QCon2017 绿盟科技海外分享生态防御最佳实践

近日，绿盟科技CTO赵粮博士受邀参加QCon2017全球开发者大会旧金山站会议，并在会上进行题为“从威胁情报获取到生态防御”的演讲，用TI及AI的例子，展示了绿盟科技智慧安全2.0战略下的生态防御最佳实践。...





近日，绿盟科技CTO赵粮博士受邀参加QCon2017全球开发者大会旧金山站会议，并在会上进行题为“从威胁情报获取到生态防御”的演讲，用TI及AI的例子，展示了绿盟科技智慧安全2.0战略下的生态防御最佳实践。

赵粮博士在演讲中提到在应对网络攻击者方面，无论是惯犯还是高级目标攻击者，威胁情报和人工智能有望改变游戏规则，为防守方赢得胜利获取转机。然而，在现实世界中，有许多受害者却存在着不应有的错误。

9月份，美最大征信机构Equifax发生数据泄露，1.43亿美国公民个人信息被“曝光”，攻击者正是利用了3月份出现的Struts2（S2-045）漏洞。就在漏洞披露后的8小时13分，绿盟科技将防御措施部署到网络入侵防护NIPS和网络应用防火墙WAF设备，在10小时10分检测到第一次攻击，在漏洞披露的24小时后检测到第一次成功入侵，很显然，这是一场攻防速度的较量，然而Equifax却未能在这场较量中作出正确的决策，6个月的时间仍旧无法抵挡入侵。俗话说 “知己知彼，百战不殆”，但大型企业想要做到“知己”并不容易，业务环境日益复杂，各种开源软件涌入信息系统，各种API调用，供应链越来越长，各种微服务“一言不合”就上线；在这种情况下，洞悉自身网络中的资产、价值和安全属性、逻辑分布和依赖关系等，很具挑战性。而“知彼”更难，攻击者有什么目标和动机？定向的，还是非定向的；他具有什么技术水平？高级的，还是一般的；当前什么趋势，什么漏洞和利用在流行？数百万的安全告警背后分别是什么威胁？从名义和定义上看，威胁情报是一个很好的“知彼”渠道。一般来说，市场上可以获得的数十数百种威胁情报，包括免费开源的、商业的，在实际安全运营活动中，常常显得太多了，数以千万的各种威胁信息，需要占用大量资源才能加以分析利用；但有时候又显得太少，当重大或特定安全事件发生时，又发现诸多威胁情报“面面相觑”，都不能提供有价值强关联的可行动信息。解决之道在哪里？

几年的实践，让业界意识到威胁情报只有不断的消费，不断在分析闭环中的“提炼”，才能展现价值，才能越变越精准。从攻防模型到威胁情报追踪，从UEBA异常行为分析到IP信誉库，从攻击链到自动推理引擎再到人工智能。绿盟科技CTO赵粮博士通过几个例子，展示了TI威胁情报及AI人工智能的实践，利用生态防御方式对既有目标和未知目标攻击展开防御。智慧安全2.0战略下的生态防御是一种机制，它能够帮助防御团队了解威胁者所处的位置及攻击行为，进而可以让防护团队做出更准确的情报追踪。威胁情报的消费过程也构成了新的“情报”，新的情报再次加入新的“消费”环节，这让威胁情报的用户和提供商一同构成了事实上的网络防护生态，这种“生态”能带给成员最为鲜活的威胁动态和动力，实现一种可持续的、可运营的知“彼”手段。让我们回到Equifax的事情，如果安全运营团队知道Struts漏洞的情报，了解威胁快速增长曲线，而不只是一个简单的漏洞信息，相信他们会进行更好的决策及应对。

关于QCon

QCon全球开发者大会每年在全球数个国家及城市举行，46%的与会者是技术团队领导人及更高级别人群。此次参与QCon2017旧金山“安全攻击与防御”专场演讲的演讲者，还有Endgame安全公司CTO及漏洞研究负责人、百度安全实验室安全科学家、阿里云首席安全架构师、加州大学伯克利分校教授等。

    关注 绿盟科技