2022年1月25日,为期两天的第九届安天网络安全冬训营顺利落下帷幕。在两天的时间里,安天的工程师们和网络安全技术研究者们,分别围绕安全算力、闭环安全运营、威胁分析与综合安全三大议题版块为大家带来了23个主题报告。
本届冬训营由中央重点新闻网站光明网、网络门户媒体网易网等网络媒体,数世咨询、安全419、嘶吼、雷锋网等专业媒体,及哔哩哔哩安天科技官方账号和安天官方视频号八平台同步直播,两天直播分享,媒体平台累计超过170万次点击观看,安天哔哩哔哩官方账号、微信视频号近3万个账号登录观看。
赛克蓝德CTO朱林、炼石网络CEO白小勇、青竹实验室创始人刘志辉、赛博堡垒CEO Shawn Chang等多位业界专家发表主题演讲,安天相关研发部门技术专家也分享了威胁分析研究、产品研发、防御体系建设、安全运营等方面的最新进展和成果。
第九届安天网络安全冬训营会议日程
第九届安天网络安全冬训营现场照片
议题版块1:安全算力
安全算力版块涵盖分析安全能力建设的资源代价、研讨安全机制对算力的依赖、介绍安天如何应对算力危机、发布安天专用硬件新进展等议题内容。本版块包含以下6个主题报告,分别从安全算力的概念与实践、威胁引擎优化、端点安全资源占用、流量检测能力优化、密码算法性能优化方面探讨如何提高算力,支撑检测、提高效率、降低成本的可能性。
本届冬训营主旨报告《安全的算力代价与安全算力的新探索》
包括从代价的角度思考网络安全、分析了安全算力安全的核心需求、安全和算力的跟随演进、算力危机导致的安全危机、应对算力危机的思考与新探索等五个方面的内容。报告分析了安全机制对算力的依赖,并分三种场景分析了当前的问题和挑战:第一类是与被保护对象融合的安全机制,主要是主机安全场景,安全防护机制通常在占用部分被保护对象的算力,被保护对象算力越低,安全防护机制能分配到的算力就越少。第二种是基于独立载体的安全机制,类似安全网关、网络安全监测设备等,过去大部分安全厂商选择了通用架构,用摩尔定律来对冲安全算力需求增长,但当前自主载体的算力能力较弱,可能导致高算力需求安全能力无法承载,检测吞吐量下降。第三种是集中化的分析响应算力需求,比如在大规模的态势感知预警、情报分析中心、管理运营平台中,在完成从数据到情报、到决策的过程中,由于大量的关联分析和模型应用,算力需求在不断提升。这个靠增加计算节点可以满足,但成本会激增。
报告的最后环节发布了安天澜砥实验室研发的安全算力专用原型芯片。
安天基础引擎中心:《量时度力——威胁检测引擎的优化与算力支撑》
议题分析了下一代引擎在承载更多的针对数据体识别和元数据化的背景下,对算力的更高要求。议题分别从两个维度入手破解困局,一是从软件层面出发,分享了安天AVL SDK检测引擎算法、指令等层面的优化经验;二是介绍了安天引擎和专用安全算力原型芯片的融合进展。
安天网络安全产品中心:《探海算沙——流量检测能力要求变化与算力代价》
安天探海威胁检测系统对网络流量实现全要素的元数据化,能够从包、流、会话、文件、事件、深度分析等维度进行检测,检测的方式包含威胁情报、协议行为、文件载荷、文件行为等方面。介绍了安天在载体算力不足以支撑日趋复杂的检测要求的背景下,如何满足随着情报驱动安全、AI赋能安全的趋势,达成有效NDR闭环的经验。
安天端点安全部:《危城智甲——端点安全防护的资源代价与优化》
深度剖析端点安全产品资源占用现状,精准定位需优化安全能力项,介绍安天智甲如何从底层技术、业务、设计和框架等多方面,提供安全防护能力资源占用的优化方案,解决安全防护能力与端点资源的平衡问题。
炼石网络CEO白小勇:《密码算力的思考与优化》
白总深入解读了密码法等法规颁布对密码需求的推动,并以炼石网络的实践深度介绍了基于X86等平台对国密算法的优化经验。
安天安全研究与应急处理中心:《基于DM-I型存获取卡的威胁捕获与分析》
DM-I型内存获取卡,是在安天长期威胁分析和对抗的需求中产生的特种硬件设备。本议题介绍了在威胁分析场景中,不同的攻击组织对内存喷射、无文件恶意代码等攻击技术的使用。分析了传统软件DUMP内存模式进行分析的弊端,介绍了在诱捕和取证场景下依托DM-I型内存获取卡完成无感无损内存数据获取的经验。
议题版块2:闭环安全运营
闭环安全运营版块以Log4j重大漏洞响应工作为背景,分享安天和业内同仁在统一工作负载、传统端点、蜜罐捕获和情报生产、WAF和业务安全、DevSecOps等环节如何支持客户完成闭环运营响应。
安天云安全事业部:《统一工作负载防护——智甲云主机安全的运营闭环实践》
为应对海量的云上业务资产,以及愈发复杂的网络威胁,应实现完整闭环的安全运营。本议题介绍了安天智甲统一工作负载防护产品,以威胁检测、入侵防护、事件调查、威胁溯源等五项核心功能,并配套安全评估、安全运维、监测分析、威胁猎杀、应急响应等安全服务,多层次、自动化的支撑检测响应的安全运营闭环。
安天端点安全部:《打击内部跳板——传统端点的EDR运维实战》
安天工程师分析了一例依托桌面跳板使用Log4j在内网向服务器横向移动的案例,指出海量端点治理本身就是重大漏洞检测的一部分。介绍了安天智甲融合EPP与EDR的优势,依赖更多的上下文环境、多点间的相关数据关联形成上层的判断决策。
安天情报响应中心:《捕风蜜罐情报生产实践》
安天捕风蜜罐通过广泛联动、深度多层次仿真捕获网络攻击,具备全链条采集、未知威胁检测能力,能够本地化生产包含指标、TTP级别的威胁情报,可用于安全设备拦截、处置,指导安全运营人员重点布防,供应态势感知威胁行动关联情报。
赛克蓝德CTO朱林:《从Log4j漏洞看安全运营》
作为SIEM领域创新企业的创始人,朱总从杀伤链视角对Log4j相关攻击的事件进行分析、安全运营现状以及体系化建设、如何有效对应类似的漏洞、安全运营产品的关键能力四方面内容进行了介绍。
青竹实验室创始人刘志辉:《WAF和Log4j漏洞安全响应实践》
通过对业务的分析、攻击的溯源,为云SAAS服务、移动服务提供业务层的安全解决方案。主要包括四个部分,前两部分为当前WAF在安全体系中的角色、WAF自身存在的问题和针对这些问题的解决方案;第三部分是具体的应用实践;最后是WAF跟其他产品的联合。
安天SRC:《基于安全开发响应Log4j》
以响应Log4j漏洞为例,介绍了安天推动SecDevOps的工具套件,由源码安全扫描套件AntiySCS、应用静态安全检测AntiySAST、软件组成分析AntiySCA、应用威胁自免疫AntiyRASP组成的工具链在SecDevOps框架中的实践。
安天安全服务中心:《云环境威胁猎杀实践与思考》
云计算作为“新基建”中信息基础设施的重要组成,这对其安全性提出更高要求。本议题分享安天安全服务中心在混合云、私有云等场景下实施的威胁猎杀服务案例与思考。安服团队结合安天多年的威胁对抗经验,从攻防两端的视角,利用安天自有的产品与经验为用户赋能,实现了对攻击行为的阻断。
议题版块三:威胁分析与综合安全
威胁分析与综合安全版块包含安天对APT攻击、挖矿活动等方面的分析成果研究,以及业内专家在内核安全等方面的最新成果。
安天研究院:《威胁框架的新进展》
威胁框架是指导和提升威胁对抗能力的科学方法和实践工具,本报告介绍与分析了2021年度威胁框架在研究与应用方面的新进展,回顾了本年度 ATT&CK 框架的内容更新,重点分析了数据源描述方面的改进;介绍了本年度MITRE新提出D3FEND框架和ENGAGE框架,分析了二者在防御构建中的作用与意义。
安天技术委员会:《安天2022产品体系介绍》
安天技术委员会发布了安天2022年的产品图谱,介绍了安天AVL SDK威胁检测引擎和威胁情报的能力增量;介绍了智甲端点统一安全系统(UES、EPP、EDR、AV)、智甲统一工作负载防护系统(CWPP)、探海威胁检测系统(NTA、NDR)、追影威胁分析系统(沙箱)、捕风威胁捕获系统(蜜罐)、拓痕威胁处置系统等产品的新版本特性;以及安天在SIEM、SOC、SOAR、网络推演靶场等方面的新进展。
国泰网信:《商用密码应用建设解决方案》
国泰网信是安天控股企业,专注工业场景密码应用。本报告介绍了本方案在密码法、GB/T 39786等密码标准上,国泰网信如何构造以商用密码为核心的信息系统安全防护体系,并在物联网、工业、移动办公等场景进行密码方案设计,解决了密码应用不正确、不规范、不安全等问题。
赛博堡垒:《开放基础架构安全防护:对抗复杂性》
关于开放基础架构的安全防护,就是如何跟复杂性进行对抗的过程。报告主要围绕基础架构的定义、用实际案例分析了高级防护的趋势、威胁建模过程中遇到的常见问题及打造开放的体系基础架构安全过程中关键性的组件等方面进行了介绍。Shawn不愧是内核大神,本报告也无疑是本届冬训营最具内核技术价值的报告。
安天移动威胁情报中心:《移动终端高级威胁的新挑战及对抗发现》
本报告分享了近年来安天移动对高级威胁的对抗经验,以及移动供应链的威胁情况,并分享了安天近年移动APT的威胁发现。
安天安全研究与应急处理中心:《高级威胁活动中C2的多样风格》
高级威胁活动中C2是命令与控制,也是APT组织掌握的基础设施。安天分析工程师基于大量APT分析经验,结合OODA循环和网空杀伤链推导出C2在网空杀伤链中位于关键位置。依据威胁框架将命令与控制技战术遍历与体系化分析,从公网、内网、Tor洋葱路由、卫星基础设施维度出发,体现了C2的多样化风格,既包括在Tor洋葱路由、卫星等基础设施维度体现了攻击方技术维度高级“A”,也包括在公网、内网方面与高级威胁活动的长期对抗中,C2展现的关键要素持续性“P”体现了攻击方的意志。
安天技术委员会:《打造一款诊断型个人防火墙》
本报告回顾了本世纪初以来个人防火墙技术的发展历程,并主要围绕防火墙内核中的流量线索、实时诊断、多维联动、实际案例与插件体系等内容进行了分享。以内核中的网络流量为线索出发,获取对应进程,运行环境及其对应的文件路径。根据协议,获取进程所打开的端口,查看是否有异常端口。根据远程IP获取对方地理位置,是否有境外连接。根据远端尝试接入的连接信息(如:敏感端口列表,连接频率),判断是否被扫描,可与蜜罐、探海、威胁情报、赛博超脑等实现多维联动,对威胁进行决策。
安全研究与应急处理中心:《一例挖矿木马的应急响应》
本报告主要针对挖矿木马的危害及传播方式进行了介绍,对近年来活跃挖矿木马进行总结,并介绍当前挖矿木马所面临的安全现状和问题。本议题重点介绍安天针对挖矿木马进行应急响应的实战案例,通过威胁猎杀视角处置一次挖矿木马应急响应。
安天研究院:《国外国防供应链安全现状及应对举措》
国防供应链安全与国家安全息息相关,它直接关乎一个国家军事供给的持续性和军事作战力量的稳定性。近来供应链安全事件频发,更加凸显了它的重要性。本议题针对当前国防供应链存在的安全风险及各国采取的应对举措进行阐述和分析,以期提供相关参考。
安天研究院:《安天安全方法框架》
安天安全方法框架从威胁想定出发,围绕客户资产价值,分析客户可能面临的威胁,并以此为依据分析需要具备的安全防御能力。基于威胁框架分析防御产品能力覆盖度,提出ISPDR防御技术框架深度拆解关键防御动作,进一步指导构建动态综合的防御体系。安天安全方法框架是安天在威胁对抗领域深耕多年实践经验的沉淀,也是面对新场景、新变化、新需求的不断迭代的最新成果,仍然需要不断完善,安天希望能和客户共同探讨,共同成长,一起推动智能化安全运营变革。