0
2019年10月20日,成都世界信息安全大会隆重开幕。大会聚齐了全球知名的安全从业人士及用户企业,平安集团首席信息安全官陈建,阿里巴巴钉钉CRO张作裕,蚂蚁金服高级专家吴飞飞等业界大腕均隆重出席,一起对现阶段的信息安全问题进行探讨,堪称网络安全行业的一次盛会。
次日下午,应急响应、安全运营的分论坛如期开幕。Tenable中国区总经理赵阳、上海雾帜智能科技有限公司CTO傅奎、北京天际友盟信息技术有限公司CEO杨大路等业界大佬出席本次论坛。
会上,嘉宾通过六场演讲的方式围绕安全运营、威胁情报、溯源分析、事件分析等话题展开议题研讨,就现阶段企业的安全问题展开讨论,并分享相应解决方案。
出任此次大会“应急响应、安全运营”出品人的,是安恒信息首席安全官、高级副总裁刘志乐。会上,刘志乐就此次论坛主题发表致辞:“习总书记在全国网信工作会议上强调,要加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急联动处置,积极发展网络安全产业,做到端口前移,防患于未然。”
他表示,应急响应体系和技术作为网络安全防线中的关键节点,构成了保卫国民社会经济网络安全工作的重要组成,此次开办世界信息安全大会分论坛,是为了做好现阶段网络安全信息的建设,希望以此提升网络安全事件的应急处理能力。
另一方面,刘志乐强调要抓住7个关键字:威胁情报的共享。他表示,号召更多的人加入威胁情报的共享,一起探寻解决企业安全问题的方法,才能履行网安人的职测,真正做好铸造网络安全体系的工作。
当天下午的分论坛,几位业内大佬亲自上阵,与大家分享安全之道。在此,雷锋网就嘉宾讨论议题进行整理,并分享给大家。
议题一:工业控制系统网络安全防护的思考
李冰——国家信息安全技术研究中心原副主任
李冰认为,随着信息化快速发展,工业控制系统伴随互联网、物联网的发展呈现出高度融合的状态。这一方面提升了工业控制系统的智能化、信息化程度,另一方面也为保障其安全带来新的挑战。
研究发现,较多工控系统攻击的共同点在于攻击工具的智能化、攻击团体的政治化、攻击面积扩大化和攻击手段的跨学科化。由此可见,这种国家化、大规模、高持续性的攻击手段已经成为影响工业安全甚至国家安全的巨大隐患。
近几年,此类攻击事件更是不计其数,这也引起各个国家的高度重视。在国内,工控安全的保障主要体现在以下几点:
从标准研究的角度来讲,要加强制定工业控制系统安全指南,工业通信网络和系统安全,包括智能电网网络安全指南,还有核设施网络安全指南等。
从研究角度来讲,漏洞的挖掘和使用的规范化,高新网络安全技术向传统工控行业的渗透尤为重要;
从防护角度来讲,世界各大主流厂商都在做这方面的研究,像西门子、施奈德、多芬诺都在研究工控防火墙,都具有一系列的机制和技术。
从政策方面来讲,2017年盼望已久的网络安全法颁布,其中就强调了对关键信息基础设施进行保护,工控系统是网络安全当中非常重要的一类。
关键基础设施安全保护条例也在送审或者征求意见,工信部印制和制定了工业控制系统信息安全防护能力评估工作管理办法和工业控制系统信息安全行动计划;公安部制定了信息安全技术网络安全等级保护基本要求等等。
李冰表示,实际情况中,一个工控系统的工控软件,应该说是带有硬件特征的,其对应的安全应用开发就相对较困难,修复起来也不是特别容易,时间周期比较长。另外,有的业主对修复时使用的补丁存在疑虑,这一系列问题造成攻击不能及时被预防或制止。
解决上述问题,需要结合工控系统的可靠、连续、实时,具备分布性、系统性等特点。从技术防护、应急备用措施、全面安全管理三个方面开展网络安全工作,形成安全防护体系的立体结构,相互支撑、相互融合、动态关联,形成动态的三维立体结构。
议题二:国家级网络安全威胁情报共享的挑战与实践
何能强——国家互联网应急中心高级工程师
数据表明,2019年全球曝光的APT攻击事件共81起,涉及33个不同国家的APT组织。其中受攻击目标最多的是美国,其次是中东地区和中国。
何能强表示,针对政府组织、金融货币、企业和医疗机构的APT攻击十分常见,执行攻击的黑客组织其目的不一,有的希望借助网络攻击动摇政府地位,有的想在企业、机构制造混乱从中获利,更有甚者仅仅是为了炫技。
这些投机行为,与政治意图、利益挂钩,围绕漏洞、安全威胁等展开攻击,其本质都是对数据的窃取和利用,这就凸显出威胁情报共享的重要性。通过聚合、转换、分析、解释或丰富过程,提供决策过程必要背景的信息,正是威胁情报实现溯源原始数据、挖掘中间信息和收集情报的原理所在。
何能强称,其实数据是最容易获取的,但是在数据里边蕴含了很多信息,我们可以通过关联分析和解析处理拿到信息,但依托人工分析的有效信息在数量上难以匹敌数据总量,这时威胁情报的共享作为解决方案被越来越多的安全企业纳入其中。
信息共享是博弈的资本,当拦截攻击的最优方案变多,分析的成本、资源需求自然会增加,这种情况下威胁情报共享可以保证在最高的性价比情况下得到最优解。本质上,网络安全工作围绕的核心是恶意代码(包括文件MD5、SHA256等)和钓鱼网站的数据分析过程。采用一对多的方式进行资源置换、分析结果的共享,可以极大程度增加可用数据容量。
议题三:Tenable怎么看待企业的安全防线
赵阳——Tenable中国区总经理
Tenable公司通过与索尼、宝马等大型企业交流后发现,现在的网络攻击不只是侵占一台主机获取用户的信息,已经开始转变攻击角度,从传统一对一和点对点的攻击,变成了横向传播攻击的模式。
横向攻击的特点是,能看出漏洞,但是漏洞的数量庞大,当找出漏洞时,已经没有可以修复的时间了,所以,做好漏洞管理,是企业后期最应该改进的重大问题。
Tenable公司在进入中国市场后,还发现用户在修复漏洞遇到的三个问题:第一是用户不能全面掌握企业面临的漏洞风险,第二是漏洞出现的太多,没有多余的时间能进行修补,第三是用户分不清PC是服务器还是数据库,不能掌握风险的处理能力,不利于安全防线工作的进行。
针对此问题,Tenable公司提出可以通过攻击的数据对漏洞进行判断,制定不同的维度,然后进行不同的评分和研究,做好企业安全防线的工作。
议题四:打造无人值守的安全运营中心
傅奎——上海雾帜智能科技有限公司CTO
傅奎指出,目前很多企业已经实现50%的无人值守,通过自身在一线处置安全事件总结经验,了解到客户需要什么样的产品,也清楚安全公司能提供什么产品和技术。
傅奎认为将两者结合起来,才能真正做到安全防御,将安全事件的处理能力变得有弹性,不仅能提高处理速度,还能在大部分情况下,无需人工干预便能完成整个安全事件的处理。
傅奎一直热衷于研究无人值守的安全中心,经过常年的研究,得出两个结论,首先通过一些安全编排的方式,实现对IACD里边所谓自适应网络的落地。
然后,因为机械有固定的工作模式,不会由于人工的情绪或烦恼而变化,通过进行标准化设定,就能让每个环节进行对应的工作,无需人工值守,都做好安全防御工作,更适合安全工作的开展。
议题五:基于可信线索挖掘的威胁狩猎
张润滋——绿盟科技高级安全研究员
张润滋提出,绿盟科技一直致力于在信任的基础上挖掘威胁狩猎的线索,对研究工作进行创新。主动出击分析线索,创新思路,找出拦截威胁的方法,并进行自动化的分析。
比如,绿盟科技检测的Webshell流量,根据Webshell利用攻击者的漏洞,通过本地的脚本或者工具,然后对攻击的主机进行命令执行或者操控,然后进行抓取分析,得出结果。
最后,威胁狩猎或者威胁分析的过程并不是全部安全的,也会出现问题,主要是随着工作的进行,人力不能完成全自动的分析流程,所以,通过威胁狩猎研究线索时,一定要在研究过程中不断提升数据的信任度,并充分运用到实践中,才能发挥人工系统的优势和能力,找到安全信息隐患,进行修复。
议题六:数字品牌保护,一种业务安全的主动防御实践
杨大路——北京天际友盟信息技术有限公司CEO
杨大路提出,除了前几位讲到的漏洞、攻击事件等等常见的网络安全事件以外,企业还面临其他攻击威胁,当企业的主页和业务被攻击后,将会出现一系列的欺诈、仿冒和盗版链接等等,当不明真相的人们上当受骗后,将严重影响企业的声誉,比如电影《我爱我的祖国》,刚上映就出现了盗版的资源等。
随后,杨大路通过Gartner的案例进一步说明企业被泄露数据后,需要提高数字品牌保护,才能做好企业的信息安全工作。杨大路还提出利用自由攻击时间的概念,就是在遭受攻击之前,企业就要先做好品牌资产的管理和能力建设,持续优化品牌的资产,积极引入搜索引擎、一些威胁情报、第三方数据接口等,提前发现风险,做好数字品牌保护工作。
最后,杨大路表示,对数字品牌进行保护工作,这是一种新的防范手段,更是主动出击、主动防御的一种新思路。
结语
“应急响应、安全运营”分论坛,因为网安界大佬赵阳、傅奎、张润滋和杨大路等人的加盟,不仅为分论坛添砖加瓦,还让整个论坛氛围显得更加精彩、融洽。
通过整个议题来看,主要包括降低企业安全风险,打造无人值守的安全运营中心,基于可信线索挖掘的威胁狩猎,数字品牌保护是业务安全的主动防御实践四个大议题。各位业界大佬亲身上阵,言传身教,通过数据和事件分析,积极为企业找寻处理安全问题的最佳方法。
此次世界信息安全大会可谓是八仙过海,各显神通,场面空前盛大。相信通过此次大会打造的安全会议品牌,以后的世界信息安全大会更会带来不一样的新局面、新气象,现在雷锋网已经开始翘首以盼明年的世界信息安全大会了。
本次分论坛后,刘志乐总结道“网络安全任重道远,需要各界人士一起携手并进,做好网络安全工作,这才是所有网安从业者的本职。”
雷锋网雷锋网雷锋网
雷峰网原创文章,未经授权禁止转载。详情见转载须知。