精彩速覽 | 2018威脅情報&APT攻擊技術與趨勢高峰論壇（附PPT下載）

編者按：情報是針對高級網路攻擊的有力武器。

五月的最後一天，伴著淅淅瀝瀝的小雨，由國內知名互聯網安全新媒體FreeBuf 主辦的2018威脅情報&APT攻擊技術與趨勢高峰論壇在上海證大美爵酒店盛大召開。本次高峰論壇話題聚焦APT攻擊技術趨勢與威脅情報的發展，分享和探討威脅情報與APT分析檢測如何在企業中落地。下面，就和小編一起來回顧下本次論壇的精華內容吧。

威脅情報驅動的安全智能

演講者 微步在線 CEO 薛鋒

在安全領域有句廣泛流傳的話「攻防不對等」。攻擊者隱於暗處，人員眾多，在工具、資源乃至時間上都佔據優勢，防禦方常常感覺「孤木難支」，特別是隨著AI技術的發展，很多時候企業甚至不知道自己對抗的是人還是機器，不了解對方的情況和意圖，攻防的狀態大多是敵眾我寡，敵暗我明。在攻防不對等的情況下，單純依靠安全產品的被動防禦能力無法應對。

企業將處於持續被攻陷的狀態，檢測和響應成為了現今安全工作的重心。薛鋒先生在論壇上講到，威脅情報能夠讓企業第一時間掌握最新的安全事件、攻擊趨勢、漏洞等信息並及時進行安全預防、安全檢測和應急響應工作。曾經很多人認為威脅情報是高級應用，在企業難以實現落地，但事實並非如此。威脅情報就在我們身邊的每一處細節中，這也就要求企業安全工作要做到極致的細。薛鋒先生在演講中提到，利用殺傷鏈（Kill Chain）與鑽石模型可以持續不斷的完成情報的積累。

企業反APT構想

演講者 平安集團 銀河實驗室負責人 王延輝

知其然而後知其所以然，王延輝先生首先為我們通俗易懂的講解了APT攻擊的幾個主要階段。首先是目標偵察，APT團隊首先會儘可能全面的收集企業資產信息，為後續找到安全漏洞提供基礎；第二是尋找漏洞弱點進行外網滲透，獲取許可權並找到內網通道。隨後開始對內網進行滲透；進入內網，攻擊者可以開始搜尋目標，獲取必要的網路拓撲、目標任務、目標系統位置等；找到目標後，就要進行一個細緻重要的工作，信息外傳，攻擊者要避開監控系統，找到一條安全的外網通道將信息送出；最後根據任務特性，決定是否繼續潛伏。

APT

攻擊常常是蓄謀已久的，企業該如何應對處心積慮的對手呢？從源頭抓起，在目標偵察階段，就要盡最大可能減少資產信息的暴露。企業可以嘗試從暗網、常規的論壇、微信、qq、資訊網站、出入站流量匹配、github等代碼託管平台的監控，通過外部的威脅情報來獲取潛在的攻擊信息。除此之外，防禦APT攻擊我們還可以做些其他的嘗試，比如比較有效的主機防禦系統，HIDS。對於流量的解析。另外一個比較有效的是密網，也叫誘餌。就是在網路內部署獨立的誘餌系統，多處部署誘餌，把攻擊者引導到密網系統中。

攻擊熱點指南針和深信服企業安全實踐

演講者 深信服 資深安全專家 龐思銘

孫子曾說：知己知彼方能百戰不殆。在攻防世界裡，防禦者在明，敵手在暗，面對複雜不確定的攻擊者，如果對其意圖和布陣策略都一無所知，防禦自然是無從談起。在本次高峰論壇上，深信服資深安全專家龐思銘基於區塊鏈相關的安全話題、基於IoT的殭屍網路及DDOS、供應鏈安全、與AI有關的安全話題、惡意軟體、釣魚、勒索/Raas等近期熱點事件的分析匯總，分享攻擊熱點指南，幫助用戶明晰攻擊形勢。

從攻擊的發展趨勢看，來源於內網的攻擊逐漸增多。面對內網伺服器被感染、傳播挖礦病毒、勒索惡意軟體、以及來自供應鏈的潛在攻擊威脅，組織單位往往無能為力，其主要原因是缺乏對這些威脅的感知能力。

因此，組織單位需要構建一個以可視為基礎，增強檢測響應能力的安全體系。龐思銘在分享中指出：構建對威脅的檢測、響應能力最為關鍵。要構建這些能力，需要從「數據來源」、「檢測分析」、「可視化」、與「處置響應」四個方面來構建：數據來源必須廣泛有效，利用威脅情報、雲端沙箱等外部數據來提供最新情報，結合自有設備在用戶網路內部進行主動的全流量檢測，提取有效數據。檢測分析上，通過機器學習等智能檢測分析技術來構建準確的檢測模型，提升檢測能力。通過微觀、宏觀兩方面的可視化呈現，讓安全看得見，讓運維更簡單。在處置響應上，通過安全聯動+自動化服務實現更及時高效的響應。

生產網路中的情報價值與應用

演講人 宜信 安全部情報分析專家 薛兆雲

威脅情報本身是一種歷史記錄，用於參考，類似於人的信用，讓網路中的各個欄位也有信用。用數據驅動安全，在攻擊者進行攻擊時，自動匹配攻擊者所使用的網路各個欄位的信用，信用低者必將引起注意。威脅情報的來源一般分為由商業產品、開源產品提供的外部情報和由日誌平台、FW、WAF、蜜罐等系統提供的內部情報。威脅情報的分類整理是落地應用的基石，所有的分析與應用均應基於此展開。

當前，企業安全普遍面臨著防護系統各自為營、海量告警日誌人工處理不及時、沒有規則就無法發現其他異常流量，很多告警發出後卻沒有相應的應急響應等痛點。將威脅情報、日誌和流量進行關聯分析，對分析結果進行自動和人工響應，來補充已部署的各種安全設備和防護系統做不到的防護，通過這些我們才能更清楚地看清生產網路中黑或灰色流量究竟是什麼。

威脅情報與卡巴斯基威脅情報中心

演講人 卡巴斯基實驗室 亞太區病毒中心負責人 董岩

針對企業的定向攻擊所具有的技戰術多樣、過程複雜等特點使得傳統的單純從防禦角度出發的防護手段已經力不從心。除傳統的被動防禦手段外，企業可以利用威脅情報主動地對威脅形勢進行預判、感知從而採取預防性的部署。而攻擊者對技戰術、工具的復用也使得威脅情報可以有效抵禦攻擊。

APT實踐分享：基於機器學習的隱蔽信道檢測從0->1

演講人 斗象科技 技術總監 徐鍾豪

企業內網環境中，DNS協議是必不可少的網路通信協議之一，網路設備和邊界防護設備在一般的情況下很少對DNS進行過濾分析或屏蔽，因此將數據或指令藏匿於DNS協議中進行傳輸是一種隱蔽且有效的手段。這類手段常用於APT中維持訪問和數據竊取階段。在實際場景中，當攻擊者拿下某台伺服器許可權，或伺服器被惡意軟體、蠕蟲、木馬等感染之後，通過建立DNS隧道從而達到敏感信息盜竊、文件傳輸、回傳控制指令、回彈Shell等目的。

相比於基於規則的靜態閾值檢測誤報高，易被繞過等問題，可以使用機器學習技術從歷史數據中學習出一個DNS隧道模式用於檢測。使用機器學習構建DNS隧道檢測模型，重要步驟是對DNS隧道流量進行特徵挖掘分析，需要以DNS協議標準中各欄位的統計分析、DNS隧道實現原理為基礎，同時結合安全專家知識提取模型特徵。在機器學習演算法模型選擇方面，鑒於在安全檢測類產品中要求模型具有高效性、結果便於解釋性等特點，在模型選取上更側重選用一些基於特徵的淺層學習模型。

安全事件的發現、分析、響應及取證

演講人 蘭雲科技 高級副總裁 周宏斌

APT時代，「我們是否已被入侵，敏感信息是否已泄露」，是CEO們越來越擔心的問題。第一時間發現入侵事件，評估影響，合理應對，是企業安全部門的職責。如何利用技術手段解決企業安全部門的困難，消除CEO們的擔心？周宏斌先生以自己公司實際遇到的一次攻擊事件為例，向在場的觀眾分享了他們對此次攻擊事件的發現、分析與應急處理的過程。

內網反APT實踐

演講人 京東安全 安全戰略官

吉貽俊

APT攻擊通常由有政治背景的組織發起，攻擊目標從政府機構到基礎設施、學校擴展至大型企業及金融行業等，對企業的財務、名譽、業務可持續性造成巨大損失。據統計，有27%的組織都利用過0day漏洞，他們擅長利用最新的技術，檢測躲避技術，攻擊行為高級，不達目的永不停止。企業應對APT攻擊難以整合有效信息情報來源探查攻擊，難以衡量防範攻擊的有效性，需要協調現有的安全日常運維組織架構和重大應急響應的需要。

APT攻擊真的無法防範么？吉貽俊先生提出了一個觀點「Think like a hacker」，在攻擊者的角度思考解決方案。劃定企業資產範圍、資產屬性以及資產類別，找打企業重要資產。對整個環境做監控，這裡的粒度是每一條日誌，不管是應用日誌還是系統日誌，還有安全日誌，統統收入，然後進行調優處理。參考SOC安全運營中心的建設，建立一套完整的日誌體系。同時，信息安全永遠不只是單純的技術問題，要極力控制人為因素造成的安全漏洞，培養全員安全意識，提升技術人員的專業水平，培訓高級管理人員防攻擊。

在野0day揭秘:威脅情報感知發現APT攻擊

演講人 360核心安全追日團隊負責人 邊亮

360追日團隊專註APT等高級威脅的研究，致力於發現和披露更多的APT組織或行動，截至目前已經發現三十多個APT組織。邊亮在演講中介紹到，近期360追日團隊觀察到的APT攻擊覆蓋著全國30多個省市，發現各類免殺木馬數十種，覆蓋Windows、Mac、Android、Linux平台，均是涉及針對政府、科技、教育、軍工、能源和交通多個領域的定向攻擊。網路攻擊可以從任何一個薄弱點發起並已逐漸自動化和智能化，安全響應速度要求越來越快，但面對海量安全事件，人力無法及時有效地分析處理。

基於雲端大數據，利用大數據分析挖掘、高級威脅沙箱檢測、機器學習及專家分析構成的威脅情報，可以有效的協助完成完全事件的定性與溯源。在演講中，邊亮還分享了追日團隊捕獲的在野0day漏洞、噩夢公式二代漏洞、雙殺漏洞的案例以及著名的摩訶草APT攻擊組織。

威脅情報是高級威脅防禦的靈魂

演講人 Fortinet 華東區資深技術顧問 王哲聞

APT（AdvancedPersistent Threat）————高級持續性威脅。是指組織或者小團體利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。APT攻擊威脅企業數據安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網路攻擊和侵襲行為，是一種蓄謀已久的「惡意商業間諜威脅」。APT的攻擊手法，在於隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種「網路間諜」的行為。此類攻擊行為是傳統安全檢測系統無法有效檢測發現，前沿防禦方法是利用非商業化虛擬機分析技術，對各種郵件附件、文件進行深度的動態行為分析，發現利用系統漏洞等高級技術專門構造的惡意文件，從而發現和確認APT攻擊行為。

如何利用好威脅情報？在SOC環境中建立威脅情報功能，這是在日常的SOC操作強制性的指導和協助SOC分析師進行分析，並與業務和風險辦公室對接，確保在風險和威脅方面，維持用戶暴露於最低限度不變。同時，威脅情報分析工作應涵蓋情報功能的完整連續性。

業務安全與威脅情報的價值量化

演講人 快錢支付 科技風險負責人 趙銳

在演講的開始，趙銳先生首先分享了他對企業安全工作的看法。當前，在很多企業中，安全工作人員常常被認為是麻煩製造者不被接受，安全工作內容難總結，不被重視，很多負責人也不是技術出身，對安全一知半解，溝通困難。

隨後，趙銳先生分享了他對業務安全的看法。業務安全是指保護業務系統免受安全威脅的措施或手段。廣義的業務安全應包括業務運行的軟硬體平台(操作系統、資料庫等)、業務系統自身(軟體或設備)、業務所提供的服務的安全;狹義的業務安全指業務系統自有的軟體與服務的安全。業務安全目標是要支持公司戰略，保障業務發展，減少資金損失。而要做好業務安全，首先要深入的了解業務，包括組織的主要利潤來源，識別主要業務系統，清楚業務流、數據流，清楚每個流程、節點的風險和控制措施。

以上是本次威脅情報&APT攻擊技術與趨勢高峰論壇精彩議題回顧，FreeBuf 企業安全俱樂部，下一站，深圳見～

演講PPT陸續更新中，下載鏈接: 

https://pan.baidu.com/s/1kJ6Xm_7cQyOjiPikuo7gbg

密

碼: tdkv

*本文系FreeBuf官方報道，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！