让世界更安全，更美好!

ISC 2020威胁情报驱动的安全能力建设论坛：以威胁情报能力预判、阻断安全风险

2020-08-13

物联网、工业互联网、万物互联的飞速发展正在加速全面数字化世界的到来，虚拟空间与物理世界正在被打通。

来源于虚拟世界的黑客攻击足以将其破坏性延伸至现实世界转成物理的伤害，直接危害政治安全、国防安全、关键基础设施安全、工业生产安全、金融安全、社会安全甚至公民的人身安全。

随着网络安全风险的不断升级，网络安全攻防对抗的对手也早已不再是曾经的“小蟊贼”，高智商的网络犯罪组织、网络恐怖主义分子和国家级黑客组织这样的 “大玩家”们在纷纷入局，成组织、成建制，有战术、有布局的“正规军”们凭借着较高的“战术修养”和攻击资源在网络空间中虎踞一方，从国防核电到电力交通能源等关键领域都成为了这些组织攻击的靶心。 “看不见”威胁全貌、缺乏应对威胁之良策，赫然成为数字时代下的致命一环。

在这样的背景下，8月13日，“威胁情报驱动的安全能力建设论坛”正式在第八届互联网安全大会ISC 2020揭幕，资深网络安全专家、360高级威胁研究院副院长宋申雷，神州网云CEO、重大活动网络安保组网络安全专家、网信办网络安全和信息化专家委员会专家、烽火台威胁情报联盟联合创始人宋超，360网络安全研究院安全分析工程师张在峰，北京天际友盟信息技术有限公司技术总监刘广坤，360企业安全集团高级产品总监高祎玮5位威胁情报领域资深专家就当下严峻的网络安全威胁态势，和如何用威胁情报驱动安全能力建设的话题展开了深入的探讨。

论坛伊始，资深网络安全专家、360高级威胁研究院副院长宋申雷率先结合360基于高级威胁情报能力狩猎APT组织案例，分享了360威胁情报金字塔建设的经验和思考。宋申雷谈到，网络世界中的安全威胁无时无刻都在变化，而高级持续性威胁（APT）目前已经成为政府和企业不可忽视的重要威胁。

由于APT具有定向性、长期持续、隐蔽潜伏的攻击特点，使得安全人员运用传统的检测手段无法辨别和发现APT攻击，而借助海量的安全数据、先进的机器学习技术和经验丰富的专家团队产生的高级威胁情报进行威胁狩猎，已经成为安全人员发现APT攻击真正有效方法。

宋申雷表示，传统被动式的防御手段以及针对单点的攻击取证与溯源技术已经无力应对高级持续性威胁（APT）和新型高危漏洞等复杂的安全威胁。未来，威胁情报的作用会进一步被放大。

结合关联威胁情报，可以对攻击方进行组织画像和溯源，利用威胁情报构建攻击知识库，能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下，根据威胁情报反映的互联网安全态势，有助于预判后续可能的安全风险，使得响应网络威胁的速度更快。

针对威胁情报能力的建设问题，神州网云CEO、重大活动网络安保组网络安全专家、网信办网络安全和信息化专家委员会专家、烽火台威胁情报联盟联合创始人宋超认为，目前网络安全公司每天收集的报警信息量级在上百万个日志事件和数十万个指标的数据,对于威胁情报分析师而言，已经无法完成每天的分析工作，必须自动进行数据收集和处理及分类，使用元数据报警标签、人工标签、第三方威胁信息标签对其进行标识，形成画像，精确识别每个网络安全事件的全方位信息。

安全研究团队应该基于威胁同源关联分析模型，需对威胁情报中心进行优化，内置威胁同源关联分析算法，以支撑相关分析工作。基于情报的威胁同源关联分析技术核心在于对威胁源的标签化画像。

对看似不同源的多个安全威胁，通过画像标签的深度关联，来挖掘和判断其之间的关联关系，实现不同威胁线索的串联。对每一次高级威胁攻击的攻击链条的每个环节打上威胁标签、行业标签，提取IOC指标发现关联关系，进行针对性的防御。

360网络安全研究院安全分析工程师张在峰则分享了360在威胁情报中IOC评估工作中的实践方法。张在峰提到，在威胁情报的使用过程中，威胁情报IOC的定量评估是衡量威胁情报质量的关键。因此评估威胁情报的IOC质量对于IOC的提供方和使用方来说都有非常重要的现实意义。

科学，透明的评估方法是将威胁情报IOC的评估方式定量化，可操作化的核心。以公开、可验证的合理的评估方法供不同的用户，不同的使用场景选择重点关注的的测试指标，选择最适合自己的威胁情报IOC。

在业界首次采用静态评估与动态评估相结合方式将IOC评估程序化运营，以优化IOC的评估机制，为威胁情报的提供方和使用方科学合理的评估威胁情报提供参考，进而促进威胁情报IOC的科学发展。

北京天际友盟信息技术有限公司技术总监刘广坤就威胁情报与主动防御的话题进行了分享。他认为，纵深防御安全架构和技术产品正遭受公开的挑战，互联网上充斥着对现有安全防御技术的“绕过”技术。企业信息安全不仅仅是关注企业网络边界路由器内的安全，更多的分布在管理权限外的潜在威胁使得数字风险的响应和处置越来越困难。

互联网、移动互联网和工控网络的高速发展，数字化转型快速普及，使得网络防护的边界越来越模糊，攻击者和防护者的界面不再以防护者所设定的边界而泾渭分明地分处两端。

威胁情报的出现及拓展概念-安全情报，为防护者达成“知己知彼，百战不殆”的愿望提供了可能性，威胁情报通过向防护者提供外部威胁信息，形成了新的攻防平衡，同时，基于威胁情报的响应能力也为打击业务层面的数字风险侵犯提供了可能性，从而为企业的数字化转型护航。

在题为《情报驱动的DNS安全实践》的演讲中，360企业安全集团高级产品总监高祎玮分享了在360安全DNS和域名威胁情报领域的工作经验与探索。

高祎玮提到，DNS协议在设计之初就只注重其可用性，忽视其安全性，由于协议的重要性和特殊性，几乎所有的技防措施都允许DNS协议类型数据报文不受限制的传输，随着时间的推移，DNS暴露出越来越多的安全问题。

DNS已经成为网络威胁流通的主要通道，DNS数据也因此具有巨大的安全研究价值，对网络安全威胁行为的挖掘具有至关重要的意义，但目前通过DNS检测威胁仍然存在数据信息量少、威胁域名动态性强的难点。

高祎玮表示，受益于360安全大脑多维、海量安全大数据和DNS解析大数据的积累，360已经建立了一个“DNS威胁情报 + 智能威胁检测算法”的检测模型，能够以高频更新的DNS威胁情报和经过验证的智能威胁检测算法来解决DNS数据信息量少和威胁域名动态性强所带来的DNS检测难题。

在演讲中，高祎玮以一个暗刷病毒为例，演示了通过部署在大网中的“360DNS安全监测系统”从DNS流量中发现、分析、追踪和阻断网络威胁的过程，显示出360DNS安全监测系统全面的威胁发现和防御能力。

最后，高祎玮还在演讲中宣布360公共DNS的服务升级计划正式发布，即日起360公共DNS服务将全面支持IPv4和IPv6双栈解析，并启动DoH(doh.360.cn)和DoT(dot.360.cn)解析服务的全网公测。

除威胁情报驱动的安全能力建设论坛外，第八届互联网安全大会（ISC 2020）首次设置了新基建日、战略日、信创日、技术日、产业日、人才日等多个主题日，还陆续推出网络空间战略与治理论坛、漏洞管理与研究论坛、信创安全论坛、大数据安全论坛、人工智能与安全论坛、城市安全论坛、关键信息基础设施安全防护论坛等在内的27场论坛研讨，围绕新基建、战略、信创、技术、产业等领域进行全方位探讨与交流，洞察数字孪生时代下的安全趋势，共同探索助推安全产业发展的新机遇。

目前，27场论坛正在陆续开放中，更多前沿技术话题、大咖观点分享将在第八届互联网安全大会中持续呈现。锁定永不闭幕的ISC 2020，与众多行业大咖、技术专家一同千里云聚，共话安全。