5月23日,第十届互联网安全大会(ISC 2022)正式开启序幕。
作为国内云安全CWPP领导厂商,安全狗也收到邀请参与此次活动。
当下网络攻击逐渐以周期性长、隐蔽性极强的攻击模式进行活动。肆意的攻击活动借助无文件攻击技术发展的狂热浪潮,导致许多用户在被入侵后完全不知晓,更难通过传统系统审计的方式排查入侵事件及时做好响应。
为了协助更多企业用户更好地应对防御变难、强度变大的网络攻击,安全狗海青实验室安全研究员唐子龙此次在ISC2022高级威胁检测与响应技术论坛上围绕用户关注的高级威胁攻击主题进行演讲,以期为大家解决安全难题。
传统防病毒软件将被淘汰,
是病毒变少了吗?
在提及病毒是如何演变时,唐子龙解释道,纵观过往的20多年,可以把威胁演化的过程大致划分为三个类型:常规威胁、大规模攻击和定向攻击,可以看到每种类型的攻击源、攻击手段和攻击属性都不一样,这里重点关注的是大规模攻击和定向攻击,这两种威胁熟悉都是组织化、职业化、破坏和干扰能力极强,而这两种威胁类型所关注的是企业、关键基础设施。
在近几年来,大型攻防演练活动成为常态化、大型网络攻击事件频出等也引发人们对背后的新型攻击技术的关注,在这样的环境下高级威胁检测与响应技术也变得至关重要。
高级威胁,
是什么?
依照严重性级别,攻击者意图,受害目标属性,高级威胁可划分为三类:
1)有国家背景的APT组织;
2)加密勒索、病毒挖矿、网络钓鱼等大规模攻击;
3)高级别的大型攻防演练、重保级网络攻击以及商业级渗透测试。
哪些是高级威胁攻击者
感兴趣的资产?
演讲过程中,唐子龙也总结到,高级威胁具有持久性、变化性、扩散性、对抗性和隐匿性等特征,而且随着攻击技术的更新,每种特征又会发生更高级的演变。
如何有效检测出
高级威胁?
基于前面对高级威胁的特征的分析,以及对许多威胁样本的研究,我们提出了“基于行为的检测方法”。这些行为包括了访问行为、进程行为、网络行为以及异常行为等等,我们以之作为数据源进行“威胁信息库”以及“规则、模型库”的构建,并通过算法将二者映射到高级威胁的“攻击链”上。
因此,当遭遇高级威胁攻击时,我们的算法可以如“庖丁解牛”一般,通过联立“关键行为”“规则、模型库”以及“威胁信息库”进行高级威胁的行为链分析,将威胁数据映射到高级威胁的各个阶段上,进而进行有层次、有阶段性的入侵检测与防护。
在实际的案例应用上,唐子龙也结合安全狗的威胁检测能力,向大家详解如何解决内存木马、利用应用漏洞进行容器逃逸等实际问题案例。
此次,安全狗受邀做客ISC 2022线上峰会演讲,不仅是对安全狗在云原生领域的专业安全能力的肯定,同时也寄托着安全狗希望能发挥自身健全的安全产品矩阵和能力,与千行百业用户齐心协力共同对抗高级威胁攻击的初心。
未来,安全狗将继续扩大和巩固自身在国内云安全行业的优势,紧密跟踪国内外技术发展趋势,洞悉市场需求动向,用严苛的要求实现自我驱动。在不断提升安全技术水平,加强安全服务能力稳定输出的基础上,坚持创新、快速成长,力求在国内外的安全市场领域上,为广大用户创造更大的价值,满足更多用户的需求,为我国数字经济转型、网络安全健康发展添砖加瓦。
