近日,作為第九屆互聯網安全大會(ISC 2021)技術日分論壇之一的 “新型網絡威脅檢測的應用與實戰論壇”成功舉辦。本次分論壇邀請到了業內權威技術領導和安全專家,從技術和方案實踐出發,分享各自在XDR體系下的獨門秘籍,包括對抗技術創新、AI等技術應用、關鍵能力構建、XDR生態構建、多場景實踐等海量實戰經驗,幫助企業提升網絡攻防對抗能力。
(中國信息安全測評中心技術處處長、今朝網絡安全眾測委員會秘書長吳潤浦)
中國信息安全測評中心技術處處長、今朝網絡安全眾測委員會秘書長吳潤浦為本次論壇致辭時表示,數字化浪潮下,全球網絡正在遭受前所未有的網絡攻擊威脅,網絡安全比以往任何時候都有可能對國家安全造成嚴重威脅,維護國家網絡安全迫切需要網安企業、研究機構、科研院所等創新檢測技術、檢測方法、檢測模式,提升檢測效率、檢測精度、檢測能力和響應速度,構建新一代網絡安全防御體系。XDR應時代需求而生,是網絡防御的發展趨勢和方向。網安企業應順勢而為,攜起手來掌握和突破其中的關鍵技術,破解落地應用過程中的難題和挑戰,助推XDR解決方案的推廣和應用。360公司構建出強大的XDR解決方案,堅信在未來的攻防對抗中一定能夠不斷發揮關鍵作用,成為國家網絡安全防御體系中不可逾越的一道安全屏障。
(國家信息中心信息與網絡安全部政務外網安全監測處主任張濤)
“網絡安全監測是第一道防線,沒有發現就沒有防御,攻防雙方的對抗在技術上就是看見與看不見的博弈。”國家信息中心信息與網絡安全部政務外網安全監測處主任張濤在作題為《國家電子政務外網威脅監測實踐》的分享時表示。近年來政務行業信息化架構的變化,推動政務網絡安全需求的變化,如何有效應對政務網絡安全的新變革,需要以監測預警為抓手,對于信息資產進行全面監測,實時發現攻擊危險,識別脆弱性,檢驗安全機制,發現問題及時預警,準確把握全網、全域、全業務網絡安全風險發生的規律、動向、趨勢。張濤說:“結合我國政務行業的特點,網絡安全法律法規要求,我們提出MWDCA網絡安全動態模型,模型由安全監測預警通報、響應處置、監督檢查、持續改進五個環節組成。”
(360政企安全集團終端安全技術總監秦光遠)
APT攻擊影響日趨嚴重,XDR作為APT發現的重要手段,受到眾多安全廠商和客戶的青睞。360政企安全集團終端安全技術總監秦光遠作了《從XDR攻防對抗視角談技術創新》的主旨演講,講述了XDR產品中主流的信息采集方案及攻擊繞過方法,并介紹基于 ILSVM 虛擬機的新一代可靠信息采集技術。明確說明了端點數據在XDR中的關鍵性,端是一切事情發生的根源,深入淺出的為大家講解了ETW探針的缺陷、KPP的影響以及EDR的繞過技術。同時引入了新技術下EDR探針,例如使用ROP攻擊SMEP行為的輕型探測器等。
(360政企安全集團威脅感知部安全架構資深專家李斌)
360政企安全集團威脅感知部安全架構資深專家李斌帶來了《NDR的關鍵能力和場景應用》的分享,并從NDR的概念及方案優勢、NDR關鍵技術能力和在不同場景下的應用等三方面進行了闡述。360NDR與傳統解決方案相比在威脅檢測、協議還原、響應處置方面具備優越性。在已知威脅和未知威脅的檢測中,使用機器學習,深度學習的方式去應對不斷變化的新威脅,如隨機森林,DBSCAN聚類算法,圖算法等等。
在企業的場景應用中,李斌說:“360NDR不僅能夠快速集成云端的能力,同時也可以通過插件式的集成企業用戶自身安全團隊的威脅檢測模型,更加的貼切用戶自身的安全架構業務。”并且針對新漏洞的產生,能夠通過訂閱推送的方式,使NDR集成新檢測規則或引擎,按照內置的威脅劇本進行回溯,不斷的發現新的高級威脅。
(360政企安全集團研發中心產品經理陳文濤)
360公司是如何構建基于安全大腦生態的XDR解決方案,并在實網攻防場景下應用,360政企安全集團研發中心產品經理陳文濤作了題為《實網攻防場景下的360本地安全大腦XDR構建》的演講。他介紹說,實網攻防場景下,攻擊技戰術發生了變化,攻擊烈度更高、隱秘性更強、速度更快以及傳統防護體系失效,對XDR解決方案提出了更高需求。360公司XDR解決方案通過一系列的探針,除了獲取告警外,同時采集全部的打點數據,真正的實現了對威脅的全面可視性,為后續對威脅的檢測、響應提供了基礎。更為重要的是,360攻防知識圖譜驅動了XDR解決方案的有效落地。
(貝殼找房平臺安全部負責人章華鵬)
貝殼找房平臺安全部負責人章華鵬結合自身業務作了題為《面向新居住產業的威脅分析及對抗實踐》的演講。貝殼找房房產交易服務平臺在全國有超過100家辦公職場,數萬家線下作業門店和數十萬作業電腦終端;如此龐大和復雜的網絡辦公空間和節點,每天都面臨著各種各樣的網絡威脅,這些威脅有來自網絡攻擊的、也有來自商業競爭導致的黑灰產攻擊。他指出,房源、客源等信息作為貝殼商業生態中的關鍵信息,成為平臺的核心保護對象,分布全國的辦公場所及門店的電腦終端是“勒索”“挖礦”攻擊的主要目標對象。基于這些威脅,貝殼進行了威脅對抗實踐,對抗的本質在于對規則的維護,最終達到解決行業在實際生產過程中生態安全問題的目的,并闡述了關于新居住產業的未來,是如何通過威脅對抗提升行業生態健康的。
(北京金睛云華科技有限公司技術總監富吉祥)
“目前,互聯網70%的流量為加密流量,通過傳統的手段很難去識別這種加密流量,因此缺少高級威脅的關鍵線索將影響XDR方案效果。”北京金睛云華科技有限公司技術總監富吉祥在《人工智能技術在XDR中的應用實踐》的分享中表示。人工智能技術可以有效應用到XDR領域,涉及構建基于人工智能驅動的高級威脅檢測分析能力,如檢測惡意加密流量、DGA域名、隱蔽隧道等傳統特征檢測手段無法檢測的異常網絡行為,同時可以使用智能算法結合知識圖譜技術,實現對資產、情報和海量威脅事件的關聯分析,完成高級威脅事件發現和網絡攻擊溯源可視化。特別是針對惡意流量的識別首先可以通過多種途徑收集惡意加密流量來源,其次對惡意加密流量的數據進行預處理,然后進行特征提取、數據降維分析、最后進行模型學習與效果檢測。
新技術、新場景、新戰術,將會帶來新型網絡威脅,越來越多的企業需要構建自身的高級威脅檢測能力,XDR擴展檢測與響應已經被業界公認為,能夠解決新型網絡威脅攻擊或者高級網絡威脅發現的重要手段和解決方案。此次ISC 2021新型網絡威脅檢測的應用與實戰論壇為業界搭建了技術交流與分享的平臺,向行業輸出了更多前瞻觀點,以滿足網絡安全行業的發展需要。
