朔雪飞扬 安天网络安全冬训营首日纪实
作者: 日期:2016年01月08日 阅:5,405

1月7日,安全牛小编冒着凛冽的寒风,来到冰城哈尔滨,参加第三届安天网络安全冬训营。

640.webp

此次主题为“情报的支撑 塔防的实践”冬训营,共计近300名一线安全从业者、专家学者和高校学生参与。

“这是一次既富有行业特点,又兼具地域特色的网络安全训练营。”

——黑龙江省委网信办主任 李耀东

昨天的演讲,分别由安天首席技术架构师 肖新光(江海客)、微步在线创始人 薛锋(人称“情报薛”)、前中油瑞飞技术总监 黄晟和雨袭团队负责人 p0tt1(“黑客叔叔”)带来。

上午第一场,是由安天首席技术架构师 肖新光 分享的主题为《弹道有痕——中国面临的APT攻击的风险与案例》。该主题同时也是近几年安天在APT方面所做的分析工作的一个总结。

640.webp (1)

安天首席技术架构师 肖新光

“我们现在所做的,更多的是分析已经打入我们身体的‘弹头’,虽然这离对应‘弹道’,‘杀手’甚至是‘兵工厂’的分析,距离还很远。”

安全威胁的两个演进趋势:

  • 随着互联网+而向传统领域延展(纵深)
  • 随着智能化而向新型领域延展(泛化)

640.webp (2)

中国对网络安全的认知盲点

APT攻击也分“轻重缓急”

A2PT:比APT攻击更复杂的病毒传播。

640.webp (3)

几近挥霍的0day资源

640.webp (4)魔术子弹

APT:普通的APT攻击。

640.webp (5)普通的APT攻击

640.webp (6)高精度弹

“不是所有的APT攻击都使用了0day或高级攻击手法 。”

轻量级APT:

640.webp (7)社会工程和样本组合

640.webp (8)火枪弹

640.webp (9)商业化渗透攻击平台(商业军火)

640.webp (10)商业军火扩散后的攻击特点

640.webp (11)APT关键词 既有攻击方式和攻击思路的总和

640.webp (12)不同对手的高级持续性攻击的能力层次

APT的防御不可能有一个单点的布防技术完成,要有一个完整的防御体系,对体系化的进攻,要有体系化的防守。核心思路便是切断APT作业链。

640.webp (13)

切断作业链

“当然,我也不建议熊瞎子掰苞米式的信息安全建设,传统的‘老三样’(入侵检测 防火墙 防病毒),不是没有用,而是没有得到有效的使用和部署。这也解释了为什么国外的商业化攻击平台可以很好的打穿我们的系统,而他们却不怕这些平台会对他们的业务产生威胁的原因。”

640.webp (14)传统安全环节依然有其价值

新布放点的建设

考虑到一些网络强国的APT攻击需要取得持久化攻击节点后进行横向移动至最终目标,传统“非黑即白的”方式很容易被攻击者绕过,我们想将沙箱的攻击分析能力前置到用户侧部署,并选择了以下三个新布放点。

640.webp (15)入口与关键内网深度检测于缓存

640.webp (16)沙箱化

640.webp (17)白名单+安全基线

640.webp (18)布防点总结

网络带来的重大挑战,严重的削弱了传统地缘的时间价值,任何大国地理和地缘空间的优势。任何网络攻击都可以在最短的时间内到达任何目标,只有传统的边界安全观是不够的,要建立起点点皆边界的安全观。

“安全观将由‘合规到能力’、‘治理到博弈’、‘边界到国土’产生变革。安全思路也需要转换,并演变为防御能力。”

640.webp (19)防御能力来自安全思路的变革

微步在线 薛锋带来的分享是《安全威胁情报实战》

640.webp (20)“实战即落地,有两层意义,一是威胁情报有什么用,二是用户怎么用。”

威胁情报≠社工库、黑产或谍报,它是由事实,原始数据经过专家的(关联)分析,而产生的少量的情报。安全威胁情报的五层金字塔模型,越往下对手越容易变化。

640.webp (21)

安全威胁情报金字塔

薛锋认为,做威胁情报需要的基础能力有两个,一个是数据的收集,一个是数据的分析。数据的收集有分为内部和外部两部分。内部数据包括“DNS日志、DHCP日志、防火墙日志、Windows日志等各种日志”;外部数据包括“商业情报、开源情报、基础数据、众包情报等”。而对收集来数据的分析(人工分析/机器学习),便是要做到“知己知彼”。

但是,即便是对已经实践威胁情报不断实践的美国,也很难很好的完成以上两点。因为一个企业的内部数据很难都掌握在安全部门手里。

数据是不是越大越好?个人认为是,因为数据太小没法分析,但不一定是数据只要越大就越好,数据的质量,多样性,有效性,时效性,这些方面一样很重要。

“一个安全响应团队,最重要的资产,不是设备,而是你的分析师团队的能力,是否够强大。”

对于威胁情报的落地,薛锋说,威胁情报是从另外一个维度给防守者提供一些子弹,帮助他做一些预防和报警,不是有了威胁情报,以前的就都不要了,以前的东西还要发挥它该发挥的作用,威胁情报可以和现有的安全产品有一个很好的结合。

“威胁情报类似于4、5年前的云计算;15年是威胁情报的元年,相信16年会是它落地的一年。”

塔防理论创始人 黄晟 的分享题目是《塔防在私有云安全中的实践》

640.webp (22)塔防理论创始人 黄晟

塔防就是要构建有效的纵深防御体系,就像堡垒一样,一层一层的。这里不存在名为’自主可控’的银弹,相反,你必须要放弃一招制敌的幻想,并认为它肯定会被突破,而进行面向失效的设计。

“体系化的攻击带来了严峻的挑战,同时也带来了更多的防御点。”

640.webp (23)体系化攻击中的薄弱环节

纵深防御的基本原则是面向失效的设计

“纵深的前提就是假设每一道防线都不是完美的,都可能被绕过,要有叠加的效果,不断缩小它的攻击面”

“因为云计算平台存在着多层次的迭代依赖关系,而且底层管理平台大量使用通用软件开发,所以其平台复杂度不亚于一套中小型信息系统。更多的系统层次,即更多的攻击面。所以说,云的安全问题不一定比原来的技术的问题少。所以我们对私有云防御目标的定义较低,标准是不低于传统物理机模式的安全保障。”

640.webp (24)防御目标定义

宏观上采用分层的控制体系:

  • 底层严格控制;
  • 各层功能内聚,降低运行依赖度;
  • 分层自治,只有一个信任中心,统一管控;
  • 多层纵深控制,固化底层行为;
  • 收缩硬件管理访问接口。

中观上则进行管理平台(交付平台、交付平台虚拟化管理、云管理平台、云管理平台虚拟化管理)的纵深。

640.webp (25)多层次有机结合的防御手段

纵深防御落地

640.webp (26)在安全基线上更进一步

640.webp (27)安装 配置 加固的一体化

加固最大的难题是很难知道应该规范什么样的行为。

 

640.webp (28)更多的纵深防御

最后一场分享是黑客叔叔 p0tt1《社会工程学攻击的实例化》。他从攻击者的角度,带来了一些“技术含量不是很高,但破坏性很大”的攻击实例来分析。

640.webp (29)p0tt1

640.webp (30)攻击者使用的非传统搜索引擎

640.webp (31)针对站点目标攻击的重点梳理

640.webp (32)针对站点的实例化攻击模板

640.webp (33)针对个人目标的社会工程学攻击

640.webp (34)针对个人目标的实例化攻击模板

大数据攻击不仅仅是社工库,因为社工库中的信息都是死的,毫无关联性。但是我们可以匹配使用频率最高的密码并去除弱密码,可以关联文件存储地址信息或目标的活动轨迹,也可以交叉匹配、分析共性和置信度以扩大战果。

640.webp (35)小知识 信息的主动获取

640.webp (36)小知识 脚印攻击

雨袭团队提供的kick candy:

  • 迂回访问权限 攻击CMS的厂商、IDC机房的公司或者运维公司;
  • 打击利益链 攻击广告联盟或者友情链接站长平台等;
  • 插件钓鱼 为一个毫无破绽的WordPress网站推送一款收费资源采集插件,但允许他免费试用一周;
  • 我是一个骗子 域名相似度警告、网站内容报警、服务器存储转移、DDoS攻击防御升级。

花絮

下午议程结束后,所有与会人员均被邀请去参观了安天在哈尔滨的总部。

640.webp (37)

安天实验室2000年在哈尔滨创立,从反病毒引擎研发起步的安天研发团队,现在已拥有哈尔滨、北京、武汉和深圳四个研发中心,监控与预警能力覆盖全国。安天是个对自己十几年来专注的反病毒领域充满热情的企业。这些可以在安天总部楼道墙壁的布置中就可见一斑。

640.webp (38)

07年在武汉成立的移动安全研发中心,主要面向移动端反病毒引擎和安全产品的研发。14年安天成为获得AV-TEST“移动设备年度最佳保护奖”的首家中国企业。

当然,还少不了冰城哈尔滨美丽的冰雕展。

640.webp (39)

640.webp (40)

这次小编参加的是安天冬训营第一日的会议,之后8日和9日的议程,还会有许多安全界的牛人和安天实验室的技术人员为大家带来相关分享。

最后,祝本次安天网络安全冬训营的活动圆满成功!

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章