獻,迅速展開防御。如果所有組織機構都能貢獻自己特有的專業技能,并且通過借鑒其他企業的經驗進一步武裝自己,原先單打獨斗的信息安全人員就可以通過網絡效應形成合力,共同打擊入侵者。
光大銀行信息科技部安全處處長牟健君表示,現在安全形勢日益復雜,對于企業安全運維來說,攻防不對等、困難重重,所有的企業現在都在致力于建設一個偏動態的、主動的安全防御體系。被動防御和主動防御主要的差別就在于安全狩獵和威脅情報。威脅情報和態勢感知平臺結合,可以多維度對攻擊者的身份進行畫像,綜合研判我們的受威脅程度,來決定是否自動化或者人工來進行處置工作。牟健君希望行業間可以實現情報共享,更大地發揮情報的價值。
滴滴安全運營負責人秦波認為,情報是我們跟外部能力相互打通的一個重要的橋梁。在攻擊發生之前,通過情報來發現我們目前整個在互聯網暴露的資產面的不同形態下的一些脆弱性,并且做到快速的摸查、修復、加固;在攻擊正在發生的過程當中,情報作為一個重要的檢測手段,可以幫我們確鑿地去發現每一個攻擊的真實性,在整個過程中做到真實、有效和快速。
微步在線技術合伙人趙林林介紹了將會取代IDS的新一代流量檢測技術NDR(Network Detection and Response,網絡的檢測和響應)。與IDS相比,在威脅檢測方面,NDR檢測的有效性更好,覆蓋內容更多、范圍更廣,復雜度更多面。在威脅響應方面,NDR非常重視響應,并且把響應提升和檢測一樣的高度。這是IDS和NDR最大的區別。
國際安全響應聯盟(FIRST)前主席、現任 Zendesk CISO Maarten Van Horenbeeck 表示威脅情報與網絡安全事件響應二者之間具有緊密的聯系。網絡安全事件響應分為檢測事件、對其進行診斷、分析并最終做出響應。在事件響應周期的每一步,都有使用威脅情報的方法。我們還可以與合作伙伴或受害者分享我們從響應周期中獲得的信息,我們要設法實現自動化共享,確保我們共享的數據對其他組織發揮最大效用。
微步在線研究響應團隊負責人樊興華表示,企業經常會面臨數據泄露風險、漏洞攻擊活動,還有一些資產方面的風險,外部威脅已不容忽視,企業應建立外部威脅監控系統。微步在線外部威脅監控產品基于微步在線多年的基礎數據和情報數據的積累,幫助企業梳理域名、IP以及端口服務等網絡資產,發現潛在的安全風險和弱點。進一步幫助企業梳理目前已經泄露在Github、Gitee等代碼托管平臺的敏感信息以及網盤、暗網、黑客論壇、社交應用等渠道的數據泄露事件。目前該產品已經在服務金融、互聯網、政府等行業客戶,有效幫助了相關政企客戶發現潛在外部風險和威脅。
知名安全自媒體“安全小飛俠”作者王任飛介紹了當前云上威脅主要面臨的兩大場景:云上租戶問題和云平臺自身問題。隨后從方法論、量化度量及實踐思路三個層面分享了如何進行云上攻防實踐。王任飛表示,隨著越來越多的企業上云,云上的威脅必定會成為未來攻擊的主要趨勢,且攻擊會越來越復雜。安全人員要多從攻擊者視角去談防御重點,這樣能夠幫防守方確定投入ROI,也能夠確定未來工作的重點。
京東信息安全部架構師胡兆豐說威脅情報對網絡安全起到至關重要的作用。安全運營體系就是發現、止損、溯源、情報分析和監控,每一部分都會有情報的作用。通過情報分析才能驅動我們的防御體系,而且保證一個持續提升的過程。
霧幟智能CTO傅奎站在中小企業的角度介紹了如何輕松地、更加貼近實戰地去使用情報,來幫助企業加速安全事件的響應,提升企業整體安全能力防護水平。傅奎說,精準的情報加上自動化響應,能夠在幫助我們超越攻擊的速度和規模這條道路上走得更快、更遠。
當前,全球經濟正在進行數字化轉型,物聯網、云計算、大數據、5G、人工智能等新技術的應用也為企業和機構帶來了巨大機遇,但與此同時,網絡安全環境日益復雜多樣化,網絡風險也與日俱成為現實威脅。隨著“網絡安全法”、“等保2.0”、“關基”等的頒布實施,企業更加重視網絡安全合規、數據保護和業務安全,網絡安全防護正在從被動防御向威脅的主動檢測與響應演進,威脅情報已經成為企業和機構網絡安全防護的不可或缺的力量。2020年8月28日,威脅情報生產技術更是被列入到商務部、科技部發布的《中國禁止出口限制出口技術目錄》。
微步在線創始人、CEO薛鋒說,在過去五年內,威脅情報從陽春白雪的新技術,到等保合規的要求,甚至被列入國家出口限制的關鍵技術的名單,整個威脅情報行業取得巨大的進展和進步。威脅情報可以應用于很多產品和場景,不管是在態勢感知和日志型的方案里,還是在網絡流量檢測中(NDR),包括在終端的檢測中(EDR),威脅情報都發揮了決定性的作用,威脅情報是威脅檢測技術里面的靈魂。薛鋒還表示,情報檢測具有網絡效應,情報網絡會隨著更多用戶的加入和分享而不斷壯大,進而真正起到聯防的作用。
本屆大會上,來自金融、互聯網、人工智能、安全等領域的國內多位外安全專家表示,威脅情報已成功運用到安全運營的多個環節,加速了安全事件的發現和響應。同時,情報共享也正成為企業和機構安全運營的迫切需求。
