首页 要闻 点评 财经 产经 湘企 IT 汽车 房产 互联网 家电 数码 强省论坛
经网聚焦 区域经济 微观时代 民生关注 投资市场 大众消费 湖湘旅游 美食休闲 购物指南 芒果娱乐 湖湘文化
您所在的位置:首页 > 投资市场 > 正文
QCon2017绿盟科技海外分享生态防御最佳实践
来源:编辑整理 时间:2017-11-28 责任编辑:湖经编辑 分享:

11月15日,绿盟科技CTO赵粮受邀参加QCon2017全球开发者大会旧金山站会议,并在会上发表题为“从威胁情报获取到生态防御”的演讲,用TI及AI的例子,展示绿盟科技智慧安全2.0战略下的生态防御最佳实践。

赵粮在演讲中提到,在应对网络攻击层面,无论是惯犯还是高级目标攻击者,威胁情报和人工智能有望改变游戏规则,为防守方赢得胜利获取转机。然而,在现实世界中,有许多受害者却存在不应有的错误。

Equifax带来的深思知己难知彼更难

9月份,美最大征信机构Equifax发生数据泄露,1.43亿美国公民个人信息被“曝光”,攻击者正是利用了3月份出现的Struts2(S2-045)漏洞。就在漏洞披露后的8小时13分,绿盟科技将防御措施部署到网络入侵防护NIPS和网络应用防火墙WAF设备,在10小时10分检测到第一次攻击,在漏洞披露的24小时后检测到第一次成功入侵,很显然,这是一场攻防速度的较量,然而Equifax却未能在这场较量中作出正确的决策,6个月的时间仍旧无法抵挡入侵。

俗话说“知己知彼,百战不殆”,但大型企业想要做到“知己”并不容易,业务环境日益复杂,各种开源软件涌入信息系统,各种API调用,供应链越来越长,各种微服务“一言不合”就上线;在这种情况下,洞悉自身网络中的资产、价值和安全属性、逻辑分布和依赖关系等,很具挑战性。而“知彼”更难,攻击者有什么目标和动机?定向的,还是非定向的;他具有什么技术水平?高级的,还是一般的;当前什么趋势,什么漏洞和在流行?数百万的安全告警背后分别是什么威胁?

要想“知彼”威胁情报太多又太少

从名义和定义上看,威胁情报是一个很好的“知彼”渠道。一般来说,市场上可以获得的数十数百种威胁情报,包括免费开源的、商业的,在实际安全运营活动中,常常显得太多了,数以千万的各种威胁信息,需要占用大量资源才能加以分析利用;但有时候又显得太少,当重大或特定安全事件发生时,又发现诸多威胁情报“面面相觑”,都不能提供有价值强关联的可行动信息。解决之道在哪里?

需要不断提炼与消费以生态形成防御

几年的实践,让业界意识到威胁情报只有不断的消费,不断在分析闭环中的“提炼”,才能展现价值,才能越变越精准。从攻防模型到威胁情报追踪,从UEBA异常行为分析到IP信誉库,从攻击链到自动推理引擎再到人工智能。绿盟科技CTO赵粮博士通过几个例子,展示了TI威胁情报及AI人工智能的实践,利用生态防御方式对既有目标和未知目标攻击展开防御。智慧安全2.0战略下的生态防御是一种机制,它能够帮助防御团队了解威胁者所处的位置及攻击行为,进而可以让防护团队做出更准确的情报追踪。

威胁情报的消费过程也构成了新的“情报”,新的情报再次加入新的“消费”环节,这让威胁情报的用户和提供商一同构成了事实上的网络防护生态,这种“生态”能带给成员最为鲜活的威胁动态和动力,实现一种可持续的、可运营的知“彼”手段。

让我们回到Equifax的事情,如果安全运营团队知道Struts漏洞的情报,了解威胁快速增长曲线,而不只是一个简单的漏洞信息,相信他们会进行更好的决策及应对。

关于Qcon

Qcon全球开发者大会每年在全球数个国家及城市举行,46%的与会者是技术团队领导人及更高级别人群。此次参与Qcon2017旧金山“安全攻击与防御”专场演讲的演讲者,还有Endgame安全公司CTO及漏洞研究负责人、百度安全实验室安全科学家、阿里云首席安全架构师、加州大学伯克利分校教授等。

免责声明:本文仅代表作者个人观点,与本网无关。其原创性以及文中陈述文字和内容未经本站证实, 对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者 仅作参考,并请自行核实相关内容。当事人(单位)如有异议,请参阅《删帖说明》办理。

0
评论总数:0 [ 查看全部 ]网友评论
 
  评论者:  请输入验证码:  
CopyRight @ 2007-2018 湖南经济新闻网.com 版权所有 网站备案 湘ICP备030127号
地址:湖南省长沙市(邮编:410000)E-mail:hnjjxww@yahoo.com.cn