数字孪生浪潮奔涌而至,“一切皆可编程、万物均要互联、大数据驱动业务、软件定义一切”成为新数字的时代标签。以数字为主体的互联网边界得到实质性地延申与拓展,与此同时,网络空间的攻防对抗态势也逐步升级。
尤其随着国家级网络部队这一“大玩家”入局,网络主权、网络边疆、网络国防等新概念更是喷薄而出。如何在层层加码的高级别网络威胁之下,锻造严守网络空间安全防线的新质国防力,成为全球各国亟待书写的安全答卷。
风起云涌之中,2020年8月13日,ISC 2020“XDR分析检测”论坛重磅上线,聚焦数字孪生时代下的高级威胁检测,立足全球网络安全产业升级战略视野,探索新数字浪潮下的网络安全防御应对之策。
苹果资本合作人、全国信息网络安全协会专家委员、中关村天使投资理事胡洪涛,安天集团威胁情报部总监沈长伟,IEEE Fellow、浙江大学美国西北大学互联网安全联合实验室主任、杭州奇盾信息技术有限公司创始人陈焰,360公司PC安全产品事业部主动防御团队技术负责人何博,360企业安全高级安全攻防专家、360灵腾实验室成员冯作瞳等一众安全大咖,在本次论坛上围绕“从投资角度看XDR产品演进”、“威胁检测引擎—最强劲的威胁情报发动机”、“基于实时系统级攻击溯源的高级威胁检测”、“企业内网横向渗透检测和拦截实践”等主题,展开了战略级的巅峰对话。
“网络安全产业正进入指数型增长初级阶段”
苹果资本合作人、全国信息网络安全协会专家委员,中关村天使投资理事胡洪涛在演讲中,从投资的角度,历数端点安全检测产品的演进与XDR安全产品的未来发展。
他指出,随着世界从信息化到数字化的演进,企业面临着前所未有的网络安全风险。安全厂商们不断“推陈出新”,渴望通过新思路、新技术的应用,帮助企业抵御一切网络安全风险。
Windows+PC的传统互联网时代,EPP(端点保护平台)是政企事业单位安全防御的主力军。EPP集杀毒、钓鱼&间谍软件防护、HIDS、未经授权访问、数据安全防护等多种组合安全解决方案于一身,立足“网络威胁防御”理念,以单机工作模式,在病毒进入保护范围的第一时间拦截攻击。
移动互联网时代,网络安全产业渐成体系。不同于EPP的防御机制, EDR智能端点响应平台则聚焦网网络威胁监测,旨在为政企客户提供智能关联分析、威胁溯源、自动化响应解决方案。
而当时间轴移至当前的万物互联新时代,以数据采集监控和事件关联分析为核心的智能安全检测体系XDR应势而生,融合多端点、网络、服务器、应用等海量数据源,恰到好处地接壤大安全陆地。
从Windows+PC时代下的EPP,到移动互联网时代下的EDR,再到如今智能化万物互联浪潮中的XDR,安全产品发展的每一步都踏准了时代节拍。而其清晰发展脉络背后,是网络安全产业逐步升级的最好见证。胡洪涛认为,未来,网络安全产业或将进入指数级增长。
“威胁检测引擎——最强劲的威胁情报发动机”
就像汽车的发动机是汽车的核心动力来源一样,威胁检测引擎也是威胁检测产品核心鉴定能力的提供者。安天集团威胁情报部总监沈长伟在演讲中如是说。
他指出,通常情况下,威胁检测引擎会基于覆盖百亿样本的海量规则,以完整的预处理、 解析、丰富的检测方式,进行动态化载荷威胁检测。尽管其规则鲁棒性较强,但却并未实现成体系的知识化输出。
而威胁情报则是某种基于证据的知识。通过IOC规则来为高级威胁对抗提供更好的指向性,是当前威胁情报的常态化应用,但对超高能力且时刻变幻的网络空间威胁活动,诸如国家级网络攻击,IOC规则几乎无效。
面对这一局面,沈长伟认为,威胁检测引擎可通过开放情报承载能力,开放威胁情报输入、输出,在多种防御场景下,实现对高级威胁的发现、阻断与揭示,并以此生产抗变性的威胁情报,构建面向高级威胁的检测能力闭环。
“传统安全产品已无法有效防御高级持续威胁(APT)攻击”
近年来,高级持续威胁(APT)攻击愈演愈烈。通常,这类高级别黑客组织会利用远控RAT木马,配合社会工程学手段入侵目标系统并长期驻扎,进而通过键盘纪录、截图、录音等RAT木马功能持续侦察,以进行大规模情报窃取等恶意行为。
在这一过程中对APT攻击进行细粒度动态行为识别,态势感知、溯源分析是应对此类高级别网络攻击的重要手段。而传统安全产品如反病毒,网络侧的检测和沙箱已无法支撑上述系列威胁检测。
在此背景下,基于系统底层数据,可做到对威胁准确、快速、全面检测、监控和响应的EDR(终端检测与响应系统)是满足当下网络安全市场的最佳选择。
IEEE Fellow,浙江大学美国西北大学互联网安全联合实验室主任、杭州奇盾信息技术有限公司创始人陈焰认为,EDR 像人体的免疫系统一样,实时收集主机系统运行的数据,利用恶意程序和正常程序产生的大量、底层内核数据,使用机器学习方法找出恶意程序攻击行为模式(IOA)。
“严守内网防线,是APT攻击防御的重要一环”
在各类高级别APT攻击中,横向渗透是进入内网环境后,利用漏洞武器等手段扩大控制权、实现最终攻击目标的关键。对各政企事业单位来说,在这一过程中,及时发现和识别横向渗透行为,确定攻击范围和影响,并对其进行拦截和后续溯源,是应对APT攻击防御中的重要一环。
360公司PC安全卫士事业部主动防御团队技术负责人何博,360企业安全高级安全攻防专家、360灵腾实验室成员冯作瞳基于多年攻防经验,在“XDR威胁检测”论坛上,分享了如何通过网络侧、终端侧多维分析模型,利用网络流量、终端日志、机器学习,以及结合现有安全基础设施等手段,进行APT高级威胁攻击“企业内网横向渗透检测和拦截实践”。
‘
实战是检验真理的唯一标准。在该套安全检测方法论下,安全专家已累计处理169万条真实攻击数据,产出17.5万条IOC,成功归类171个家族、组织,在威胁之前准确预警大量僵尸网络、勒索病毒、漏洞攻击,并追踪溯源APT攻击多达40余起。
数字孪生大厦起,网络安全威胁至。随着全球数字化转型的加速,网络空间已成为国与国对抗的核心战场。而这其中,国家级APT攻击正是大国网络战的重要体现,其攻击目标更是涉及政治、经济、情报等多个重要板块。
而如何在这一战场中,掐准APT高阶威胁对抗的“七寸”命脉,赶在攻击来临之前,扭转对抗局面,守好数字孪生新阵地的安全防线,与危共存,履危而安,是值得当下每个安全厂商深思的问题。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )