本次冬訓營由中央重點新聞網站光明網直播。在線門戶媒體網易。com等數字咨詢、安全419、咆哮、雷鋒網等專業媒體。以及畢麗畢麗安田科技官方賬號和安田官方視頻號。兩天的直播分享了壹下。媒體平臺累計點擊超過1.7萬次,安田畢麗畢麗畢麗官方賬號、微信視頻號近。
賽博天地CTO、石煉網CEO白、CEOShawnChang實驗室創始人等多位行業專家發表了主題演講。來自安田R&D相關部門的技術專家也分享了在威脅分析與研究、產品開發、防禦體系建設和安全運行方面的最新進展和成果。
第九屆安田網絡安全冬令營議程
第九屆安田網絡安全冬令營現場照片。
問題部分1:安全計算能力
安全計算能力板塊涵蓋分析安全能力建設的資源成本、討論安全機制對計算能力的依賴、介紹安田如何應對計算能力危機、發布安田特殊硬件新進展等議題。本節包含以下六個專題報告,分別從安全計算能力的理念與實踐、威脅引擎優化、端點安全資源占用、流量檢測能力優化、密碼算法性能優化等方面,探討如何提升計算能力、支持檢測、提高效率、降低成本的可能性。
本次冬訓營主題報告《安全計算力的成本與安全計算力的新探索》
包括五個方面:從成本角度思考網絡安全,分析安全計算力安全的核心需求,安全與計算力的後續演進,計算力危機引發的安全危機,應對計算力危機的思考與新探索。報告分析了安全機制對計算能力的依賴,分三類場景分析了當前面臨的問題和挑戰:第壹類是與保護對象集成的安全機制,主要是主機安全場景,安全保護機制通常占用保護對象的部分計算能力。保護對象的計算能力越低,安全保護機制所能分配的計算能力就越少。第二種是基於獨立運營商的安全機制,類似於安全網關和網絡安全監控設備。過去,大多數安全廠商選擇通用架構,用摩爾定律對沖安全計算能力需求的增加。但目前獨立載體的計算能力較弱,可能導致無法承載較高的計算能力需求,檢測吞吐量下降。第三是集中分析和響應計算能力需求。例如,在大規模的態勢感知與預警、情報分析中心、管理與運營平臺中,在完成數據、情報和決策的過程中,由於大量的關聯分析和模型應用,計算能力需求不斷提升。這可以通過增加計算節點來滿足,但成本會激增。
在報告的最後,發布了由安田藍迪實驗室開發的安全計算能力專用原型芯片。
安田基礎發動機中心:測量時間和強度-威脅探測發動機的優化和計算支持
題目分析了在承載更多數據量標識和元數據的背景下,下壹代引擎對計算能力的更高要求。題目從兩個維度入手解決困境。首先從軟件層面分享了安田AVLSDK檢測引擎算法和指令的優化經驗。其次,介紹了安田發動機與專用安全計算原型芯片的集成過程。
安田網絡安全產品中心:探海算沙——流量檢測能力需求和計算成本的變化。
安田海探的威脅檢測系統實現了網絡流量各要素的元數據,可以從包、流、會話、文件、事件、深度分析等維度進行檢測。檢測方法包括威脅情報、協議行為、文件加載、文件行為等。介紹了安田在運營商計算能力不足以支撐日益復雜的檢測需求的背景下,如何以智能驅動安全和AI使能安全為趨勢,實現有效的NDR閉環的經驗。
安田終端安全部門:成衛智佳-終端安全防護的資源成本和優化。
深入分析端點安全產品資源占用現狀,準確定位需要優化安全能力項,介紹安田智家如何從底層技術、業務、設計、框架等方面提供安全防護能力資源占用優化方案,解決安全防護能力與端點資源的平衡問題。
石蓮網CEO白:密碼算力的思考與優化
白老師深入講解了《密碼法》等法律法規的頒布對密碼需求的推動,並結合煉石網的實踐介紹了基於X86等平臺優化國密算法的經驗。
安田安全研究和應急響應中心:基於DM-I存儲卡的威脅捕獲和分析
DM-I內存采集卡是在安田長期威脅分析和對抗的需求下產生的專用硬件設備。本主題介紹了不同攻擊組織在威脅分析場景中對內存註入、無文件惡意代碼和其他攻擊技術的使用。分析了傳統軟件轉儲內存模式的弊端,介紹了在誘捕取證場景下,依靠DM-I內存采集卡完成無感無損內存數據采集的經驗。
主題部分2:閉環安全操作
閉環安全運營板塊以Log4j的重大漏洞響應工作為背景,分享了安田和業內同仁如何在統壹工作負載、傳統端點、蜜罐捕獲和情報制作、WAF和業務安全、DevSecOps等環節支持客戶完成閉環運營響應。
安田雲安全事業部:統壹工作負載保障——智加雲主機安全閉環運營實踐
為了應對雲上的海量業務資產和日益復雜的網絡威脅,應該實現完整的閉環安全運營。本專題介紹安田智佳統壹工作負載防護產品,具備威脅檢測、入侵防禦、事件調查、威脅溯源等五大核心功能,支持安全評估、安全運維、監控分析、威脅狩獵、應急響應等安全服務,支持檢測響應的多層次、自動閉環安全運行。
安田端點安全部:對抗內部跳板-EDR傳統端點運維。
安田的工程師分析了壹個利用Log4j依托桌面跳板橫向移動到內網服務器的案例,指出海量端點治理本身就是重大漏洞檢測的壹部分。介紹了安田智家整合EPP和EDR的優勢,依靠更多的語境環境和多個點之間的相關數據關聯,形成上層判斷和決策。
安田信息響應中心:捕捉蜜罐的信息生產實踐
安田捕風蜜罐通過廣泛聯動和深度多層次模擬捕獲網絡攻擊,具備全鏈采集和未知威脅檢測能力。它可以本地化生產包括指標和TTP水平在內的威脅信息,可用於攔截和處置安全設備,指導安全操作員專註於防禦,並提供與態勢感知威脅行動相關的信息。
塞克蘭德CTO朱琳:“從Log4j漏洞看安全運營”
作為SIEM領域壹家創新型企業的創始人,朱老師從Log4j相關攻擊分析、安全運行現狀、系統建設、如何有效應對類似漏洞、安全運行產品關鍵能力等四個方面進行了介紹。
朱慶實驗室創始人劉智慧:安全應對WAF和Log4j漏洞的實踐。
通過對業務的分析和攻擊的可追溯性,在業務層面為雲SAAS服務和移動服務提供安全解決方案。主要包括四個部分。前兩部分是目前WAF在安全體系中的作用,WAF本身存在的問題以及解決這些問題的方法。第三部分是具體的應用實踐;最後,WAF與其他產品相結合。
安田SRC:基於安全發展響應的Log4j
以Log4j漏洞為例,介紹了安田推出的工具套件SEDEVOPS,以及由AntiySCS、AntiySAST、AntiySCA、AntiyRASP組成的工具鏈在SEDEVOPS框架中的實踐。
安田安全服務中心:雲環境威脅狩獵的實踐與思考
雲計算作為新型基礎設施中信息基礎設施的重要組成部分,對其安全性提出了更高的要求。本主題分享了安田安全服務中心在混合雲、私有雲等場景下實施威脅查殺服務的案例和思考。安全服務團隊結合安田多年的威脅對抗經驗,利用安田自身的產品和經驗,從攻防兩端的角度為用戶賦能,從而阻斷攻擊行為。
主題塊3:威脅分析和綜合安全
威脅分析和綜合安全部分包含了安田對APT攻擊和挖掘活動分析的研究成果,以及業界專家在內核安全方面的最新成果。
安田研究所:威脅框架的新進展
威脅框架是指導和提高威脅對抗能力的科學方法和實用工具。本報告介紹和分析了2021威脅框架研究和應用的新進展,回顧了ATTCK框架今年的內容更新,重點介紹了數據源描述的改進。介紹了MITRE今年提出的新的D3FEND框架和ENGAGE框架,分析了它們在國防建設中的作用和意義。
安田技術委員會:安田2022產品體系介紹
安田技術委員會於2022年發布了安田的產品圖集,並介紹了安田AVLSDK威脅檢測引擎和威脅情報的能力增量。介紹了智能裝甲端點統壹安全系統、智能裝甲統壹工作負載保護系統、探海威脅檢測系統、追影威脅分析系統、捕風威脅捕獲系統、擴展威脅處置系統等產品的新版本特點。以及安田在SIEM、SOC、SOAR、網絡演繹範圍等方面的新進展。
國泰網信:“商業密碼應用建設解決方案”
國泰網通是壹家安田控股公司,專註於密碼在工業領域的應用。本報告介紹了國泰網通如何基於密碼法、GB/T39786等密碼標準,構建以商用密碼為核心的信息系統安全防護體系,設計物聯網、工業、移動辦公等場景的密碼方案,解決密碼應用不正確、不規範、不安全等問題。
網絡堡壘:開放基礎設施安全:對抗復雜性
開放基礎設施的安全保護就是如何對抗復雜性的過程。該報告主要圍繞基礎設施的定義,結合實際案例分析高級防護的趨勢,威脅建模中遇到的常見問題以及構建開放系統基礎設施安全過程中的關鍵組件。肖恩不愧為內核之神,這份報告無疑是本次冬訓營最有價值的內核技術報告。
安田移動威脅情報中心:移動終端高級威脅的新挑戰與對策
該報告分享了安田移動近年來應對高級威脅的經驗,以及移動供應鏈中的威脅,以及安田移動APT近年來的威脅發現。
安田安全研究和應急中心:高級威脅活動中的C2
C2是高級威脅活動中的指揮和控制,也是APT組織掌握的基礎設施。安田分析工程師基於大量APT分析經驗,結合OODA循環和網絡殺傷鏈,推斷出C2在網絡殺傷鏈中處於關鍵位置。根據威脅框架,對指揮控制技戰術進行遍歷和系統分析。從公網、內網、Tor洋蔥路由、衛星基礎設施等維度入手,體現了C2的多元化風格,既體現了攻擊者在Tor洋蔥路由、衛星等基礎設施維度上的先進技術維度A,也體現了攻擊者在公網、內網與先進威脅活動的長期對抗中的意誌。
安田技術委員會:構建診斷型個人防火墻
本報告回顧了本世紀以來個人防火墻技術的發展,主要分享了防火墻內核中的流量線索、實時診斷、多維聯動、實際案例、插件系統等內容。基於內核中的網絡流量,得到相應的進程、運行環境及其對應的文件路徑。根據協議,獲取進程打開的端口,看是否有異常端口。根據遠程IP,獲取對方地理位置,是否有境外連接。根據遠端試圖訪問的連接信息,判斷是否被掃描,可以與蜜罐、探海、威脅情報、網絡超級大腦等實現多維聯動,對威脅做出決策。
安全研究與應急處理中心:特洛伊礦業的應急響應。
該報告主要介紹了挖礦木馬的危害和傳播方式,總結了近年來活躍的挖礦木馬,介紹了挖礦木馬目前的安全現狀和面臨的問題。本課題以安田應對挖礦木馬的實際案例為重點,從威脅追蹤的角度來處理壹次挖礦木馬的應急響應。
安田研究所:國外國防供應鏈安全現狀及對策
國防供應鏈的安全與國家安全密切相關,直接關系到壹個國家軍事供應的可持續性和軍事作戰力量的穩定性。最近供應鏈安全事件頻發,凸顯其重要性。本課題對當前國防供應鏈存在的安全風險以及各國采取的應對措施進行闡述和分析,以期提供相關參考。
安田研究所:安田安全方法框架
安田安全方法框架從威脅場景出發,圍繞客戶資產價值分析客戶可能面臨的威脅,並在此基礎上分析其需要的安全防禦能力。在威脅框架的基礎上,分析了防禦產品的能力覆蓋,提出了ISPDR防禦技術框架,對關鍵防禦動作進行深度分解,進壹步指導構建動態、全面的防禦體系。安田的安全方法框架是安田在威脅對抗領域多年實踐經驗的沈澱,也是面對新場景、新變化、新需求的最新成果。還需要不斷完善。安田希望與客戶共同探討,共同成長,推動智能安防運營轉型。
看著黃昏裏的勁松,飛來飛去還是很平靜的。安任天將與網絡安全行業的同仁壹起,不畏艱辛,堅定信念,自我改變,努力攀登。無限風光在險峰,期待網絡安全冬訓營成為壹個緊跟技術方向、提升產品實踐的平臺,與業內同仁共同構築堅實厚重的網絡空間防禦力量!
冬訓營的所有技術問題都可以在線復習,相關問題的文字版也會發布。請繼續關註安田薇薇官方賬號和安田官方賬號。