QCon2017绿盟科技海外分享生态防御最佳实践
11月15日,绿盟 科技 CTO赵粮受邀参加QCon2017全球开发者大会旧金山站会议,并在会上发表题为“从威胁情报获取到生态防御”的演讲,用TI及AI的例子,展示绿盟科技智慧安全2.0战略下的生态防御最佳实践。
赵粮在演讲中提到,在应对网络攻击层面,无论是惯犯还是高级目标攻击者,威胁情报和人工智能有望改变 游戏 规则,为防守方赢得胜利获取转机。然而,在现实世界中,有许多受害者却存在不应有的错误。
Equifax带来的深思知己难知彼更难
9月份,美最大征信机构Equifax发生数据泄露,1.43亿美国公民个人信息被“曝光”,攻击者正是利用了3月份出现的Struts2(S2-045)漏洞。就在漏洞披露后的8小时13分,绿盟科技将防御措施部署到网络入侵防护NIPS和网络应用防火墙WAF设备,在10小时10分检测到第一次攻击,在漏洞披露的24小时后检测到第一次成功入侵,很显然,这是一场攻防速度的较量,然而Equifax却未能在这场较量中作出正确的决策,6个月的时间仍旧无法抵挡入侵。
俗话说“知己知彼,百战不殆”,但大型企业想要做到“知己”并不容易,业务环境日益复杂,各种开源软件涌入信息系统,各种API调用,供应链越来越长,各种微服务“一言不合”就上线;在这种情况下,洞悉自身网络中的资产、价值和安全属性、逻辑分布和依赖关系等,很具挑战性。而“知彼”更难,攻击者有什么目标和动机?定向的,还是非定向的;他具有什么技术水平?高级的,还是一般的;当前什么趋势,什么漏洞和在流行?数百万的安全告警背后分别是什么威胁?
要想“知彼”威胁情报太多又太少
从名义和定义上看,威胁情报是一个很好的“知彼”渠道。一般来说,市场上可以获得的数十数百种威胁情报,包括免费开源的、 商业 的,在实际安全运营活动中,常常显得太多了,数以千万的各种威胁信息,需要占用大量资源才能加以分析利用;但有时候又显得太少,当重大或特定安全事件发生时,又发现诸多威胁情报“面面相觑”,都不能提供有价值强关联的可行动信息。解决之道在哪里?
需要不断提炼与消费以生态形成防御
几年的实践,让业界意识到威胁情报只有不断的消费,不断在分析闭环中的“提炼”,才能展现价值,才能越变越精准。从攻防模型到威胁情报追踪,从UEBA异常行为分析到IP信誉库,从攻击链到自动推理引擎再到人工智能。绿盟科技CTO赵粮博士通过几个例子,展示了TI威胁情报及AI人工智能的实践,利用生态防御方式对既有目标和未知目标攻击展开防御。智慧安全2.0战略下的生态防御是一种机制,它能够帮助防御团队了解威胁者所处的位置及攻击行为,进而可以让防护团队做出更准确的情报追踪。
威胁情报的消费过程也构成了新的“情报”,新的情报再次加入新的“消费”环节,这让威胁情报的用户和提供商一同构成了事实上的网络防护生态,这种“生态”能带给成员最为鲜活的威胁动态和动力,实现一种可持续的、可运营的知“彼”手段。
让我们回到Equifax的事情,如果安全运营团队知道Struts漏洞的情报,了解威胁快速增长曲线,而不只是一个简单的漏洞信息,相信他们会进行更好的决策及应对。
关于Qcon
Qcon全球开发者大会每年在全球数个国家及城市举行,46%的与会者是技术团队领导人及更高级别人群。此次参与Qcon2017旧金山“安全攻击与防御”专场演讲的演讲者,还有Endgame安全公司CTO及漏洞研究负责人、百度安全实验室安全科学家、阿里云首席安全架构师、加州大学伯克利分校教授等。