↑ 点击上方“安全狗”关注我们
9月9日,由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心(公安部第三研究所)主办的ATT&CK技术和应用论坛在北京顺利举办。
作为国内云安全CWPP领导厂商,安全狗此次也收到邀请出席活动。
据悉,此次论坛以“推进ATT&CK防御体系落地 应对数字时代网络威胁挑战”为主题,通过对AT T&CK威胁框架技术和应用的聚焦,以及对相关热点、前沿话题的深入探讨,为政府主管领导、ATT&CK技术资深专家、金融行业安全负责人、测评机构负责人、行业安全负责人、安全厂商、网络安全从业者等众多人员带去系列思考与启发。
安全狗成立于2013年,自成立以来就致力于提供云安全领域相关产品、服务及解决方案,是国内最早引入云工作负载安全(CWPP)概念,并成功构建相应产品线的专业云安全厂商。
在此次论坛中,安全狗海青实验室负责人陈俊杰也围绕“ATT&CK检测技术在云工作负载的实践”主题分享了他对此技术多年来的研究心得与产品落地经验。
陈俊杰此次围绕ATT&CK发展态势、落地ATT&CK的思考与实践、安全狗基于ATT&CK框架进行攻防实战的案例以及整体总结等四大部分进行内容分享。
在介绍ATT&CK发展态势时,陈俊杰提到,“ATT&CK框架较为具体、全面,它将矩阵、战术、技术、过程以及阻断措施系统性地组织在了一起”,此外,ATT&CK也不断进行版本更迭,加入了容器安全和战术等内容,提高了企业场景下的攻防技术水平,对安全行业发展产生了重要的影响。
随着业务以数字化的形态运转在以主机和容器为代表的云工作负载上这一趋势的深化,云工作负载也面临新型威胁。为此,陈俊杰也分析到可基于ATT&CK技术进行红蓝对抗模拟、构建攻防知识图谱、确定数据源、确定威胁检测算法,以此强化安全产品的能力。
虽然ATT&CK技术能带来一系列的能力提升,但此技术在落地过程中也面临着威胁检测技术的不成熟性、黑、白名单进程的不确定性、威胁数据源采集维度的模糊性、业务机资源占用的不稳定性等多个难点。面对这些技术落地难点,安全狗海青实验室也凭借在云原生安全、AI技术在网络安全中的应用、威胁情报、漏洞情报等方面的多年研究经验,成功落地此技术:
在主机安全方面,“威胁检测”功能模块现已内置数百条规则,覆盖了ATT&CK攻击矩阵中14个阶段高频攻击战术和渗透及后渗透的入侵检测,特别是针对目前主流的web中间件以及像永恒之蓝这样的主机RCE漏洞的检测能力覆盖;
在容器安全方面,借鉴主机安全的经验,通过异常进程、异常文件操作及异常命令等角度覆盖K8s运行时安全的高频攻击场景,正在进行基于“默认网络设置”、“Secret资源对象”及“编排平台的脆弱性”等方面的场景覆盖。
与此同时,陈俊杰也详细分析了ATT&CK运用在威胁检测过程中所存在的系列不足:
其一是“攻击技战术行为难以判定”,仅凭“子技术”本身,难以判定攻击者所使用的战术;
其二是“入侵溯源难以推理”,仅凭“ATT&CK”框架本身,难以直接推理攻击者的入侵过程;
其三是“应用在防御时难以实现自动化”,仅凭机器单点,难以在复杂的攻防场景实现完整的入侵检测自动化,这往往需要介入人工和设备做大量分析。
随着陈俊杰深入浅出的讲解,与会嘉宾也纷纷对安全狗如何实际运用ATT&CK技术感兴趣。他也分别从JBoss反序列化漏洞、Tomcat任意上传漏洞&文件包含漏洞、内存马无文件攻击、powershell无文件攻击、容器逃逸、镜像投毒等6个案例详细地介绍了ATT&CK技术在攻防场景中的强大作用。值得注意的是,“基于ATT&CK以攻促防”的方法和经验已经在安全狗的系列产品中得到良好的落地与应用,提升了在(云)主机、K8s环境的安全防护能力水平。
陈俊杰有趣、富有感染力的演讲不仅展现了安全狗在ATT&CK技术研究方面的深厚经验,也为与会嘉宾日后如何落地ATT&CK技术,提升检测能力带去一定程度的启发。现场座无虚席,反响热烈。
随着云计算、5G的深入发展,新型威胁也将涌现,从攻防视角出发落地ATT&CK技术也越发重要。安全狗将秉持“软件定义防御 智能驱动安全”的产品理念,同时及时吸取国内外前沿安全技术进行技术打磨,推出更加全面且稳固、能为更多用户提供更好安全能力与服务的产品矩阵,为我国的网络安全事业发展贡献力量。
