2019年10月20日，成都世界信息安全大會隆重開幕。大會聚齊了全球知名的安全從業(yè)人士及用戶企業(yè)，平安集團(tuán)首席信息安全官陳建，阿里巴巴釘釘CRO張作裕，螞蟻金服高級專家吳飛飛等業(yè)界大腕均隆重出席，一起對現(xiàn)階段的信息安全問題進(jìn)行探討，堪稱網(wǎng)絡(luò)安全行業(yè)的一次盛會。

次日下午，應(yīng)急響應(yīng)、安全運(yùn)營的分論壇如期開幕。Tenable中國區(qū)總經(jīng)理趙陽、上海霧幟智能科技有限公司CTO傅奎、北京天際友盟信息技術(shù)有限公司CEO楊大路等業(yè)界大佬出席本次論壇。

會上，嘉賓通過六場演講的方式圍繞安全運(yùn)營、威脅情報(bào)、溯源分析、事件分析等話題展開議題研討，就現(xiàn)階段企業(yè)的安全問題展開討論，并分享相應(yīng)解決方案。

出任此次大會“應(yīng)急響應(yīng)、安全運(yùn)營”出品人的，是安恒信息首席安全官、高級副總裁劉志樂。會上，劉志樂就此次論壇主題發(fā)表致辭：“習(xí)總書記在全國網(wǎng)信工作會議上強(qiáng)調(diào)，要加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急聯(lián)動處置，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到端口前移，防患于未然。”

他表示，應(yīng)急響應(yīng)體系和技術(shù)作為網(wǎng)絡(luò)安全防線中的關(guān)鍵節(jié)點(diǎn)，構(gòu)成了保衛(wèi)國民社會經(jīng)濟(jì)網(wǎng)絡(luò)安全工作的重要組成，此次開辦世界信息安全大會分論壇，是為了做好現(xiàn)階段網(wǎng)絡(luò)安全信息的建設(shè)，希望以此提升網(wǎng)絡(luò)安全事件的應(yīng)急處理能力。

另一方面，劉志樂強(qiáng)調(diào)要抓住7個(gè)關(guān)鍵字：威脅情報(bào)的共享。他表示，號召更多的人加入威脅情報(bào)的共享，一起探尋解決企業(yè)安全問題的方法，才能履行網(wǎng)安人的職測，真正做好鑄造網(wǎng)絡(luò)安全體系的工作。

當(dāng)天下午的分論壇，幾位業(yè)內(nèi)大佬親自上陣，與大家分享安全之道。在此，雷鋒網(wǎng)就嘉賓討論議題進(jìn)行整理，并分享給大家。

議題一：工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的思考

李冰——國家信息安全技術(shù)研究中心原副主任

李冰認(rèn)為，隨著信息化快速發(fā)展，工業(yè)控制系統(tǒng)伴隨互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的發(fā)展呈現(xiàn)出高度融合的狀態(tài)。這一方面提升了工業(yè)控制系統(tǒng)的智能化、信息化程度，另一方面也為保障其安全帶來新的挑戰(zhàn)。

研究發(fā)現(xiàn)，較多工控系統(tǒng)攻擊的共同點(diǎn)在于攻擊工具的智能化、攻擊團(tuán)體的政治化、攻擊面積擴(kuò)大化和攻擊手段的跨學(xué)科化。由此可見，這種國家化、大規(guī)模、高持續(xù)性的攻擊手段已經(jīng)成為影響工業(yè)安全甚至國家安全的巨大隱患。

近幾年，此類攻擊事件更是不計(jì)其數(shù)，這也引起各個(gè)國家的高度重視。在國內(nèi)，工控安全的保障主要體現(xiàn)在以下幾點(diǎn)：

從標(biāo)準(zhǔn)研究的角度來講，要加強(qiáng)制定工業(yè)控制系統(tǒng)安全指南，工業(yè)通信網(wǎng)絡(luò)和系統(tǒng)安全，包括智能電網(wǎng)網(wǎng)絡(luò)安全指南，還有核設(shè)施網(wǎng)絡(luò)安全指南等。

從研究角度來講，漏洞的挖掘和使用的規(guī)范化，高新網(wǎng)絡(luò)安全技術(shù)向傳統(tǒng)工控行業(yè)的滲透尤為重要；

從防護(hù)角度來講，世界各大主流廠商都在做這方面的研究，像西門子、施奈德、多芬諾都在研究工控防火墻，都具有一系列的機(jī)制和技術(shù)。

從政策方面來講，2017年盼望已久的網(wǎng)絡(luò)安全法頒布，其中就強(qiáng)調(diào)了對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)，工控系統(tǒng)是網(wǎng)絡(luò)安全當(dāng)中非常重要的一類。

關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)條例也在送審或者征求意見，工信部印制和制定了工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法和工業(yè)控制系統(tǒng)信息安全行動計(jì)劃；公安部制定了信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求等等。

李冰表示，實(shí)際情況中，一個(gè)工控系統(tǒng)的工控軟件，應(yīng)該說是帶有硬件特征的，其對應(yīng)的安全應(yīng)用開發(fā)就相對較困難，修復(fù)起來也不是特別容易，時(shí)間周期比較長。另外，有的業(yè)主對修復(fù)時(shí)使用的補(bǔ)丁存在疑慮，這一系列問題造成攻擊不能及時(shí)被預(yù)防或制止。

解決上述問題，需要結(jié)合工控系統(tǒng)的可靠、連續(xù)、實(shí)時(shí)，具備分布性、系統(tǒng)性等特點(diǎn)。從技術(shù)防護(hù)、應(yīng)急備用措施、全面安全管理三個(gè)方面開展網(wǎng)絡(luò)安全工作，形成安全防護(hù)體系的立體結(jié)構(gòu)，相互支撐、相互融合、動態(tài)關(guān)聯(lián)，形成動態(tài)的三維立體結(jié)構(gòu)。

議題二：國家級網(wǎng)絡(luò)安全威脅情報(bào)共享的挑戰(zhàn)與實(shí)踐

何能強(qiáng)——國家互聯(lián)網(wǎng)應(yīng)急中心高級工程師

數(shù)據(jù)表明，2019年全球曝光的APT攻擊事件共81起，涉及33個(gè)不同國家的APT組織。其中受攻擊目標(biāo)最多的是美國，其次是中東地區(qū)和中國。

何能強(qiáng)表示，針對政府組織、金融貨幣、企業(yè)和醫(yī)療機(jī)構(gòu)的APT攻擊十分常見，執(zhí)行攻擊的黑客組織其目的不一，有的希望借助網(wǎng)絡(luò)攻擊動搖政府地位，有的想在企業(yè)、機(jī)構(gòu)制造混亂從中獲利，更有甚者僅僅是為了炫技。

這些投機(jī)行為，與政治意圖、利益掛鉤，圍繞漏洞、安全威脅等展開攻擊，其本質(zhì)都是對數(shù)據(jù)的竊取和利用，這就凸顯出威脅情報(bào)共享的重要性。通過聚合、轉(zhuǎn)換、分析、解釋或豐富過程，提供決策過程必要背景的信息，正是威脅情報(bào)實(shí)現(xiàn)溯源原始數(shù)據(jù)、挖掘中間信息和收集情報(bào)的原理所在。

何能強(qiáng)稱，其實(shí)數(shù)據(jù)是最容易獲取的，但是在數(shù)據(jù)里邊蘊(yùn)含了很多信息，我們可以通過關(guān)聯(lián)分析和解析處理拿到信息，但依托人工分析的有效信息在數(shù)量上難以匹敵數(shù)據(jù)總量，這時(shí)威脅情報(bào)的共享作為解決方案被越來越多的安全企業(yè)納入其中。

信息共享是博弈的資本，當(dāng)攔截攻擊的最優(yōu)方案變多，分析的成本、資源需求自然會增加，這種情況下威脅情報(bào)共享可以保證在最高的性價(jià)比情況下得到最優(yōu)解。本質(zhì)上，網(wǎng)絡(luò)安全工作圍繞的核心是惡意代碼（包括文件MD5、SHA256等）和釣魚網(wǎng)站的數(shù)據(jù)分析過程。采用一對多的方式進(jìn)行資源置換、分析結(jié)果的共享，可以極大程度增加可用數(shù)據(jù)容量。

議題三：Tenable怎么看待企業(yè)的安全防線

趙陽——Tenable中國區(qū)總經(jīng)理

Tenable公司通過與索尼、寶馬等大型企業(yè)交流后發(fā)現(xiàn)，現(xiàn)在的網(wǎng)絡(luò)攻擊不只是侵占一臺主機(jī)獲取用戶的信息，已經(jīng)開始轉(zhuǎn)變攻擊角度，從傳統(tǒng)一對一和點(diǎn)對點(diǎn)的攻擊，變成了橫向傳播攻擊的模式。

橫向攻擊的特點(diǎn)是，能看出漏洞，但是漏洞的數(shù)量龐大，當(dāng)找出漏洞時(shí)，已經(jīng)沒有可以修復(fù)的時(shí)間了，所以，做好漏洞管理，是企業(yè)后期最應(yīng)該改進(jìn)的重大問題。

Tenable公司在進(jìn)入中國市場后，還發(fā)現(xiàn)用戶在修復(fù)漏洞遇到的三個(gè)問題：第一是用戶不能全面掌握企業(yè)面臨的漏洞風(fēng)險(xiǎn)，第二是漏洞出現(xiàn)的太多，沒有多余的時(shí)間能進(jìn)行修補(bǔ)，第三是用戶分不清PC是服務(wù)器還是數(shù)據(jù)庫，不能掌握風(fēng)險(xiǎn)的處理能力，不利于安全防線工作的進(jìn)行。

針對此問題，Tenable公司提出可以通過攻擊的數(shù)據(jù)對漏洞進(jìn)行判斷，制定不同的維度，然后進(jìn)行不同的評分和研究，做好企業(yè)安全防線的工作。

議題四：打造無人值守的安全運(yùn)營中心

傅奎——上海霧幟智能科技有限公司CTO

傅奎指出，目前很多企業(yè)已經(jīng)實(shí)現(xiàn)50%的無人值守，通過自身在一線處置安全事件總結(jié)經(jīng)驗(yàn)，了解到客戶需要什么樣的產(chǎn)品，也清楚安全公司能提供什么產(chǎn)品和技術(shù)。

傅奎認(rèn)為將兩者結(jié)合起來，才能真正做到安全防御，將安全事件的處理能力變得有彈性，不僅能提高處理速度，還能在大部分情況下，無需人工干預(yù)便能完成整個(gè)安全事件的處理。

傅奎一直熱衷于研究無人值守的安全中心，經(jīng)過常年的研究，得出兩個(gè)結(jié)論，首先通過一些安全編排的方式，實(shí)現(xiàn)對IACD里邊所謂自適應(yīng)網(wǎng)絡(luò)的落地。

然后，因?yàn)闄C(jī)械有固定的工作模式，不會由于人工的情緒或煩惱而變化，通過進(jìn)行標(biāo)準(zhǔn)化設(shè)定，就能讓每個(gè)環(huán)節(jié)進(jìn)行對應(yīng)的工作，無需人工值守，都做好安全防御工作，更適合安全工作的開展。 

議題五：基于可信線索挖掘的威脅狩獵

張潤滋——綠盟科技高級安全研究員

張潤滋提出，綠盟科技一直致力于在信任的基礎(chǔ)上挖掘威脅狩獵的線索，對研究工作進(jìn)行創(chuàng)新。主動出擊分析線索，創(chuàng)新思路，找出攔截威脅的方法，并進(jìn)行自動化的分析。

比如，綠盟科技檢測的Webshell流量，根據(jù)Webshell利用攻擊者的漏洞，通過本地的腳本或者工具，然后對攻擊的主機(jī)進(jìn)行命令執(zhí)行或者操控，然后進(jìn)行抓取分析，得出結(jié)果。

最后，威脅狩獵或者威脅分析的過程并不是全部安全的，也會出現(xiàn)問題，主要是隨著工作的進(jìn)行，人力不能完成全自動的分析流程，所以，通過威脅狩獵研究線索時(shí)，一定要在研究過程中不斷提升數(shù)據(jù)的信任度，并充分運(yùn)用到實(shí)踐中，才能發(fā)揮人工系統(tǒng)的優(yōu)勢和能力，找到安全信息隱患，進(jìn)行修復(fù)。

議題六：數(shù)字品牌保護(hù)，一種業(yè)務(wù)安全的主動防御實(shí)踐

楊大路——北京天際友盟信息技術(shù)有限公司CEO

楊大路提出，除了前幾位講到的漏洞、攻擊事件等等常見的網(wǎng)絡(luò)安全事件以外，企業(yè)還面臨其他攻擊威脅，當(dāng)企業(yè)的主頁和業(yè)務(wù)被攻擊后，將會出現(xiàn)一系列的欺詐、仿冒和盜版鏈接等等，當(dāng)不明真相的人們上當(dāng)受騙后，將嚴(yán)重影響企業(yè)的聲譽(yù)，比如電影《我愛我的祖國》，剛上映就出現(xiàn)了盜版的資源等。

隨后，楊大路通過Gartner的案例進(jìn)一步說明企業(yè)被泄露數(shù)據(jù)后，需要提高數(shù)字品牌保護(hù)，才能做好企業(yè)的信息安全工作。楊大路還提出利用自由攻擊時(shí)間的概念，就是在遭受攻擊之前，企業(yè)就要先做好品牌資產(chǎn)的管理和能力建設(shè)，持續(xù)優(yōu)化品牌的資產(chǎn)，積極引入搜索引擎、一些威脅情報(bào)、第三方數(shù)據(jù)接口等，提前發(fā)現(xiàn)風(fēng)險(xiǎn)，做好數(shù)字品牌保護(hù)工作。

最后，楊大路表示，對數(shù)字品牌進(jìn)行保護(hù)工作，這是一種新的防范手段，更是主動出擊、主動防御的一種新思路。

結(jié)語

“應(yīng)急響應(yīng)、安全運(yùn)營”分論壇，因?yàn)榫W(wǎng)安界大佬趙陽、傅奎、張潤滋和楊大路等人的加盟，不僅為分論壇添磚加瓦，還讓整個(gè)論壇氛圍顯得更加精彩、融洽。

通過整個(gè)議題來看，主要包括降低企業(yè)安全風(fēng)險(xiǎn)，打造無人值守的安全運(yùn)營中心，基于可信線索挖掘的威脅狩獵，數(shù)字品牌保護(hù)是業(yè)務(wù)安全的主動防御實(shí)踐四個(gè)大議題。各位業(yè)界大佬親身上陣，言傳身教，通過數(shù)據(jù)和事件分析，積極為企業(yè)找尋處理安全問題的最佳方法。

此次世界信息安全大會可謂是八仙過海，各顯神通，場面空前盛大。相信通過此次大會打造的安全會議品牌，以后的世界信息安全大會更會帶來不一樣的新局面、新氣象，現(xiàn)在雷鋒網(wǎng)已經(jīng)開始翹首以盼明年的世界信息安全大會了。

本次分論壇后，劉志樂總結(jié)道“網(wǎng)絡(luò)安全任重道遠(yuǎn)，需要各界人士一起攜手并進(jìn)，做好網(wǎng)絡(luò)安全工作，這才是所有網(wǎng)安從業(yè)者的本職?！?/p>

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。