8月12日�����,由“網(wǎng)安一哥”奇安信牽頭主辦的北京網(wǎng)絡(luò)安全大會(huì)(以下簡(jiǎn)稱BCS 2020)步入第五天議程。當(dāng)日下午召開的企業(yè)安全運(yùn)營(yíng)實(shí)踐論壇�,邀請(qǐng)到了奇安信網(wǎng)絡(luò)安全部大數(shù)據(jù)平臺(tái)負(fù)責(zé)人鄧小剛、滴滴安全專家劉瀟鋒��、騰訊安全平臺(tái)部總監(jiān)胡珀����、京東安全首席架構(gòu)師耿志峰、安全小飛俠王任飛等國(guó)內(nèi)安全專家�����,圍繞安全運(yùn)營(yíng)及實(shí)戰(zhàn)攻防場(chǎng)景下如何有效制定風(fēng)險(xiǎn)防范對(duì)策�����,帶來網(wǎng)絡(luò)安全方面的前沿觀點(diǎn)和真知灼見�����。
面對(duì)黑產(chǎn)攻擊��,只有防御是遠(yuǎn)遠(yuǎn)不夠的�����,耿志峰認(rèn)為,“被攻擊者應(yīng)主動(dòng)發(fā)現(xiàn)弱點(diǎn)并正視它�,從黑產(chǎn)的角度對(duì)其進(jìn)行對(duì)抗和反制。在研究并摸清黑產(chǎn)的目標(biāo)后�,要讓黑產(chǎn)的利用點(diǎn)失效,對(duì)它進(jìn)行一系列迷惑行為��,從源頭進(jìn)行打擊����。”他表示��,安全的本質(zhì)就是對(duì)抗��,在與黑產(chǎn)的對(duì)抗中�����,企業(yè)自身首先要做到合法合規(guī)����,同時(shí)注意不要輕易中攻擊方的圈套,對(duì)自身安全信息要時(shí)刻保持嚴(yán)密的守護(hù)�����。
“SOAR是一系列技術(shù)的合集,它能夠幫助企業(yè)和組織收集安全運(yùn)營(yíng)團(tuán)隊(duì)監(jiān)控到的各種信息����,在對(duì)安全系統(tǒng)的警告發(fā)生后對(duì)其進(jìn)行診斷和分析。” 劉瀟鋒認(rèn)為���,“通過SOAR自動(dòng)的調(diào)用能力����,可將后臺(tái)數(shù)據(jù)收集到的IOC信息進(jìn)行動(dòng)態(tài)檢測(cè)�,實(shí)現(xiàn)證據(jù)收集,而后通過溯源關(guān)聯(lián)分析實(shí)現(xiàn)告警事件的上下文相關(guān)聯(lián)事件的聚合�,進(jìn)而完成一次告警事件的檢測(cè)與響應(yīng)的流程。SOAR為企業(yè)提供了更高層次的安全保障��。”
圍繞第二類平臺(tái)如何收集和處理海量的安全日志問題�,鄧小剛進(jìn)行了詳細(xì)的分析。他認(rèn)為�,“日志的采集過程需要進(jìn)行一次轉(zhuǎn)換,讓接收人可以讀懂日志內(nèi)容��。在可讀懂的前提下�,再對(duì)日志進(jìn)行分析,把相應(yīng)的代碼的倉(cāng)庫(kù)、地址����、帳號(hào)等信息富化,通過過濾����、轉(zhuǎn)化、富化形成一套日志規(guī)范化操作理論����,在該套操作的支撐下����,目前奇安信原始日志采集能力約是12萬/24小時(shí),服務(wù)已形成良好閉環(huán)�。”
王任飛認(rèn)為,“眼下的當(dāng)務(wù)之急是在于攻擊技術(shù)知識(shí)點(diǎn)的知識(shí)庫(kù)的建設(shè)�����,需要對(duì)其深入學(xué)習(xí)����,進(jìn)行情報(bào)驅(qū)動(dòng)、洞研究型并模擬攻擊場(chǎng)景,通過攻擊點(diǎn)�、線的結(jié)合來推導(dǎo)出攻防中的面和體。未來��,企業(yè)所面對(duì)的威脅形態(tài)和攻擊形態(tài)更多在云上�,企業(yè)應(yīng)優(yōu)先考慮信息威脅對(duì)云產(chǎn)生的影響,從而進(jìn)行技術(shù)手段的優(yōu)化�����。”
另一位來自奇安信集團(tuán)的網(wǎng)絡(luò)安全部威脅狩獵總監(jiān)陳然���,也就提升安全運(yùn)營(yíng)檢測(cè)規(guī)則能力的問題����,向大家分享了工作經(jīng)驗(yàn)����。陳然指出,“整個(gè)檢測(cè)流程中包含特征字符串的匹配�、注冊(cè)表項(xiàng)、鍵值變動(dòng)�����、進(jìn)程服務(wù)特征以及敏感操作幾個(gè)重要的檢測(cè)點(diǎn),它們象征一些惡意行為�。規(guī)則與模型兩種檢測(cè)辦法相輔相成,利用規(guī)則可以快速��、高效的完成檢測(cè)��,而模型在一定程度上具備發(fā)現(xiàn)未知的能力����,二者結(jié)合形成攻擊鏈路上的一條鈴鐺,鈴鐺足夠多時(shí)�,攻擊者在真實(shí)戰(zhàn)場(chǎng)中便無處可逃。”
論壇的最終環(huán)節(jié)��,江湖人稱CEO的胡珀發(fā)表了題為《運(yùn)營(yíng)為王����,安全運(yùn)營(yíng)理論與實(shí)踐》的主題演講�。胡珀認(rèn)為,安全運(yùn)營(yíng)的八字核心為“小步快跑���、快速迭代”�,而不斷推進(jìn)安全風(fēng)險(xiǎn)的梳理過程便是運(yùn)營(yíng)��。此外,安全運(yùn)營(yíng)擁有三大價(jià)值�����,即系統(tǒng)盤活�、策略優(yōu)化與重點(diǎn)調(diào)整。胡珀強(qiáng)調(diào)����,目前,安全運(yùn)營(yíng)有著明確的衡量指標(biāo)����,分別是覆蓋率、效率和���、誤報(bào)率�。而基于多年經(jīng)驗(yàn)胡珀也分享了自身的運(yùn)營(yíng)策略����,他表示,“我們需要優(yōu)先做好高級(jí)端的管控策略�,再把整個(gè)的系統(tǒng)結(jié)構(gòu)變成Web漏洞,同時(shí)收窄為Web漏洞的檢測(cè)防護(hù)和Web的檢測(cè)����,進(jìn)而逐步解決安全風(fēng)險(xiǎn)�����,利用集中優(yōu)勢(shì)把安全風(fēng)險(xiǎn)變?yōu)榭煽亍?rdquo;
本次企業(yè)安全運(yùn)營(yíng)實(shí)踐論壇��,通過業(yè)內(nèi)大咖多個(gè)實(shí)際案例的分享����,為企業(yè)提供了面對(duì)黑產(chǎn)的攻防方法論�。論壇的成功舉辦為眾多企業(yè)在未來構(gòu)建自身網(wǎng)絡(luò)安全防御體系提供了新思想,拓寬了網(wǎng)絡(luò)安全防御工作中的視野��,同時(shí)也為所有從業(yè)者提供了展示研究成果并互相交流的舞臺(tái)�����。據(jù)悉�,BCS 2020將為期10天����,敬請(qǐng)持續(xù)關(guān)注后續(xù)精彩內(nèi)容!
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息�,并不代表本網(wǎng)贊同其觀點(diǎn)�。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)����,對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性����、完整性、及時(shí)性本站不作任何保證或承諾��,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容��。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任���。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益�,請(qǐng)及時(shí)聯(lián)系我們��,本站將會(huì)在24小時(shí)內(nèi)處理完畢��。
