【2016阿里安全峰会】风声与暗算,无中又生有:威胁情报应用的那些事儿【附PDF下载】...
在2016阿里安全峰会的第二天的”威胁情报专题论坛“的会议时段,分别由神州网云CEO宋超、盛邦安全首席营销官严雷、山东警察学院网络空间安全与执法协同创新中心张璇、北京派网软件CEO孙朝晖、默安科技联合创始人兼CEO聂万泉、IPIP.NET 创始人高春辉、泰岳安全产品总监苏砫、守望者实验室创始人陈中祥、北京数字观星科技有限公司产品经理刘然、广州凌晨网络科技有限公司姚威、启明星辰泰合安管平台产品负责人叶蓬、阿里安全威胁情报中心安全专家王云翔为我们带来了精彩演讲。
宋超:如何产生威胁情报:高级恶意攻击案例分析
第一位演讲者宋超,神州网云CEO,曾参与奥运会、世博会、亚运会、世界互联网大会的网络安保工作,是高级恶意攻击检测取证专家。
宋超通过实际高级恶意攻击的案例分析来提取案例中的重要线索及关键元素结合威胁情报平台对事件进行线索扩线、溯源及取证分析。
PDF下载:如何产生威胁情报:高级恶意攻击案例分析
严雷:风声与暗算——如何在安全管理实践中利用威胁情报
第二位进行分享的是严雷先生,盛邦安全首席营销官,严雷拥有北京邮电大学计算机网络硕士学位及北京邮电大学工商管理(MBA)硕士学位。在网络安全领域长期耕耘,拥有全球顶级安全公司和国内一线安全企业的从业经验,在业内拥有较高声誉。严雷先生于2016年加入盛邦安全,担任首席营销官,将盛邦安全领先的产品技术与用户不断发展变化的前沿需求相结合,提出一整套领先的下一代应用安全治理体系。
严雷对于威胁情报的从基础定义到类型区分,从生产过程到利用途径做出全景式的分析,给出一些落地威胁情报服务的案例,并对关于威胁情报的一些典型的误解进行澄清。
PDF下载:风声与暗算——如何在安全管理实践中利用威胁情报
张璇:威胁情报在网络犯罪侦查中的落地应用
张璇作为第三位演讲者,他来自山东警察学院网络空间安全与执法协同创新中心,中国电子学会取证专委会委员,Sec-UN安全圈作者。主要研究方向为网络犯罪打击及电子数据取证。张璇为山东警察学院网络安全与信息化社团指导教师,指导学生获得多项国家、省部级奖项。
关注领域:网络犯罪打击、电子数据取证、信息安全竞赛。
张璇认为网络犯罪与其他犯罪类型相比有其独有的特点,打击网络犯罪需要建立立体的情报体系,威胁情报是重要的一环。将威胁情报应用到网络犯罪打击中能起到犯罪预警,查证溯源的重要作用,是威胁情报落地的重要领域。张璇通过对短信拦截马案例的分析,从应用的角度探讨威胁情报平台的应用,存在的问题和发展方向。
PDF下载:威胁情报在网络犯罪侦查中的落地应用
孙朝晖:无中生有-基于骨干网全量应用识别的威胁情报基础数据采集
第四位演讲者为孙朝晖,北京派网软件 CEO ,孙朝晖拥有超过15年网络流量分析、优化和安全从业经验。北京派网软件有限公司(Panabit)是国内领先的网络应用层分析、优化和管理产品和解决方案供应商。基于广受好评的网络应用识别优化引擎以及业界领先的PANAOS操作系统,Panabit致力于提高用户网络应用可视性和可管理性,为用户提供高效、稳定、开放的应用层网络通信平台、产品和服务。
孙朝晖谈到,对绝大多数参与威胁情报产业的机构和公司来说,缺乏准确有效的全量基础数据是最大的问题所在。众所周知,IDS/IPS/WAF/AV/Malware等系统生成的基于黑名单的告警数据不能作为威胁情报的最广泛的基础数据,而基于应用识别的全量威胁情报基础数据则会面对性能、粒度和准确性等诸多挑战。孙朝晖主要和大家探讨如何在浩如烟海的互联网原始数据中生成标准化的威胁情报基础数据,并进行有效初步加工,在性能、粒度和准确性上达到平衡。
PDF下载:无中生有-基于骨干网全量应用识别的威胁情报基础数据采集
聂万泉:掌控企业安全威胁——企业安全2.0与威胁情报
聂万泉作为第五位演讲者,默安科技联合创始人兼CEO,他是阿里巴巴原资深安全专家,十多年安全从业经验,从事过WEB安全研究,反病毒反钓鱼,云计算平台反入侵等工作,实战经验丰富。
聂万泉和我们一起探讨了移动互联网,IOT,云计算的兴起极大的冲击了企业原有的安全体系,数据的流动不再有明显的边界,攻击也不再有可预见的路径,在这种大形势下如何构建企业新的安全体系来应对新的安全威胁,威胁情报在这个体系里能发挥什么作用。
PDF下载:掌控企业安全威胁——企业安全2.0与威胁情报
高春辉:有关IP的网络安全那些事儿
第六位演讲者为高春辉,IPIP.NET 创始人。他认为,IP 是互联网基础设施的一部分,无论是攻防研究都绕不过对 IP 信息的研究,普遍都希望给 IP 做各种标签分类,以便从中获取更详细的信息。高春辉从 IP 的地理位置信息、IDC 数据、代理与恶意 IP 检测的角度讲网络安全与威胁情报相关的一些事情。
PDF下载:有关IP的网络安全那些事儿
苏砫:安全威胁情报如何敲开企业安全管理的大门
第七位演讲的人是苏砫,泰岳安全产品总监, 他具有十余年企业安全管理产品规划、开发经验,先后规划了多家大型运营商、大型商业银行的安全平台,并带领技术团队进行落地实施。规划领域涉及身份管控、访问控制、审计、安全运行管理、安全合规检查、安全威胁情报、安全态势感知、自适应安全等。
苏砫觉得,安全威胁情报一直是安全界的热点话题,但它在大型企业内成功落地的案例还不多见,企业对该话题与自身安全工作是否适用?是否急迫?如何落地?如何与现有管理与技术手段结合?均存在疑问。
泰岳安全结合多年企业安全管理的经验分析,大型企业的安全威胁情报需求已经比较迫切。并且部分企业在生产系统、办公维护区域、互联网侧建立了较为成熟的纵深防御监控手段,依托较高的安全管理水平、安全高度自动化、响应速度要求,已经具有安全威胁情报落地基础。
苏砫基于国内外提供安全威胁情报的方式、数据、质量,分析威胁情报与主要企业的相关性和落地方式。将企业安全防护水平由“人对抗人”提升至“机器对抗机器”的高度。在企业侧落实安全威胁情报,是该生态领域中极其重要一环,对安全威胁情报行业发展具有极大意义。
PDF下载:安全威胁情报如何敲开企业安全管理的大门
陈中祥:“从”TI(威胁情报)“到”IR(事件响应)“:Webshell安全分析实践谈”
第八位演讲者是陈中祥,守望者实验室创始人,曾任北京天融信科技有限公司安全咨询顾问、中电运行信息技术有限公司技术部经理职务。具有多年信息安全行业从业经验,常年研究Web后门的发现和清除,目前从事威胁情报和Web安全威胁分析、应急响应相关的工作。具有丰富的企业安全咨询、安全策略、风险评估、应急响应以及相关的项目管理等方面的经验。并多次主讲CISP、CISSP相关安全课程。
他结合生动的案例带领大家一起分析了Webshell安全实践,主要有:
(一)、一起webshell事件的安全处理(线索、挖掘、处置、溯源处理过程)。
(二)、用户关心的两个纬度:攻击侧的深挖、受害侧的处置。
(三)、webshell分析总结。
webshell的分析检测:流量分析、蜜罐、webshell管理工具、针对C2的主动反制、主动探测。
webshell的特征总结:名称、位置、密码。
webshell的攻击手法:反弹木马、nday。
webshell的威胁源:洋葱路由、时间规律、盲扫。
(四)TI:feed优化实践。
完善标签:存活性、端口信息、位置信息等。
场景优化:proxy、fastflux、botnet、c2、cn-ipv4、ipv4、fqdn、tor、webshell。
PDF下载:“从”TI(威胁情报)“到”IR(事件响应)“:Webshell安全分析实践谈”
刘然:威胁情报如何通过漏洞管理在企业落地
第九位演讲者是刘然,北京数字观星科技有限公司产品经理。他认为漏洞信息是威胁情报的重要组成部分,而漏洞管理也是企业安全管理工作中最常见的内容之一。以漏洞为串联点,可以有效将企业安全管理和外部威胁情报有机结合起来,从而使得威胁情报真正落地。刘然从如何利用威胁情报判断漏洞的风险值、加固优先级等几个方面入手与大家进行了探讨。
PDF下载:威胁情报如何通过漏洞管理在企业落地
姚威:打赢企业信息安全这场仗
第十位演讲人是姚威,广州凌晨网络科技有限公司。他是广州市产业领军人才及科技金融评审专家。
姚威指出,我们很不幸又很幸运的活在当下这个时代与环境,APT,商业间谍,数据泄露,源代码剽窃,威胁情报等等弥漫在企业信息安全的战场上。在这个战场上,有新兵,有老炮,有不要命的硬汉,也有妥协的逃兵。
姚威重点通过实例,还原了企业信息安全战场的血腥与无奈,也分享了在短兵相接中,总结出的血淋淋的经验。
PDF下载:打赢企业信息安全这场仗
叶蓬:网络安全情报在企业侧的落地与实践
第十一位演讲者是叶蓬,启明星辰泰合安管平台产品负责人。泰合安管平台的布道师和产品负责人,拥有超过15年的安管平台领域从业经验,积极倡导和实践安管平台与安全情报的结合。
叶蓬与大家分享了网络安全情报在企业端的技术问题,从炒作到落地需要厘清的相关概念,以及企业端运用威胁情报的场景分析与实践分享。
PDF下载:网络安全情报在企业侧的落地与实践
王云翔:攻击过程中的威胁情报应对体系——安全威胁情报中心
第十二位演讲者是王云翔,阿里巴巴安全威胁情报中心安全专家,负责情报溯源、威胁情报体系建设等工作,拥有丰富的业务情报对抗实战经验。
王云翔指出,目前情报与传统的防御检测的概念往往混淆,难言差异。他通过分析整个攻击生命周期中情报在酝酿、发起、持续、结束阶段各关键点起到的作用,结合各阶段一些阿里的经典情报应用场景还原剖析,让大家更好的看到了“情报战”的真面目,也让大家理解和认知情报对抗与传统检测防御的区别。
PDF下载:攻击过程中的威胁情报应对体系——安全威胁情报中心
峰会实录,内容持续更新中,敬请关注!