8月12日，由“網(wǎng)安一哥”奇安信牽頭主辦的北京網(wǎng)絡(luò)安全大會(以下簡稱BCS 2020)步入第五天議程。當(dāng)日下午召開的企業(yè)安全運(yùn)營實(shí)踐論壇，邀請到了奇安信網(wǎng)絡(luò)安全部大數(shù)據(jù)平臺負(fù)責(zé)人鄧小剛、滴滴安全專家劉瀟鋒、騰訊安全平臺部總監(jiān)胡珀、京東安全首席架構(gòu)師耿志峰、安全小飛俠王任飛等國內(nèi)安全專家，圍繞安全運(yùn)營及實(shí)戰(zhàn)攻防場景下如何有效制定風(fēng)險(xiǎn)防范對策，帶來網(wǎng)絡(luò)安全方面的前沿觀點(diǎn)和真知灼見。

　　面對黑產(chǎn)攻擊，只有防御是遠(yuǎn)遠(yuǎn)不夠的，耿志峰認(rèn)為，“被攻擊者應(yīng)主動(dòng)發(fā)現(xiàn)弱點(diǎn)并正視它，從黑產(chǎn)的角度對其進(jìn)行對抗和反制。在研究并摸清黑產(chǎn)的目標(biāo)后，要讓黑產(chǎn)的利用點(diǎn)失效，對它進(jìn)行一系列迷惑行為，從源頭進(jìn)行打擊。”他表示，安全的本質(zhì)就是對抗，在與黑產(chǎn)的對抗中，企業(yè)自身首先要做到合法合規(guī)，同時(shí)注意不要輕易中攻擊方的圈套，對自身安全信息要時(shí)刻保持嚴(yán)密的守護(hù)。

　　“SOAR是一系列技術(shù)的合集，它能夠幫助企業(yè)和組織收集安全運(yùn)營團(tuán)隊(duì)監(jiān)控到的各種信息，在對安全系統(tǒng)的警告發(fā)生后對其進(jìn)行診斷和分析。” 劉瀟鋒認(rèn)為，“通過SOAR自動(dòng)的調(diào)用能力，可將后臺數(shù)據(jù)收集到的IOC信息進(jìn)行動(dòng)態(tài)檢測，實(shí)現(xiàn)證據(jù)收集，而后通過溯源關(guān)聯(lián)分析實(shí)現(xiàn)告警事件的上下文相關(guān)聯(lián)事件的聚合，進(jìn)而完成一次告警事件的檢測與響應(yīng)的流程。SOAR為企業(yè)提供了更高層次的安全保障。”

　　圍繞第二類平臺如何收集和處理海量的安全日志問題，鄧小剛進(jìn)行了詳細(xì)的分析。他認(rèn)為，“日志的采集過程需要進(jìn)行一次轉(zhuǎn)換，讓接收人可以讀懂日志內(nèi)容。在可讀懂的前提下，再對日志進(jìn)行分析，把相應(yīng)的代碼的倉庫、地址、帳號等信息富化，通過過濾、轉(zhuǎn)化、富化形成一套日志規(guī)范化操作理論，在該套操作的支撐下，目前奇安信原始日志采集能力約是12萬/24小時(shí)，服務(wù)已形成良好閉環(huán)。”

　　王任飛認(rèn)為，“眼下的當(dāng)務(wù)之急是在于攻擊技術(shù)知識點(diǎn)的知識庫的建設(shè)，需要對其深入學(xué)習(xí)，進(jìn)行情報(bào)驅(qū)動(dòng)、洞研究型并模擬攻擊場景，通過攻擊點(diǎn)、線的結(jié)合來推導(dǎo)出攻防中的面和體。未來，企業(yè)所面對的威脅形態(tài)和攻擊形態(tài)更多在云上，企業(yè)應(yīng)優(yōu)先考慮信息威脅對云產(chǎn)生的影響，從而進(jìn)行技術(shù)手段的優(yōu)化。”

　　另一位來自奇安信集團(tuán)的網(wǎng)絡(luò)安全部威脅狩獵總監(jiān)陳然，也就提升安全運(yùn)營檢測規(guī)則能力的問題，向大家分享了工作經(jīng)驗(yàn)。陳然指出，“整個(gè)檢測流程中包含特征字符串的匹配、注冊表項(xiàng)、鍵值變動(dòng)、進(jìn)程服務(wù)特征以及敏感操作幾個(gè)重要的檢測點(diǎn)，它們象征一些惡意行為。規(guī)則與模型兩種檢測辦法相輔相成，利用規(guī)則可以快速、高效的完成檢測，而模型在一定程度上具備發(fā)現(xiàn)未知的能力，二者結(jié)合形成攻擊鏈路上的一條鈴鐺，鈴鐺足夠多時(shí)，攻擊者在真實(shí)戰(zhàn)場中便無處可逃。”

　　論壇的最終環(huán)節(jié)，江湖人稱CEO的胡珀發(fā)表了題為《運(yùn)營為王，安全運(yùn)營理論與實(shí)踐》的主題演講。胡珀認(rèn)為，安全運(yùn)營的八字核心為“小步快跑、快速迭代”，而不斷推進(jìn)安全風(fēng)險(xiǎn)的梳理過程便是運(yùn)營。此外，安全運(yùn)營擁有三大價(jià)值，即系統(tǒng)盤活、策略優(yōu)化與重點(diǎn)調(diào)整。胡珀強(qiáng)調(diào)，目前，安全運(yùn)營有著明確的衡量指標(biāo)，分別是覆蓋率、效率和、誤報(bào)率。而基于多年經(jīng)驗(yàn)胡珀也分享了自身的運(yùn)營策略，他表示，“我們需要優(yōu)先做好高級端的管控策略，再把整個(gè)的系統(tǒng)結(jié)構(gòu)變成Web漏洞，同時(shí)收窄為Web漏洞的檢測防護(hù)和Web的檢測，進(jìn)而逐步解決安全風(fēng)險(xiǎn)，利用集中優(yōu)勢把安全風(fēng)險(xiǎn)變?yōu)榭煽亍?rdquo;

　　本次企業(yè)安全運(yùn)營實(shí)踐論壇，通過業(yè)內(nèi)大咖多個(gè)實(shí)際案例的分享，為企業(yè)提供了面對黑產(chǎn)的攻防方法論。論壇的成功舉辦為眾多企業(yè)在未來構(gòu)建自身網(wǎng)絡(luò)安全防御體系提供了新思想，拓寬了網(wǎng)絡(luò)安全防御工作中的視野，同時(shí)也為所有從業(yè)者提供了展示研究成果并互相交流的舞臺。據(jù)悉，BCS 2020將為期10天，敬請持續(xù)關(guān)注后續(xù)精彩內(nèi)容!

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會在24小時(shí)內(nèi)處理完畢。