从实战攻防到甲方视角 第二届ADconf安全大会回顾

首页 / 业界 / 资讯 /  正文
作者:闫小川
发布于:2023-11-02
2023年10月28日,安全419见证了由网星安全打造的,第二届ADconf安全大会的如期举办。ADconf是国内目前为止目标明确以实战攻防为主题的网络安全大会,从首届到第二届,大会邀请的演讲嘉宾均为国内一线网安企业顶尖攻防团队负责人,分享的内容也都是最新的实战方向上的趋势和具体的细节战法,这也让ADconf受到了整个行业的额外关注。
 
 
“攻防演练”活动的持续开展,打开了多项实战化攻防技术在市场上的供需关系,以Gartner报告发布的多项安全技术能够达到的市场渗透率来看,少见技术赛道能够像Attack and Defense Teaming那样拥有50%以上市场渗透率。需求推动,各大安全厂商原有安全团队也从背后逐渐走到前台,在原有的技术供血职能逐渐转变为业务上的核心生产力。
 
2023实战攻防技术关键词:系统化、自动化、无感化
 
 
第二届ADconf安全大会以“拨云见日·万壑归流”为主题,共邀请到了四支国内顶尖安全团队负责人,分别是深信服深蓝攻防实验室潘立亚、绿盟天元实验室李文瑾、启明星辰ADlab攻防团队李雷、青藤吴钩实验室卢圣龙,外加大会出品方网星安全下属的御守实验室李帅臻,共五大安全团队负责人精心为大会筹备了不同技术方向议题。
 
深信服深蓝攻防实验室演讲以某实战案例作为开场,从既定方案的失效,再到补充方案的绕路拿下靶标,可以看到攻防两端的技术对抗正在不断升级。该团队也全面总结了2023年最新的实战战法,能够看到的是红队视角下的各项技战法正向立体化、精准化、具象化、定制化、无感化等方向发展。
 
如今,红队更加了解企业的各种IT供应链的应用链,通过全面的攻击面分析,如倾注资源,很少有企业能够完全抵御,这也是红队基于业务的攻击技术系统化表现。红蓝对抗基于实战化的技术攻防工作的长期开展,双方均因此收益,企业千疮百孔的安全建设在矛与盾长期拉锯的技术对抗之下,短板问题得以持续优化,安全厂商的安全产品防御技术也在不断升级。
 
绿盟八大实验室之一的天元实验室专注新型实战化攻防对抗技术方向研究工作,在本次ADconf安全大会上该团队分享的议题方向是威胁情报驱动的攻防对抗研究,议题涵盖了通过网络威胁情报分析、威胁狩猎,发现并收集高级威胁实体的情报和攻击技战术各项细节。最终,将其转化为公司的情报能力和攻防武器。
 
该议题重要价值在于各项技术点均从源于真实的网空对抗,从勒索组织和高级威胁团伙过去应用的主要技术,到当前最新的攻击技术,分享了整体方法与多项趋势级技术栈细节,比如如何利用合法程序进行远程访控,到驱动投递攻击技术,也包括最新的生成式AI攻击利用等,这些技术在现实世界当中都存在成功案例,都值企业严判深究。
 
以上两大主题演讲均涵盖大量技术细节,比如网络武器向对抗升级和场景定制化发展路径中的新技术对现有安全防护体系的挑战,如何达到行为特征逃逸、如何致盲终端,逃逸流量侧检测,在现有安全体系下最终达到无感攻击并维权。可以看到,红队实战能力仍在不断提升,安全体系过于庞大,薄弱点众多,且技术不断变化,左右互搏式的能力提升可能永远不会有终点。
 
人一直是安全的最大软肋,在启明星辰ADlab攻防团队分享的社会工程学的最新策略与实践议题当中,我们看到的单一技术方向也在系统化、自动化发展。钓鱼攻击仍然屡试不爽,反向社会工程学更容易让人掉以轻心,加之水坑攻击、近源攻击,攻击方式五花八门,当关键人员成为标靶对象,围绕其周围的一切信息化展现可能都是社会工程学陷阱。
 
“高端的猎人往往以猎物的姿态出现”,深度共情和弱势伪装要更为有效,“HW第一天蓝方总结……”,想不到背后却是红方钓鱼。我们也看到,红方如今正将各种攻击战法向自动化方向演变,社会工程学自动化武器级发展也是其中之一,并且已经存在成功案例。自动化显然会令攻击技术长效体系化发展,并且在效率和准确率上大幅提升。
 
安全自动化是青藤吴钩实验室深耕技术方向之一,在攻防演练中,自动化工具的使用占比约为70%,涵盖了信息收集、边界突破、持久化操作等多个环节。实验室负责人卢圣龙就在本届ADconf上带来《基于实战视角的自动化武器重塑》主题演讲,全面介绍一套自动化攻防能力体系建设的方法以及运营实践。
 
与社会工程学自动化打造不同,青藤吴钩实验室打造的是一套整体攻防的自动化工具,其以成本优势、技术沉淀为初衷,讲解了不同阶段攻防自动化建设应该从何入手,这也是该实验室在这方面的能力总结,并且兼顾了运营阶段,虽然议题涉及的攻防技术细节并不多,但方法论值得行业伙伴借鉴学习。
 
“庞大且复杂的云原生体系为攻击者提供了更加兴奋的挑战”,压轴出场的来自ADconf出品方网星安全御守实验室带来的是当前数字化转型下IT基础设施云化、原生化下的攻防本质观察。在技术分享部分,其主要讲解的当然是网星安全尤为擅长的技术方向,即身份在云原生环境的安全风险问题。讲解内容从趋势观察和案例实操,披露了大量的技术细节。
 
“云原生安全不是黑匣子,了解攻击策略是构建强防御的第一步”。有行业机构调研指出,企业内部已经进入到云原生技术大规模实践阶段,但配套的安全能力建设刚刚起步,20%的用户云原生环境没有任何安全防护。总结而言,云原生具备更多的优势,比如能够更敏捷地响应业务需求,但其本身的安全问题也是下一个方向焦点。
 
汇聚甲方观点 畅聊攻击趋势及未来安全优先级
 
第二届ADconf安全大会在圆桌讨论环节与首届不同,首届邀请的是网安产业内的知名专家分享未来攻防趋势,这一次,视角转变为甲方,大会邀请到了五家甲方企业安全方向负责人,带来了其他场合下很少能够听到的客户侧的真实声音。圆桌环节,五位嘉宾(360信息安全中心负责人张睿、新奥集团首席数智安全总监刘凯、某制造上市公司IT及安全负责人肖寒、嘉实基金安全负责人王哲、京东集团身份安全架构师孙秉乾)共交流探讨了以下三大方向性问题:
 
1、从甲方的企业防御视角下,观察到的攻击趋势是?
2、对于利用身份开展的无漏洞攻击的防御思路是?
3、未来一段时间内各家企业的安全建设优先级是?
 
由于五家甲方企业所属行业不同,规模不同,面向的业务群体不同,以及现有安全建设水平不同,安全419总结五位嘉宾精华观点并延伸解读如下:
 
 
 
攻击技术在变,但防守技术也在变。攻击技术自动化发展,防守技术也在自动化发展,对立局面将始终延续。站在甲方视角,攻击方可以不惜代价,但甲方自身需要平衡资源投入。当网络安全成为企业全局安全和风险的一部分,重点还是将其纳入管理体系当中,核心技术、重要数据、核心业务不能泄露不能停摆,从供应链对应的外部风险,到安全意识为主,安全产品为辅的内部风险,都需要考虑投入产出比,比如根据自身防御水平和竞争对手的防御水平来制定未来防御规划。
 
持续地攻防演练和护网价值明显,当攻击技术向极端化发展,从企业自身来说必须做好技能储备。大型企业如何做好供应链方面的安全挑战,核心业务系统如何防护,如何管理好云避免数据泄露,除了常规安全能力搭建,企业如何做好日常的安全运营较为关键。甲方企业正在思考,如何将护网阶段的重保能力引入到日常运营当中,这也说明了近年来安全服务市场份额的增长是有原因的。甲方需要的正是这种服务,能够将基于实战的系统化防御能力带到企业的日程运营活动中来。
 
网络安全的趋势发展是从一个阶段不同迈向另一个阶段的动态变化过程,过去,由于企业业务系统漏洞太多,攻击根本不用其他技术手段,近年来随着企业的漏洞修复水平逐年提高,才有的多种攻击技术上的大爆发。根据这一变化,甲方的安全团队与业务团队必须紧密合作,最好处在一个体系之内,再协同乙方专业力量和创新的解决方案加以应对。
 
当前,攻击技术越来越无感化,比如利用身份开展无漏洞攻击就是其中趋势之一,如何识别利用合法身份的异常行为对于企业来说是一个巨大挑战。安全行业用的是行为分析来解决这一问题,但一直以来都有着较高的误报率,精准度有欠缺就会让企业不敢实践。所以最近几年行业当中针对身份领域的新技术不断出现,比如零信任,即用一套新的体系架构来解决身份信任问题。ITDR技术也是其中之一,当利用身份开展攻击成为未来重要趋势,必须为集权设施提供额外保护。
 
网络安全因其本身的复杂性,仍然需要理性看待,都说防守一方不可能只靠堆产品来解决问题,不过现在来看,在强调甲方要向实战化能力体系建设的路途中,实际上各项能力点上的提升采用的仍然是堆砌方式。只是角度不同,当前更偏整体的运营能力。作为甲方,其实还是要剑走偏锋,在能够接受的范围内去尽量降低攻击风险的可能性。
 
由于企业规模的不同,对于风险的评估方式也不同,网络安全风险或数据安全风险只是众多风险的其中之一,从整体角度去考量,企业在各项风险点上的投入等级应该是多少,重点需要解决的从人的维度,从基于业务的软硬件整体的管理维度去提升抗风险能力。有一些基础能力必须具备,比如摸清所有资产,及时更新资产变更情况,并为资产增加适当安全基线。
 
企业之所会发生网络安全问题,说到底还是安全意识问题,即认知提升仍然是做好网络安全的关键,并且必须与落地形成闭环驱动。比如演练就是当前最佳的认知落地实践方式之一,未来企业需要多维度的进行日常演练,让公司员工、合作伙伴,都能参与其中,这样才能提升认知,真正地把风险识别出来,从而降低风险。
 
企业需要根据自身行业属性的不同,制定一份适合自身的短期和长期安全计划,这样利于让企业从一个安全等级走向另一个安全等级。当然这离不开乙方的帮助,但有一个趋势乙方需要关注到,乙方现有的做法逐渐倾向于All in One模式,无论是产品还是服务,特别是云安全领域,这一特征更为明显,乙方希望的是一款产品或平台能够解决所有问题。有的甲方同意并开始接受这一转变,但也有甲方视角还是希望乙方能够提供优秀的单点能力,甲方的安全团队在这一单点能力之上再去完成整体能力搭建,这种矛盾点就需要乙方在搭建产品和解决方案时照顾到不同甲方存在的双重需求。
 
总结而言,甲方视角对未来的网络安全需求一定会越来越多,很多企业当前的网络安全建设仍有很多不足之处,没有乙方支撑甲方不可能独立完成这部分工作。网络安全今后将会成为企业供应链体系当中的重要组成部分,并且能够建立完善的合作机制和响应机制。甲方也十分清楚的是,安全不可能做到万无一失,只是说在有限的成本范围尽可能地对系统进行加固。另外随着甲方分工越来越精细化,以及乙方提供的安全产品越来越成熟,未来安全托管服务一定会受到更多的欢迎。