【51CTO.com原創(chuàng)稿件】1月，是哈爾濱每年最寒冷的月份，也是安天網(wǎng)絡安全冬訓營與安全圈內(nèi)眾人踐約相見的日子。2017年1月6日至7日，第四屆網(wǎng)絡安全冬訓營在哈爾濱召開。此前三屆冬訓營分別以“凜冬將至”、“北風乍起”、“朔雪飛揚”為營語，本屆冬訓營延續(xù)了之前三屆的特色命名方式，以“冰峰屹立”作為營語，圍繞“有效防護，價值輸出”的主題展開。

[[181328]]

　　在這兩天冬訓營會場，安天與來自全國的專家、用戶、網(wǎng)絡安全從業(yè)者、一線工程師們一起探討了安全檢測、分析、防御技術以及大數(shù)據(jù)和威脅情報資源如何轉(zhuǎn)化為真正有效的用戶側(cè)能力，如何更好地驅(qū)動全網(wǎng)威脅追溯、有效止損和繞前防御。研討針對面向資產(chǎn)價值防護的威脅解決方案、端點防御的新技術工程實現(xiàn)、探索沙箱向威脅情報的可靠輸出、介紹流量分析視角的安全服務模式等。來自部隊、軍工、能源、交通、金融、運營商等領域的專家、用戶近500人參加了本屆冬訓營。

　　重回出發(fā)之地

　　在開放式技術報告中，安天創(chuàng)始人、首席技術架構(gòu)師肖新光發(fā)表了題為《重回出發(fā)之地——高級威脅對抗的若干思考》的主題報告。

[[181329]]

　　他在現(xiàn)場分析了高級威脅的現(xiàn)狀與起源以及與信息化演進發(fā)展間的關系，關鍵信息基礎設施防護所面對的挑戰(zhàn)。他表示，“最終我們的防御能力要由攻擊者和窺視者來檢驗。”

　　肖新光還以反病毒、沙箱和白名單三個技術點的起源、發(fā)展和價值解讀了如何達成真正有效的安全能力。“安天在后續(xù)發(fā)展中，將以可靠的檢測、分析能力為基礎，深度賦能客戶，協(xié)助客戶建立難以被攻擊者預測的差異化能力和專有化的安全經(jīng)驗。”他進一步解讀到，安天人所說的“智者.安天下”中的智者，不是指安天人自己，安天只是扮演能力輸出和服務的角色，安天的客戶才是直面威脅，創(chuàng)造價值的真正智者。

　　九九歸一 共商安全

　　在冬訓營的第二天，來自安天各主線研發(fā)部門的技術負責人，針對檢測、分析、防御技術，以及如何將安天的基礎能力轉(zhuǎn)化為有效地用戶側(cè)能力，如何協(xié)助用戶解決實際的安全問題等議題展開演講，分享了自己的心得體會。

　　1、安天反病毒引擎研發(fā)中心《安天“下一代威脅檢測引擎”》

　　安天下一代威脅檢測引擎，不是簡單的把檢測引擎作為判定器，而是進一步強化引擎的全對象識別和向量輸出能力，輔以配套的后臺知識和信譽積累，并將其轉(zhuǎn)化為用戶場景中可輸出能力。通過大量向量提取輸出和信譽標注，提升關聯(lián)分析環(huán)節(jié)、支撐上層態(tài)勢感知系統(tǒng)和工程師團隊能力以及態(tài)勢感知與綜合決策能力。

　　2、安天移動安全公司《移動威脅對抗升級——人與機器思辨》

▲經(jīng)典工程化體系中的關鍵杠桿點

　　報告分享了安天過去5年里移動引擎研發(fā)和工程化體系建設中的經(jīng)驗，對移動威脅對抗的本質(zhì)和核心價值觀進行了“術”和“道”層面的解讀。隨后從對抗中的人和機器，以及人和機器之間的各種關系的視角，對安全對抗背后的故事進行了思考和分享。

　　3、安天端點安全研發(fā)部《面向新興威脅的終端防護技術》

▲安天智甲終端防御系統(tǒng)的特點

　　安天智甲終端防御系統(tǒng)是專為企業(yè)、政府、機構(gòu)等業(yè)務網(wǎng)絡研發(fā)的終端威脅安全防護產(chǎn)品。它集成了安天自主先進AVL反病毒引擎;除了具備企業(yè)反病毒產(chǎn)品的標準功能外，還可以針對高級威脅(APT)進行全網(wǎng)威脅追溯和定點查殺;針對勒索者病毒等新興威脅提供了面向終端的縱深防御能力;面向ATM和工控上位機等專用終端，智甲支持基于多種安全基線的白名單防御模式。同時智甲能夠?qū)indows、Linux和國產(chǎn)系統(tǒng)提供有效防御并進行統(tǒng)一管理。

　　4、網(wǎng)絡安全監(jiān)測產(chǎn)品研發(fā)部《關鍵威脅的持續(xù)追蹤與網(wǎng)絡監(jiān)測》

　　安天探海威脅檢測系統(tǒng)在全流量元數(shù)據(jù)記錄的基礎上，利用安天下一代威脅檢測引擎向量提取的能力，通過多標簽聯(lián)合篩選。探海輔助用戶在海量數(shù)據(jù)中找到關鍵威脅，構(gòu)建客戶自有場景下的威脅持續(xù)追蹤分析能力。通過標簽聚合，可以實現(xiàn)對海量數(shù)據(jù)的降維;借助含有指示的標簽，用戶可以篩選構(gòu)建自己關注的場景，減少在發(fā)現(xiàn)關鍵威脅信息過程中耗費的時間;配合安天引擎向量提取的能力，更可以建立獨有場景下的專用規(guī)則。

　　5、安天追影團隊《基于沙箱的威脅情報輸出》

　　安天本地化沙箱可以對樣本進行分析獲得樣本黑白信息，這些信息包括樣本的核心目的、樣本屬于哪種黑客攻擊武器。利用這些威脅情報可以第一時間對企業(yè)自身進行漏洞文檔防護與網(wǎng)絡監(jiān)控終端取證。監(jiān)管機構(gòu)可以分析樣本獲取僵木蠕的C&C，進行DDOS監(jiān)控預警，對攻擊者進行關聯(lián)追溯等。

　　6、安全研究與應急處理中心《方程式組織SPARC架構(gòu)樣本的分析調(diào)試》

　　安天CERT回顧了分析方程式組織多平臺能力載荷樣本的經(jīng)驗，并介紹了SPARC架構(gòu)的特點、靜態(tài)逆向分析方法，同時也提出靜態(tài)分析的一些問題和難點。此外，詳細介紹了方程式組織SPARC架構(gòu)的樣本，解密了內(nèi)置加秘密鑰、C2域名和硬編碼IP地址，分析了遠程攻擊指令的分支和通信協(xié)議格式，完整還原了攻擊的過程，為有效防御對抗提供了檢測基礎。

　　7、安天安全研究與應急處理中心《APT樣本關聯(lián)與溯源方法》

▲判斷同源性的方法——從四方面進行分析對比

　　APT事件關聯(lián)分析和追蹤溯源是事件分析中的重要環(huán)節(jié)，通過關聯(lián)和追溯，可以在網(wǎng)絡空間中實現(xiàn)攻擊源定位和攻擊時序重構(gòu)，以有效應對網(wǎng)絡攻擊，實施針對性的防御和反制，它對于最小化網(wǎng)絡攻擊的效果，威懾潛在的網(wǎng)絡攻擊都有著至關重要的作用。

　　8、安天微電子與嵌入式安全研發(fā)中心《SRAM型FPGA的信息安全風險淺析》

　　報告主要針對SRAM型FPGA的信息安全風險進行了分析，還展示了研究小組對相關問題的初步思考和實驗探索。簡述FPGA的技術特點和開發(fā)流程，分析目前FPGA封閉硬件架構(gòu)和閉源工具鏈等潛在安全隱患，并以簡單實例演示信息泄露威脅。

　　9、安天數(shù)據(jù)技術研發(fā)中心《安天可視化的成長歷程和自我批判》

　　安天可視化團隊自2012年組建以來，經(jīng)歷了四個重要時期：以提高人們對安全認知為主要目的的安全認知時期;以將安全化無形為有形的具象安全時期;以可視化為工具改善(同源性、關聯(lián)性)安全分析工作的作用為目的的時期;以保障用戶安全和資產(chǎn)價值為目的的用戶安全時期。

　　報告對缺少操作性和可交互性的“地圖炮”做了深入的反思和批判。安全可視化不應該停留在宏觀上的、實時的和追求酷炫的展示手段，安全可視化要形成價值，必須能從宏觀而及微觀，是可操作的和可以實現(xiàn)有效的價值輸出的。

　　安全需要產(chǎn)業(yè)共同發(fā)聲

　　在這次冬訓營發(fā)聲的可不僅僅只有安天內(nèi)部的技術牛人，安天還邀請了安全圈的同行們做嘉賓進行主題發(fā)言。北京數(shù)字觀星科技有限公司創(chuàng)始人郭亮講述《DT時代的企業(yè)安全觀》;北京煉石網(wǎng)絡技術有限公司CEO白小勇帶來《CipherGateway產(chǎn)品安全實踐與塔防模式探索》報告，對縱深防御的塔防模型做了進一步的探索和解讀。

　　在冬訓營首日現(xiàn)場，安天還發(fā)布了《安天2016年網(wǎng)絡威脅年報(征集意見稿)》(下稱《威脅年報》)?！锻{年報》總結(jié)和回顧了2016年網(wǎng)絡安全威脅，展示了安天態(tài)勢感知和深度分析視角下的高級威脅、信息泄露和黑產(chǎn)大數(shù)據(jù)、供應鏈安全、IoT安全等年度熱點分析構(gòu)成。與會專家對安天年報內(nèi)容進行研討，提出修訂意見，記者了解到，最終版的《威脅年報》將在春節(jié)前發(fā)布。

　　回歸有效客戶價值

▲Panel Discussion嘉賓：(從左到右)原國防大學研究員徐緯地，數(shù)字觀星創(chuàng)始人郭亮，煉石網(wǎng)絡CEO白小勇，安天創(chuàng)始人、首席技術架構(gòu)師肖新光，前中油瑞飛信息安全高級技術總監(jiān)、塔防模型的提出者黃晟，360企業(yè)安全集團總裁吳云坤。

　　作為本屆冬訓營最后一個環(huán)節(jié)，參與小組討論的嘉賓都來自國內(nèi)能力型安全廠商和新銳創(chuàng)業(yè)公司的負責人，主持人由資深戰(zhàn)略學者徐緯地教授擔任，他們對于冬訓營提出了期待，對中國網(wǎng)絡安全面對的最重要的問題、企業(yè)在加強中國網(wǎng)絡安全聯(lián)合中發(fā)揮的作用、企業(yè)的近期目標等問題進行了探討。

　　安天創(chuàng)始人、首席技術架構(gòu)師肖新光最后對本屆冬訓營做了總結(jié)，他表示，“今年安天冬訓營的主要導向是要回歸有效客戶價值這個本質(zhì)”，“安天舉辦冬訓營的出發(fā)點是希望大家能在哈爾濱嚴冬的環(huán)境中，感受到網(wǎng)絡安全所面臨的壓力與挑戰(zhàn)”，“在歷史機遇出現(xiàn)的時候，我們要能建立起自己的目標”，共同攜手，鑄就“冰峰屹立”。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】