信息来源:比特网
近日,由安天实验室主办的“朔雪飞扬”第三届网络安全冬训营再次在冰城哈尔滨拉开帷幕。在这场以“情报的支撑 塔防的实践”为主要议题方向的盛会中,从网络安全的布局布控、对抗策略,到各个领域的最新安全技术分享,参会者在为期三天的培训中感受了一次网络安全的饕餮盛宴。
我们究竟面临怎样的网络空间威胁?
冬训营首日,主办方安天实验室首席技术架构师肖新光首先指出:在错综复杂的国际关系中,传统大国间的博弈与地缘安全态势的发展已投射到网络空间的安全威胁与态势之中。面对如此之高的网络地缘风险,以及来自多方面网络空间的威胁,不管是传统情报作业的延展,还是信息站的前奏准备,这一切都已与传统的博弈策略和手段融为一体。
而网络空间威胁的演进,也在随着互联网+向传统领域延伸,网络攻击也随着智能终端设备的增多而走向新的新兴领域。如今的安全威胁,正朝着纵深和泛化两个方向发展。
在实际情况中,我们所面临的攻击也从网络空间到实体空间无处不在:各种文档、各种外设设备都可以被用于进行攻击,连可信计算本身也同样会遭受攻击。网络安全已并非单点的防御所能够解决问题,仅仅强调“自主”也不能完全保证“可控”。
在此背景之下,高级持续性威胁(APT)则又为我们开启了新的威胁时代。这一威胁攻击多以国家和政治经济集团为背景发动,可以说,全世界主要国家均处在无处不在的APT 攻击之中。
而我国的情况则更为严峻,我们对于网络攻击威胁的认知乃是自斯诺登事件爆出后才意识到,而在实际的对于网络安全的认知中,我们同样存在一系列盲点,这其中包括:过多强调以隔离换取安全,忽略信息有效链接和整合是重要的安全手段;过多强调信息技术的自我短板, 不积极在安全环节上有效布防;过度强调主要对手的基础优势,缺乏对手攻击作业方式和作业路径的系统研判;过度看重网站安全,针对重要基础设施网络被入侵、信息被窃取的问题 投入甚少。对此肖新光认为:“对于互联网+ ,我们需要关注网络攻击带来的纵深挑战,需要关注对手的实际能力。”
不仅如此,而随着APT攻击的演进,被肖新光称之为“神一样对手”的A2PT攻击正逐渐呈现在我们眼前。A2PT攻击有充足的0day储备、高度模块化、经过了高级的加密和伪装、甚至可以通过人工植入和物流链劫持,具备持久化、模块化等特点。
除此之外,一些标准化的具有强大能力的商业化攻击平台开始不断涌现,这些攻击平台使用商业漏洞、商业木马、采用攻击平台进行投放,具备持续攻击能力,课覆盖主要操作系统。而这一攻击力强大的平台已被称之为“商业军火”。
应对:“情报的支撑”、“塔防的实践
面对如此严峻的网络空间安全威胁形势,肖新光指出:APT攻击是一种社会行为 , APT攻击 的防御不可能由任何单点的产品来完成,必须要有纵深防御的整个体系,而防御APT 攻击的核心思路就在于切断作业链。
同时,肖新光也强调:传统的安全产品和防御环节仍旧有其价值,而新的布防点也需要建立起来。总而言之,防御能力的提升将来自于安全思路转换、以及安全观的变革。即:从方法 上,需要从合规向能力型安全防御转化;从战略设计方面,要以治理为主导转向国内治理国际博弈双重的方向;从视野上,则要以边界为主导的安全观转化为点点皆边界的国土安全观。
而正如本次训练营的主题一样,“情报的支撑”、“塔防的实践”,这些都是应对当前威胁的重要手段和环节。
北京微步在线科技有限公司CEO薛峰首先明确了威胁情报的概念,即:“威胁情报≠社工库 黑产 谍报”。他强调:做威胁情报的基础能力是数据和分析。而数据的收集则需要包括商业情报、开源情报、 基础数据、众包情报等等;以及来自外部的DNS日志、DHCP日志 防火墙日志、各种日志等等。
那么,对于威胁情报而的收集而言,是不是数据越大就越好?对此薛峰表示:首先而言数据越大对威胁情报而言是有益处的,但并非只要数据越大就越好。这其中还关系到数据的质量、多样性、有效性、时效性以及时间的维度等等。
数据分析是重要的部分,薛峰特别强调:一个安全响应团队最重要的关键是分析师团队和能力是否强大。而威胁情报的落地则需要更多的考量威胁情报如何与现在的安全产品做结合。
薛峰表示:2016年将是威胁情报的元年,许多方案与产品将落地,届时我们将能看到于威胁情报相关的具体应用出现。对于这一点,我们也将充满期待。
另一方面,在传统的安全防御模式下,面对逐渐成体系化的攻击趋势,攻击阶段越来越多,甚至出现了“专业外包”攻击任务的现象,复杂的进攻已让传统的安全边界或网络隔离策略难以凑效。由此,前中油瑞飞技术总监黄晟提出,要抛弃“一招制敌”的幻想,利用塔防游戏中防守者的先发优势,不知好层层防线,综合利用多样化手段,让攻击者在防守者布局的环境中挣扎,以“塔防”模式依托纵深防御对抗攻击者的思路。
黄晟强调:“塔防”模式是一种基于失效的防御机制,即纵深的目的就是要考虑每一道防线都有可能被绕过,而我们的防线要有叠加效果,从而可以将前面防御不掉的在后面的防线中防御到。
此外,本次冬训营各讲师还就社会工程学攻击、恶意代码、移动安全、等热点话题进行了充分的分享。
编后:
在经历前两期分别以凛冬降至” 、“北风乍起”命名的网络安全冬训营后,本期网络安全冬训营以“朔雪飞扬”为题命名,似乎也彰显出当下网络安全的发展已进入一个新的阶段。
与以往安全圈往往偏重于技术讨论的各类研讨、培训活动有所差异的是,在本次网络安全冬训营中,有关信息安全战略、战术方面的内容同样成为重头戏。而这一点在近来安全圈的一系列活动中也已突显端倪。这说明,在国际网络空间安全威胁形势不断演进的当下,我们对于信息安全的认知正在全面拓展,在网络空间这一看不见硝烟的战场上,战略战术与好的技术支撑作为能否让我们在战争中运筹帷幄的关键,二者所占据的重要地位正在越来越多的被意识到和认同。
由此我们可以试想,在未来我们新的探索中,网络安全或许将迎来理论与技术齐头并进、共同发展的局面。网络安全威胁严峻的态势之风已呼啸而至,对信息安全从业者而言,接下来要做的,便是朔雪飞扬,迎接挑战。
