0
2019年10月20日,成都世界信息安全大會隆重開幕。大會聚齊了全球知名的安全從業人士及用戶企業,平安集團首席信息安全官陳建,阿里巴巴釘釘CRO張作裕,螞蟻金服高級專家吳飛飛等業界大腕均隆重出席,一起對現階段的信息安全問題進行探討,堪稱網絡安全行業的一次盛會。
次日下午,應急響應、安全運營的分論壇如期開幕。Tenable中國區總經理趙陽、上海霧幟智能科技有限公司CTO傅奎、北京天際友盟信息技術有限公司CEO楊大路等業界大佬出席本次論壇。
會上,嘉賓通過六場演講的方式圍繞安全運營、威脅情報、溯源分析、事件分析等話題展開議題研討,就現階段企業的安全問題展開討論,并分享相應解決方案。
出任此次大會“應急響應、安全運營”出品人的,是安恒信息首席安全官、高級副總裁劉志樂。會上,劉志樂就此次論壇主題發表致辭:“習總書記在全國網信工作會議上強調,要加強網絡安全信息統籌機制、手段、平臺建設,加強網絡安全事件應急聯動處置,積極發展網絡安全產業,做到端口前移,防患于未然。”
他表示,應急響應體系和技術作為網絡安全防線中的關鍵節點,構成了保衛國民社會經濟網絡安全工作的重要組成,此次開辦世界信息安全大會分論壇,是為了做好現階段網絡安全信息的建設,希望以此提升網絡安全事件的應急處理能力。
另一方面,劉志樂強調要抓住7個關鍵字:威脅情報的共享。他表示,號召更多的人加入威脅情報的共享,一起探尋解決企業安全問題的方法,才能履行網安人的職測,真正做好鑄造網絡安全體系的工作。
當天下午的分論壇,幾位業內大佬親自上陣,與大家分享安全之道。在此,雷鋒網就嘉賓討論議題進行整理,并分享給大家。
議題一:工業控制系統網絡安全防護的思考
李冰——國家信息安全技術研究中心原副主任
李冰認為,隨著信息化快速發展,工業控制系統伴隨互聯網、物聯網的發展呈現出高度融合的狀態。這一方面提升了工業控制系統的智能化、信息化程度,另一方面也為保障其安全帶來新的挑戰。
研究發現,較多工控系統攻擊的共同點在于攻擊工具的智能化、攻擊團體的政治化、攻擊面積擴大化和攻擊手段的跨學科化。由此可見,這種國家化、大規模、高持續性的攻擊手段已經成為影響工業安全甚至國家安全的巨大隱患。
近幾年,此類攻擊事件更是不計其數,這也引起各個國家的高度重視。在國內,工控安全的保障主要體現在以下幾點:
從標準研究的角度來講,要加強制定工業控制系統安全指南,工業通信網絡和系統安全,包括智能電網網絡安全指南,還有核設施網絡安全指南等。
從研究角度來講,漏洞的挖掘和使用的規范化,高新網絡安全技術向傳統工控行業的滲透尤為重要;
從防護角度來講,世界各大主流廠商都在做這方面的研究,像西門子、施奈德、多芬諾都在研究工控防火墻,都具有一系列的機制和技術。
從政策方面來講,2017年盼望已久的網絡安全法頒布,其中就強調了對關鍵信息基礎設施進行保護,工控系統是網絡安全當中非常重要的一類。
關鍵基礎設施安全保護條例也在送審或者征求意見,工信部印制和制定了工業控制系統信息安全防護能力評估工作管理辦法和工業控制系統信息安全行動計劃;公安部制定了信息安全技術網絡安全等級保護基本要求等等。
李冰表示,實際情況中,一個工控系統的工控軟件,應該說是帶有硬件特征的,其對應的安全應用開發就相對較困難,修復起來也不是特別容易,時間周期比較長。另外,有的業主對修復時使用的補丁存在疑慮,這一系列問題造成攻擊不能及時被預防或制止。
解決上述問題,需要結合工控系統的可靠、連續、實時,具備分布性、系統性等特點。從技術防護、應急備用措施、全面安全管理三個方面開展網絡安全工作,形成安全防護體系的立體結構,相互支撐、相互融合、動態關聯,形成動態的三維立體結構。
議題二:國家級網絡安全威脅情報共享的挑戰與實踐
何能強——國家互聯網應急中心高級工程師
數據表明,2019年全球曝光的APT攻擊事件共81起,涉及33個不同國家的APT組織。其中受攻擊目標最多的是美國,其次是中東地區和中國。
何能強表示,針對政府組織、金融貨幣、企業和醫療機構的APT攻擊十分常見,執行攻擊的黑客組織其目的不一,有的希望借助網絡攻擊動搖政府地位,有的想在企業、機構制造混亂從中獲利,更有甚者僅僅是為了炫技。
這些投機行為,與政治意圖、利益掛鉤,圍繞漏洞、安全威脅等展開攻擊,其本質都是對數據的竊取和利用,這就凸顯出威脅情報共享的重要性。通過聚合、轉換、分析、解釋或豐富過程,提供決策過程必要背景的信息,正是威脅情報實現溯源原始數據、挖掘中間信息和收集情報的原理所在。
何能強稱,其實數據是最容易獲取的,但是在數據里邊蘊含了很多信息,我們可以通過關聯分析和解析處理拿到信息,但依托人工分析的有效信息在數量上難以匹敵數據總量,這時威脅情報的共享作為解決方案被越來越多的安全企業納入其中。
信息共享是博弈的資本,當攔截攻擊的最優方案變多,分析的成本、資源需求自然會增加,這種情況下威脅情報共享可以保證在最高的性價比情況下得到最優解。本質上,網絡安全工作圍繞的核心是惡意代碼(包括文件MD5、SHA256等)和釣魚網站的數據分析過程。采用一對多的方式進行資源置換、分析結果的共享,可以極大程度增加可用數據容量。
議題三:Tenable怎么看待企業的安全防線
趙陽——Tenable中國區總經理
Tenable公司通過與索尼、寶馬等大型企業交流后發現,現在的網絡攻擊不只是侵占一臺主機獲取用戶的信息,已經開始轉變攻擊角度,從傳統一對一和點對點的攻擊,變成了橫向傳播攻擊的模式。
橫向攻擊的特點是,能看出漏洞,但是漏洞的數量龐大,當找出漏洞時,已經沒有可以修復的時間了,所以,做好漏洞管理,是企業后期最應該改進的重大問題。
Tenable公司在進入中國市場后,還發現用戶在修復漏洞遇到的三個問題:第一是用戶不能全面掌握企業面臨的漏洞風險,第二是漏洞出現的太多,沒有多余的時間能進行修補,第三是用戶分不清PC是服務器還是數據庫,不能掌握風險的處理能力,不利于安全防線工作的進行。
針對此問題,Tenable公司提出可以通過攻擊的數據對漏洞進行判斷,制定不同的維度,然后進行不同的評分和研究,做好企業安全防線的工作。
議題四:打造無人值守的安全運營中心
傅奎——上海霧幟智能科技有限公司CTO
傅奎指出,目前很多企業已經實現50%的無人值守,通過自身在一線處置安全事件總結經驗,了解到客戶需要什么樣的產品,也清楚安全公司能提供什么產品和技術。
傅奎認為將兩者結合起來,才能真正做到安全防御,將安全事件的處理能力變得有彈性,不僅能提高處理速度,還能在大部分情況下,無需人工干預便能完成整個安全事件的處理。
傅奎一直熱衷于研究無人值守的安全中心,經過常年的研究,得出兩個結論,首先通過一些安全編排的方式,實現對IACD里邊所謂自適應網絡的落地。
然后,因為機械有固定的工作模式,不會由于人工的情緒或煩惱而變化,通過進行標準化設定,就能讓每個環節進行對應的工作,無需人工值守,都做好安全防御工作,更適合安全工作的開展。
議題五:基于可信線索挖掘的威脅狩獵
張潤滋——綠盟科技高級安全研究員
張潤滋提出,綠盟科技一直致力于在信任的基礎上挖掘威脅狩獵的線索,對研究工作進行創新。主動出擊分析線索,創新思路,找出攔截威脅的方法,并進行自動化的分析。
比如,綠盟科技檢測的Webshell流量,根據Webshell利用攻擊者的漏洞,通過本地的腳本或者工具,然后對攻擊的主機進行命令執行或者操控,然后進行抓取分析,得出結果。
最后,威脅狩獵或者威脅分析的過程并不是全部安全的,也會出現問題,主要是隨著工作的進行,人力不能完成全自動的分析流程,所以,通過威脅狩獵研究線索時,一定要在研究過程中不斷提升數據的信任度,并充分運用到實踐中,才能發揮人工系統的優勢和能力,找到安全信息隱患,進行修復。
議題六:數字品牌保護,一種業務安全的主動防御實踐
楊大路——北京天際友盟信息技術有限公司CEO
楊大路提出,除了前幾位講到的漏洞、攻擊事件等等常見的網絡安全事件以外,企業還面臨其他攻擊威脅,當企業的主頁和業務被攻擊后,將會出現一系列的欺詐、仿冒和盜版鏈接等等,當不明真相的人們上當受騙后,將嚴重影響企業的聲譽,比如電影《我愛我的祖國》,剛上映就出現了盜版的資源等。
隨后,楊大路通過Gartner的案例進一步說明企業被泄露數據后,需要提高數字品牌保護,才能做好企業的信息安全工作。楊大路還提出利用自由攻擊時間的概念,就是在遭受攻擊之前,企業就要先做好品牌資產的管理和能力建設,持續優化品牌的資產,積極引入搜索引擎、一些威脅情報、第三方數據接口等,提前發現風險,做好數字品牌保護工作。
最后,楊大路表示,對數字品牌進行保護工作,這是一種新的防范手段,更是主動出擊、主動防御的一種新思路。
結語
“應急響應、安全運營”分論壇,因為網安界大佬趙陽、傅奎、張潤滋和楊大路等人的加盟,不僅為分論壇添磚加瓦,還讓整個論壇氛圍顯得更加精彩、融洽。
通過整個議題來看,主要包括降低企業安全風險,打造無人值守的安全運營中心,基于可信線索挖掘的威脅狩獵,數字品牌保護是業務安全的主動防御實踐四個大議題。各位業界大佬親身上陣,言傳身教,通過數據和事件分析,積極為企業找尋處理安全問題的最佳方法。
此次世界信息安全大會可謂是八仙過海,各顯神通,場面空前盛大。相信通過此次大會打造的安全會議品牌,以后的世界信息安全大會更會帶來不一樣的新局面、新氣象,現在雷鋒網已經開始翹首以盼明年的世界信息安全大會了。
本次分論壇后,劉志樂總結道“網絡安全任重道遠,需要各界人士一起攜手并進,做好網絡安全工作,這才是所有網安從業者的本職。”
雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
