探索数智时代最佳攻防实践 BCS2023威胁检测响应与持续验证论坛召开

通信世界网消息（CWW）“网络安全被完全看见才安全，网络威胁被快速处置才放心，安全防御的有效性被持续验证，才能够真正提升网络安全防御能力。”7月7日，2023年北京网络安全大会威胁检测响应与持续验证论坛在京召开。本次论坛，立足攻防视角，以“威胁对抗，防御有道”为主题，共同从实战对抗中，探索数字浪潮下不同行业的网络安全防御应对之策。

应对网络攻击，各行各业都有“妙招”

随着数智化在金融、电商、互联网等各行各业的深入，网络安全问题变得越来越突出，企业不得不投入更多的精力，去应对层出不穷的网络攻击。

在金融领域，国家信息技术安全研究中心处长曹岳表示，大规模、有组织的针对金融机构网络安全攻击事件与日俱增，各种新型攻击手段层出不穷，电影中的情节成为现实，给各大银行金融机构的网络与信息安全带来了新的重大挑战。对此，金融机构等关键基础设施运营单位，在网络安全防御中应具备若干要件：首先是全流量检测、分析能力，其次是使用旁路阻断及重定向实现快速处置；第三应借助云蜜罐（配合HIDS）实现溯源反制。曹岳表示，客户既有的基础设施、威胁情报、安全团队经验等是串联上述要件，实现安全能力整合的重要前提。

图：国家信息技术安全研究中心处长曹岳

“随着全球顶级人工智能企业的不断投入，大模型或将成为未来人工智能的发展方向，引发安全防护新变革。” 中国工商银行业务研发中心安全部资深经理叶红说，随着智能客服、智能营销、智能获客等新应用的在银行业的落地，各大银行面临着全新的安全挑战。叶红认为，人工智能面临基础框架、数据、算法模型和产品服务四方面的安全风险，与传统安全攻击有很大的差异，需要充分评估人工智能及大模型服务接入交易系统引发的安全风险，规范其应用场景，并在提升员工安全意识的同时，做好全生命周期的安全管控。

图：中国工商银行业务研发中心安全部资深经理叶红

走在新技术、新应用的前沿，互联网企业的业务是相对开放的，因此潜在的风险暴露面也相对较多。众所周知，网络安全的本质是攻防两端的动态对抗，如何提前发现尚未发现风险面因此成为了安全防护的重中之重。对此，京东实战攻防团队蓝军负责人叶猛认为，建设一支成熟的蓝军模拟风险源，并通过实战攻防演习、红蓝对抗、沙盘推演、蓝军评估等手段，提前发现未知风险，在最大程度上起到以攻促防的作用。

图：京东实战攻防团队蓝军负责人叶猛

“数字电网建设中安全体系主体众多、边界模糊，网络安全持续风险叠加放大。” 南方电网数字电网集团二级专家邹洪说，近年来来自境外的网络攻击强度、烈度持续升级，黑客组织掌握大量未公开的武器级漏洞和尖端工具，能源领域关键信息基础设施已成为网络攻击的重要目标。为此，南方电网按照“全域防御、纵深防御、实战引领、攻防兼备”的整体原则，打破组织与系统壁垒，应用大数据、人工智能等数字化技术赋能网络安全，通过开放架构及核心技术攻关，逐步构建全网一体化的“云盾”平台，打造数字电网安全“中枢”，实现“资产可视化、业务数字化、研判智能化、处置自动化”，全面支撑公司数字化转型的网络安全保障。

图：南方电网数字电网集团二级专家邹洪

探索威胁检测与安全验证前沿力量

对于威胁检测中的新技术、新技巧，安全厂商也是各显其能。

漏洞作为网络空间“兵家必争”的重要战略资源，在威胁检测中具有举足轻重的地位。“目前从漏洞信息公开到野外实际利用的间隔期越来越短，大多数时候防御方是在跟攻击者抢时间，哪方先知道漏洞的存在及相应的细节，决定了谁在对抗中获胜。” 赛博昆仑攻防实验室负责人戴明强调说，漏洞情报当帮助客户筛选出真正能造成威胁的漏洞，从监测、分析、评估、预警和响应处置进行全生命周期的闭环，并持续运营，既要避免在那些实际危害很小的漏洞中投入过多精力，也要避免忽视那些看起来不起眼但却可能造成大范围蠕虫传播的漏洞。

图：赛博昆仑攻防实验室负责人戴明

奇安信观星实验室攻击队负责人袁桢唤表示，被动的威胁检测具有滞后性、误报率，并且依赖特定环境和专业人才，因此需要站在攻击者视角，实现对攻击者的溯源反制。袁桢唤认为，防守方威胁狩猎应当在部署了相应的网络安全防护设备的可观测的环境中，通过一系列诸如日志分析、行为检测等方式进行持续化的监控，以达到对当前环境中存在的异常事件感知，并通过一定的调查分析手段确定为攻击事件后，进而采取应急响应等措施最小化降低攻击的影响，再循环迭代此步骤完成整个威胁检测的闭环。

图：奇安信观星实验室攻击队负责人袁桢唤

软极网络副总裁、关键基础设施事业部总经理肖钧分享了软极网络在网络靶场方向的研究成果。他表示，网络靶场的本质是数字世界的仿真孪生，可以进行真刀真枪的攻防演练、实操实训的人才培养、全实战化的安全测试等。优秀的网络靶场应当具备一栈全面仿真、一键全程导调、一网全量采集、一屏全域评估、一体全局协同等五大关键能力，助力客户建设方案可定义、过程可调度、操作可追踪、结果可回溯、流程可优化的全生命周期测试验证和安全运营五可框架。

图：软极网络副总裁、关键基础设施事业部总经理肖钧

“为应对愈演愈烈的网络安全实战攻防对抗要求，安全团队需要明确安全部署和策略是否合理且有效。”奇安信安全攻防PBU-BAS产品负责人邢熙悦说，仅凭靠人力难以对安全防御体系有效性进行验证，且同样难以长期保持一个持续、且处于较高水准的安全状态。客户应当采用BAS方案，它可以自动使用各类攻击手法对企业的复杂网络进行模拟攻击，并综合评估企业安全体系及策略的有效性，协助企业提升防御能力，有效解决防御能力难知晓、投入难量化、有效性难验证等此类影响安全运营闭环的问题。据邢熙悦介绍，奇安信BAS具备两大核心优势：其一基于真实攻击，安全评估更有效；其二告警解析更灵活，安全有效性评估更自由。

图：奇安信安全攻防PBU-BAS产品负责人邢熙悦

作为具有全球影响力的网络安全大会，BCS大会（北京网络安全大会）已成功举办四届，先后有来自中、美、俄、日、以等全球30国，超2000位政要、行业领袖、网络安全专家出席并进行精彩分享。本届大会以“数智安全，内生为本”为主题，并升级为全球数字经济大会网络安全板块，展现出在数据驱动和智能引领的数智时代，网络安全保驾护航意义重大。