本科生培养

首页 > 本科生培养 > 正文

2020网信自主创新调研报告-高级威胁检测

发布时间:2021-06-07文章来源: 浏览次数:



2020网信自主创新调研报告

专家委员





主   任倪光南

副主任严 明霍 炜胡伟武窦 强 

委   员按拼音排序):曹 冬陈晓桦邓小四杜 胜杜跃进冯燕春冯裕才郭守祥韩乃平胡红升黄志刚姜海舟李 斌李璐瑶梁育刚刘龙庚刘闻欢刘 毅陆宝华罗东平潘凤岩唐 彬汤学军田俊峰肖新光杨纪文翟起滨张焕国张 强张 彦张宇翔张岳公赵 波赵战生郑静清祝国邦



高级威胁检测



01 高级可持续威胁(APT)

及我国面临的挑战





APT 攻击是由国家、政治经济集团等发动,以战略目标、基础设施和特定高价值目标为对象,具有手段高级、时效持久等特点的一种攻击方式。在客观敌情想定中,可以从低到高将攻击行为体划分成七个层级:业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家 / 地区行为体、高级能力国家 / 地区行为体、超高能力国家 / 地区行为体。其中超高能力国家 / 地区行为体(或称为超高能力网空威胁行为体)往往拥有超级大国情报机构背景,具有严密的规模建制,庞大的支撑工程体系,掌控体系化的攻击装备和攻击资源,可以进行最为隐蔽和致命的网络攻击,可将这种网络攻击称为 A2PT。 

我国所面临的全球和地缘安全风险,既以大国竞合为主旋律,同时又围绕地缘安全热点展开,地缘利益竞合方众多,多种矛盾复杂交织。在这样的一个空间中,既要警惕超级大国,又要警惕邻国基于各种动机的持续骚扰;既要遏制潜在的对手,又要防范已知和未知的威胁。因此,虽然超级大国是中国面临的主要压力方,但却不是唯一压力方,其他的压力方尽管能力不足,但具备更大的行为不受控性和不确定性。这也导致了中国面临来自多个对手的网络空间动作,其中既有传统情报作业的延展,也有信息战的前奏准备,而且这些动作中的一些已经与传统的博弈策略和手段联系在一起。













02 我国在高级威胁检测

方面面临的问题





当前我国在高级威胁检测方面面临以下问题:从国家安全和社会安全层面来看,能力投入相对离散、协同能力不足;从政企安全层面来看,我们的存量系统中大量存在着无效防护和防护缺失的问题,基础安全运维能力不足、人员不足,投入不平衡;在个人安全层面,个人数据泄露、远程办公、个人防护意识较弱等风险也较为严峻。










03 六个方面加强高级

威胁检测能力建设




经过多年的探索和发展,我国能力型安全厂商按照“综合发展、深度结合、全面覆盖、动态协同”的安全理念,全面建设必要的网络安全防御能力,逐步形成动态综合的网络安全防御体系。同时努力突破高级威胁检测领域的核心关键技术,对该领域的能力进行综合布局,从威胁捕获、证据提取、端点防御、流量监测、深度处置、威胁分析等方面进行全面的技术赋能,提供内生安全能力。以技术对抗技术、分析人员对抗分析人员、体系对抗体系。形成以全要素全流量检测为底层能力,依托威胁情报驱动产品的基础机制,建立全天候全方位态势感知平台,并依托专家团队在关键基础信息领域进行威胁猎杀行动,把潜藏在内网的高级威胁找出来赶出去。此外针对我国大量内网属于隔离网络的特点,还需要建立便携介质、载体等灾备应急资源,配套建立应急补丁、威胁专杀、加固处置工具的快速检验、刻录和分发流程机制,形成多层次全方位的安全边界和战略纵深。







升级终端防护能力

在端点防护中,如果能把主动防御和数据采集两种能力相结合,则不仅能通过攻击动作发现威胁,还可以对整个攻击过程进行回溯。EDR(Endpoint  Detection & Response)能够实现对操作系统行为高清记录和长期存储,根据行为规则 IOA 和外部特征库 IOC 来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,并通过绘制进程事件树实现攻击可视化,对威胁的疑似主机进行远程遏制和修复。EDR 填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。国内网络安全厂商基于技术底蕴积累、主攻方向、产品设计理念和市场定位等诸多方面的差异性,推出多种 EDR 产品及解决方案,目前呈现百花齐放的盛景,与国外相关技术研究并驾齐驱。














提升流量侧对抗能力

由于 APT 攻击广泛使用 0day 漏洞、隐蔽通信、签名仿冒,驱动了传统反病毒厂商进行产品和技术的改进,逐步开始探索传统网络侧检测设备与沙箱结合的产品形态。为有效检测高级威胁,深度分析类产品需要内置多种分析鉴定器,从多维度对文件进行分析鉴定,包括黑白名单检测、文件来源检测、元数据提取、数字证书提取、静态启发式检测、动态分析等,可有效检测未知漏洞利用、免杀木马、商业军火、APT 组织的专用木马等高级威胁,提升 高级威胁对抗能力。














引入网空威胁框架度量
评估安全产品


ATT&CK、TCTF 等网空威胁框架是一套科学的方法和工具体系,能够更深入地认知 APT 形式的网空威胁,系统全面地分析其攻击意图、手法、过程与技术,达成增强防御有效性的目标。运用威胁框架可以科学度量和系统提升网络安全防护体系的相关实践,评估和提升当前产品能力,增强针对高级威胁对抗能力。威胁框架既为安全厂商提供了改进点指南,也为相关的客户和管理部门提供了如何评价“何为有效的安全产品”的能力参考。当前主流能力型安全厂商正在应用网空威胁框架的指导构筑能力型的安全产品,形成动态综合的防御体系,达成客户有效的安全价值。














应用态势感知
发现识别攻击


态势感知系统能够高效地实现威胁与脆弱性检测识别、安全事件理解分析、攻击与影响预测、协同联动处置、情报与知识生产,实现安全态势的全面感知与安全业务的融合贯通,对日趋复杂的网络攻击进行更为精准地发现与打击,从而保障响应行动的及时性和有效性,支撑协同联动的实战化运行,协助用户筑起可对抗高级威胁的网络安全防线。当前态势感知系统已在多个关键信息基础设施行业实现成熟应用。














构建威胁情报平台
提升追溯能力


威胁情报平台是基于海量流量侧和端点侧威胁感知能力和自动化样本采集分析体系,形成高质量的自有威胁情报库、威胁知识库,结合外部情报提供快速查询与获取威胁情报的能力。利用简便的交互式威胁关联与同源分析的方法,能形成威胁分析和追踪溯源能力,对全球 APT 组织行动的持续追踪与分析,支持检索大量的详尽的 APT 攻击组织、威胁事件分析报告,使用户全面了解攻击对手,为及时做出决策和行动提供重要支撑。














开展威胁猎杀
将威胁找出来赶出去


“震网”、“白象”等攻击事件都表明在网络攻防对抗中,对于高能力 / 超高能力威胁行为体行动的感知普遍有限,溯源十分困难,因而防御工作无法做到有的放矢。我国关键信息基础设施的网络安全防护形势严峻,面对高能力 / 超高能力网空威胁行为体的网络威胁,在具备有效防御体系的基础上,还需实施持续常态化威胁猎杀(Threat Hunting),以期能够提高保障等级。尤其是在缺失有效防御体系的情况下,更需要针对潜伏的威胁展开威胁猎杀行动,从而做到对突发威胁的“找出来”和“赶出去”。目前,各个厂商都在积极开展威胁猎杀活动,安天将威胁猎杀划分为威胁猎杀分析、现场协同与后台支撑服务、现场排查三个层面。在这三个层面,相应人员在负责各自工作的同时,也会根据其他层次的输入信息进行工作,并生成相应的输出信息给予不同的层面,实现三个层次相互之间的协同联动进而展开威胁猎杀工作。










版权声明

     本报告版权属于关键信息基础设施技术创新联盟所有,受法律保护。未经许可,任何单位及个人不得以任何方式或理由对报告内容进行使用、复制、修改或与其它产品捆绑使用、销售。

     转载、摘编或引用本报告内容和观点应注明“来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》”,并书面知会联盟秘书处。

     凡侵犯版权等知识产权的,联盟必依法追究其法律责任。

关闭 打印责任编辑:fanruihong

友情链接
Baidu
sogou