首先,感谢工作组给我参加本次isc大会的机会。 本次大会的主题是"安全从0开始",意思是“零信任”,就是不相信任何人、任何设备,哪怕曾经有过授权的、隔离内网等。也是以安全大脑为中心,构建网络安全新架构。简单说就是要转变传统网络安全思想(老方案是网络系统中加安全产品),现在提出从生产、运营开始就围绕安全展开工作,即从0开始。
会议的议题论坛比较多,我关注的是威胁情报,我理解的威胁情报是数据中威胁数据项的集合,通过威胁项的分类又给情报做了归类,如僵尸网络,钓鱼攻击,漏洞利用,恶意软件,木马等等。基础安全发现的威胁信息零散不具备准确性、实时性和置信度,威胁情报是在基础网络安全中发展起来的,如单从逆向一个攻击样本并曝光样本恶意细节的角度,威胁凭证太少是不能完全对抗防御该类威胁的。威胁情报有一个指标就是ioc信息,ioc信息是一个网络安全事件的溯源取证的记录,包括攻击者是谁,攻击目标,攻击手法,攻击时间,攻击样本,攻击危害,解决方案等,一条情报信息的上下文决定了该条情报的质量。通过威胁情报可发现网络中的威胁并能做出明确决定的安全提示,防止或是补救资产破坏泄露等,这是情报的价值。
威胁情报(Threat Intelligence)的未来是SOAR,(安全编排,自动化和响应)。目的是降低安全的门槛,提高效率。但安全事件全自动化实现是比较困难的,在威胁发现,威胁程度确认,威胁处理深度的过程中需有专业的安全人员参与,置信度才能更高,对业务影响范围更小。
威胁情报目前面临的挑战
1未知攻击,在野的0day漏洞and未知逃逸检查的攻击手法,这类新型攻击在未被捕获前情报是无法感知的。
2情报数量,威胁情报是安全分析人员从已有数据中逐条分析溯源的记录,那么这数据源的局限性,安全人员捕获量等都限制情报的量。还有情报的共享,通过各种组织共享增加情报库数量,理想中集成一个全球性的情报共享平台(在利息的冲击下不会实现),但有局部共享开源平台是可以实现的,希望尽快上线投入使用就能降低一些风险。
3 威胁情报在客户现场发现后的解决方法,客户怎么知道如何处理就肯定是安全了?(重安装、下线报警的机器,但是其他机器没有被感染,有没有潜伏的威胁?这是未知的)
个人怎么做才能有效防御网络攻击
1 个人账户避免多站同密码,勤换密码。
2 安装安全软件,打开防火墙
3 下载应用文件去各应用的官网,尽量避免访问http的站点。
4提高安全意识,攻击的入口大多是钓鱼方法。尤其是未知邮件中的链接和附件不要轻易执行。
总之在原有设施中保障网络安全,需要走进基础设施,走进运维,走进管理,然后建设网络安全,建设有情报支撑的态势感知。再则从项目,生产,运维开始的时间点就应该加入网络安全的规划。
网友评论