物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、萬物互聯(lián)的飛速發(fā)展正在加速全面數(shù)字化世界的到來，虛擬空間與物理世界正在被打通。來源于虛擬世界的黑客攻擊足與將其破壞性延伸至現(xiàn)實世界轉(zhuǎn)成物理的傷害，直接危害政治安全、國防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、工業(yè)生產(chǎn)安全、金融安全、社會安全甚至公民的人身安全。

隨著網(wǎng)絡(luò)安全風險的不斷升級，網(wǎng)絡(luò)安全攻防對抗的對手也早已不再是曾經(jīng)的“小蟊賊”，高智商的網(wǎng)絡(luò)犯罪組織、網(wǎng)絡(luò)恐怖主義分子和國家級黑客組織這樣的 “大玩家”們在紛紛入局，成組織、成建制，有戰(zhàn)術(shù)、有布局的“正規(guī)軍”們憑借著較高的“戰(zhàn)術(shù)修養(yǎng)”和攻擊資源在網(wǎng)絡(luò)空間中虎踞一方，從國防核電到電力交通能源等關(guān)鍵領(lǐng)域都成為了這些組織攻擊的靶心。 “看不見”威脅全貌、缺乏應(yīng)對威脅之良策，赫然成為數(shù)字時代下的致命一環(huán)。

在這樣的背景下，8月13日，“威脅情報驅(qū)動的安全能力建設(shè)論壇”正式在第八屆互聯(lián)網(wǎng)安全大會ISC 2020揭幕，資深網(wǎng)絡(luò)安全專家、360高級威脅研究院副院長宋申雷，神州網(wǎng)云CEO、重大活動網(wǎng)絡(luò)安保組網(wǎng)絡(luò)安全專家、網(wǎng)信辦網(wǎng)絡(luò)安全和信息化專家委員會專家、烽火臺威脅情報聯(lián)盟聯(lián)合創(chuàng)始人宋超，360網(wǎng)絡(luò)安全研究院安全分析工程師張在峰，北京天際友盟信息技術(shù)有限公司技術(shù)總監(jiān)劉廣坤，360企業(yè)安全集團高級產(chǎn)品總監(jiān)高祎瑋5位威脅情報領(lǐng)域資深專家就當下嚴峻的網(wǎng)絡(luò)安全威脅態(tài)勢，和如何用威脅情報驅(qū)動安全能力建設(shè)的話題展開了深入的探討。

傳統(tǒng)防御已難御敵

威脅情報是狩獵APT攻擊的重要武器

論壇伊始，資深網(wǎng)絡(luò)安全專家、360高級威脅研究院副院長宋申雷率先結(jié)合360基于高級威脅情報能力狩獵APT組織案例，分享了360威脅情報金字塔建設(shè)的經(jīng)驗和思考。宋申雷談到，網(wǎng)絡(luò)世界中的安全威脅無時無刻都在變化，而高級持續(xù)性威脅（APT）目前已經(jīng)成為政府和企業(yè)不可忽視的重要威脅。由于APT具有定向性、長期持續(xù)、隱蔽潛伏的攻擊特點，使得安全人員運用傳統(tǒng)的檢測手段無法辨別和發(fā)現(xiàn)APT攻擊，而借助海量的安全數(shù)據(jù)、先進的機器學(xué)習技術(shù)和經(jīng)驗豐富的專家團隊產(chǎn)生的高級威脅情報進行威脅狩獵，已經(jīng)成為安全人員發(fā)現(xiàn)APT攻擊真正有效方法。

宋申雷表示，傳統(tǒng)被動式的防御手段以及針對單點的攻擊取證與溯源技術(shù)已經(jīng)無力應(yīng)對高級持續(xù)性威脅（APT）和新型高危漏洞等復(fù)雜的安全威脅。未來，威脅情報的作用會進一步被放大。結(jié)合關(guān)聯(lián)威脅情報，可以對攻擊方進行組織畫像和溯源，利用威脅情報構(gòu)建攻擊知識庫，能夠?qū)崿F(xiàn)對APT攻擊的智能化攻擊意圖推理及樣本變種自動化跟蹤。在信息共享和事件應(yīng)急場景下，根據(jù)威脅情報反映的互聯(lián)網(wǎng)安全態(tài)勢，有助于預(yù)判后續(xù)可能的安全風險，使得響應(yīng)網(wǎng)絡(luò)威脅的速度更快。

[[337769]]

威脅情報應(yīng)用的關(guān)鍵價值在于協(xié)同、共享、生態(tài)

數(shù)據(jù)標簽化是鎖定威脅源的重要手段之一

針對威脅情報能力的建設(shè)問題，神州網(wǎng)云CEO、重大活動網(wǎng)絡(luò)安保組網(wǎng)絡(luò)安全專家、網(wǎng)信辦網(wǎng)絡(luò)安全和信息化專家委員會專家、烽火臺威脅情報聯(lián)盟聯(lián)合創(chuàng)始人宋超認為，目前網(wǎng)絡(luò)安全公司每天收集的報警信息量級在上百萬個日志事件和數(shù)十萬個指標的數(shù)據(jù),對于威脅情報分析師而言，已經(jīng)無法完成每天的分析工作，必須自動進行數(shù)據(jù)收集和處理及分類，使用元數(shù)據(jù)報警標簽、人工標簽、第三方威脅信息標簽對其進行標識，形成畫像，精確識別每個網(wǎng)絡(luò)安全事件的全方位信息。

安全研究團隊應(yīng)該基于威脅同源關(guān)聯(lián)分析模型，需對威脅情報中心進行優(yōu)化，內(nèi)置威脅同源關(guān)聯(lián)分析算法，以支撐相關(guān)分析工作。基于情報的威脅同源關(guān)聯(lián)分析技術(shù)核心在于對威脅源的標簽化畫像。對看似不同源的多個安全威脅，通過畫像標簽的深度關(guān)聯(lián)，來挖掘和判斷其之間的關(guān)聯(lián)關(guān)系，實現(xiàn)不同威脅線索的串聯(lián)。對每一次高級威脅攻擊的攻擊鏈條的每個環(huán)節(jié)打上威脅標簽、行業(yè)標簽，提取IOC指標發(fā)現(xiàn)關(guān)聯(lián)關(guān)系，進行針對性的防御。

以更科學(xué)透明的IOC評估機制

提升威脅情報IOC的應(yīng)用水平

360網(wǎng)絡(luò)安全研究院安全分析工程師張在峰則分享了360在威脅情報中IOC評估工作中的實踐方法。張在峰提到，在威脅情報的使用過程中，威脅情報IOC的定量評估是衡量威脅情報質(zhì)量的關(guān)鍵。因此評估威脅情報的IOC質(zhì)量對于IOC的提供方和使用方來說都有非常重要的現(xiàn)實意義。

科學(xué)，透明的評估方法是將威脅情報IOC的評估方式定量化，可操作化的核心。以公開、可驗證的合理的評估方法供不同的用戶，不同的使用場景選擇重點關(guān)注的的測試指標，選擇最適合自己的威脅情報IOC。在業(yè)界首次采用靜態(tài)評估與動態(tài)評估相結(jié)合方式將IOC評估程序化運營，以優(yōu)化IOC的評估機制，為威脅情報的提供方和使用方科學(xué)合理的評估威脅情報提供參考，進而促進威脅情報IOC的科學(xué)發(fā)展。

[[337770]]

建立威脅情報&主動防御機制

方能知己知彼，百戰(zhàn)不殆

北京天際友盟信息技術(shù)有限公司技術(shù)總監(jiān)劉廣坤就威脅情報與主動防御的話題進行了分享。他認為，縱深防御安全架構(gòu)和技術(shù)產(chǎn)品正遭受公開的挑戰(zhàn)，互聯(lián)網(wǎng)上充斥著對現(xiàn)有安全防御技術(shù)的“繞過”技術(shù)。企業(yè)信息安全不僅僅是關(guān)注企業(yè)網(wǎng)絡(luò)邊界路由器內(nèi)的安全，更多的分布在管理權(quán)限外的潛在威脅使得數(shù)字風險的響應(yīng)和處置越來越困難。

互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工控網(wǎng)絡(luò)的高速發(fā)展，數(shù)字化轉(zhuǎn)型快速普及，使得網(wǎng)絡(luò)防護的邊界越來越模糊，攻擊者和防護者的界面不再以防護者所設(shè)定的邊界而涇渭分明地分處兩端。威脅情報的出現(xiàn)及拓展概念-安全情報，為防護者達成“知己知彼，百戰(zhàn)不殆”的愿望提供了可能性，威脅情報通過向防護者提供外部威脅信息，形成了新的攻防平衡，同時，基于威脅情報的響應(yīng)能力也為打擊業(yè)務(wù)層面的數(shù)字風險侵犯提供了可能性，從而為企業(yè)的數(shù)字化轉(zhuǎn)型護航。

DNS數(shù)據(jù)具有巨大的安全價值

是挖掘網(wǎng)絡(luò)威脅的寶藏

在題為《情報驅(qū)動的DNS安全實踐》的演講中，360企業(yè)安全集團高級產(chǎn)品總監(jiān)高祎瑋分享了在360安全DNS和域名威脅情報領(lǐng)域的工作經(jīng)驗與探索。

高祎瑋提到，DNS協(xié)議在設(shè)計之初就只注重其可用性，忽視其安全性，由于協(xié)議的重要性和特殊性，幾乎所有的技防措施都允許DNS協(xié)議類型數(shù)據(jù)報文不受限制的傳輸，隨著時間的推移，DNS暴露出越來越多的安全問題。DNS已經(jīng)成為網(wǎng)絡(luò)威脅流通的主要通道，DNS數(shù)據(jù)也因此具有巨大的安全研究價值，對網(wǎng)絡(luò)安全威脅行為的挖掘具有至關(guān)重要的意義，但目前通過DNS檢測威脅仍然存在數(shù)據(jù)信息量少、威脅域名動態(tài)性強的難點。

高祎瑋表示，受益于360安全大腦多維、海量安全大數(shù)據(jù)和DNS解析大數(shù)據(jù)的積累，360已經(jīng)建立了一個“DNS威脅情報 + 智能威脅檢測算法”的檢測模型，能夠以高頻更新的DNS威脅情報和經(jīng)過驗證的智能威脅檢測算法來解決DNS數(shù)據(jù)信息量少和威脅域名動態(tài)性強所帶來的DNS檢測難題。在演講中，高祎瑋以一個暗刷病毒為例，演示了通過部署在大網(wǎng)中的“360DNS安全監(jiān)測系統(tǒng)”從DNS流量中發(fā)現(xiàn)、分析、追蹤和阻斷網(wǎng)絡(luò)威脅的過程，顯示出360DNS安全監(jiān)測系統(tǒng)全面的威脅發(fā)現(xiàn)和防御能力。

最后，高祎瑋還在演講中宣布360公共DNS的服務(wù)升級計劃正式發(fā)布，即日起360公共DNS服務(wù)將全面支持IPv4和IPv6雙棧解析，并啟動DoH(doh.#)和DoT(dot.#)解析服務(wù)的全網(wǎng)公測。

[[337771]]

除威脅情報驅(qū)動的安全能力建設(shè)論壇外，第八屆互聯(lián)網(wǎng)安全大會（ISC 2020）首次設(shè)置了新基建日、戰(zhàn)略日、信創(chuàng)日、技術(shù)日、產(chǎn)業(yè)日、人才日等多個主題日，還陸續(xù)推出網(wǎng)絡(luò)空間戰(zhàn)略與治理論壇、漏洞管理與研究論壇、信創(chuàng)安全論壇、大數(shù)據(jù)安全論壇、人工智能與安全論壇、城市安全論壇、關(guān)鍵信息基礎(chǔ)設(shè)施安全防護論壇等在內(nèi)的27場論壇研討，圍繞新基建、戰(zhàn)略、信創(chuàng)、技術(shù)、產(chǎn)業(yè)等領(lǐng)域進行全方位探討與交流，洞察數(shù)字孿生時代下的安全趨勢，共同探索助推安全產(chǎn)業(yè)發(fā)展的新機遇。

目前，27場論壇正在陸續(xù)開放中，更多前沿技術(shù)話題、大咖觀點分享將在第八屆互聯(lián)網(wǎng)安全大會中持續(xù)呈現(xiàn)。鎖定永不閉幕的ISC 2020，與眾多行業(yè)大咖、技術(shù)專家一同千里云聚，共話安全。