编者按：情报是针对高级网络攻击的有力武器。

五月的最后一天，伴着淅淅沥沥的小雨，由国内知名互联网安全新媒体FreeBuf 主办的2018威胁情报&APT攻击技术与趋势高峰论坛在上海证大美爵酒店盛大召开。本次高峰论坛话题聚焦APT攻击技术趋势与威胁情报的发展，分享和探讨威胁情报与APT分析检测如何在企业中落地。下面，就和小编一起来回顾下本次论坛的精华内容吧。

威胁情报驱动的安全智能

演讲者 微步在线 CEO 薛锋

在安全领域有句广泛流传的话“攻防不对等”。攻击者隐于暗处，人员众多，在工具、资源乃至时间上都占据优势，防御方常常感觉“孤木难支”，特别是随着AI技术的发展，很多时候企业甚至不知道自己对抗的是人还是机器，不了解对方的情况和意图，攻防的状态大多是敌众我寡，敌暗我明。在攻防不对等的情况下，单纯依靠安全产品的被动防御能力无法应对。

企业将处于持续被攻陷的状态，检测和响应成为了现今安全工作的重心。薛锋先生在论坛上讲到，威胁情报能够让企业第一时间掌握最新的安全事件、攻击趋势、漏洞等信息并及时进行安全预防、安全检测和应急响应工作。曾经很多人认为威胁情报是高级应用，在企业难以实现落地，但事实并非如此。威胁情报就在我们身边的每一处细节中，这也就要求企业安全工作要做到极致的细。薛锋先生在演讲中提到，利用杀伤链（Kill Chain）与钻石模型可以持续不断的完成情报的积累。

企业反APT构想

演讲者 平安集团 银河实验室负责人 王延辉

知其然而后知其所以然，王延辉先生首先为我们通俗易懂的讲解了APT攻击的几个主要阶段。首先是目标侦察，APT团队首先会尽可能全面的收集企业资产信息，为后续找到安全漏洞提供基础；第二是寻找漏洞弱点进行外网渗透，获取权限并找到内网通道。随后开始对内网进行渗透；进入内网，攻击者可以开始搜寻目标，获取必要的网络拓扑、目标任务、目标系统位置等；找到目标后，就要进行一个细致重要的工作，信息外传，攻击者要避开监控系统，找到一条安全的外网通道将信息送出；最后根据任务特性，决定是否继续潜伏。

APT攻击常常是蓄谋已久的，企业该如何应对处心积虑的对手呢？从源头抓起，在目标侦察阶段，就要尽最大可能减少资产信息的暴露。企业可以尝试从暗网、常规的论坛、微信、qq、资讯网站、出入站流量匹配、github等代码托管平台的监控，通过外部的威胁情报来获取潜在的攻击信息。除此之外，防御APT攻击我们还可以做些其他的尝试，比如比较有效的主机防御系统，HIDS。对于流量的解析。另外一个比较有效的是密网，也叫诱饵。就是在网络内部署独立的诱饵系统，多处部署诱饵，把攻击者引导到密网系统中。

攻击热点指南针和深信服企业安全实践

演讲者 深信服 资深安全专家 庞思铭

孙子曾说：知己知彼方能百战不殆。在攻防世界里，防御者在明，敌手在暗，面对复杂不确定的攻击者，如果对其意图和布阵策略都一无所知，防御自然是无从谈起。在本次高峰论坛上，深信服资深安全专家庞思铭基于区块链相关的安全话题、基于IoT的僵尸网络及DDOS、供应链安全、与AI有关的安全话题、恶意软件、钓鱼、勒索/Raas等近期热点事件的分析汇总，分享攻击热点指南，帮助用户明晰攻击形势。

从攻击的发展趋势看，来源于内网的攻击逐渐增多。面对内网服务器被感染、传播挖矿病毒、勒索恶意软件、以及来自供应链的潜在攻击威胁，组织单位往往无能为力，其主要原因是缺乏对这些威胁的感知能力。

因此，组织单位需要构建一个以可视为基础，增强检测响应能力的安全体系。庞思铭在分享中指出：构建对威胁的检测、响应能力最为关键。要构建这些能力，需要从“数据来源”、“检测分析”、“可视化”、与“处置响应”四个方面来构建：数据来源必须广泛有效，利用威胁情报、云端沙箱等外部数据来提供最新情报，结合自有设备在用户网络内部进行主动的全流量检测，提取有效数据。检测分析上，通过机器学习等智能检测分析技术来构建准确的检测模型，提升检测能力。通过微观、宏观两方面的可视化呈现，让安全看得见，让运维更简单。在处置响应上，通过安全联动+自动化服务实现更及时高效的响应。

生产网络中的情报价值与应用

演讲人 宜信 安全部情报分析专家 薛兆云

威胁情报本身是一种历史记录，用于参考，类似于人的信用，让网络中的各个字段也有信用。用数据驱动安全，在攻击者进行攻击时，自动匹配攻击者所使用的网络各个字段的信用，信用低者必将引起注意。威胁情报的来源一般分为由商业产品、开源产品提供的外部情报和由日志平台、FW、WAF、蜜罐等系统提供的内部情报。威胁情报的分类整理是落地应用的基石，所有的分析与应用均应基于此展开。

当前，企业安全普遍面临着防护系统各自为营、海量告警日志人工处理不及时、没有规则就无法发现其他异常流量，很多告警发出后却没有相应的应急响应等痛点。将威胁情报、日志和流量进行关联分析，对分析结果进行自动和人工响应，来补充已部署的各种安全设备和防护系统做不到的防护，通过这些我们才能更清楚地看清生产网络中黑或灰色流量究竟是什么。

威胁情报与卡巴斯基威胁情报中心

演讲人 卡巴斯基实验室 亚太区病毒中心负责人 董岩

针对企业的定向攻击所具有的技战术多样、过程复杂等特点使得传统的单纯从防御角度出发的防护手段已经力不从心。除传统的被动防御手段外，企业可以利用威胁情报主动地对威胁形势进行预判、感知从而采取预防性的部署。而攻击者对技战术、工具的复用也使得威胁情报可以有效抵御攻击。

APT实践分享：基于机器学习的隐蔽信道检测从0->1

演讲人 斗象科技 技术总监 徐钟豪

企业内网环境中，DNS协议是必不可少的网络通信协议之一，网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽，因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT中维持访问和数据窃取阶段。在实际场景中，当攻击者拿下某台服务器权限，或服务器被恶意软件、蠕虫、木马等感染之后，通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。

相比于基于规则的静态阈值检测误报高，易被绕过等问题，可以使用机器学习技术从历史数据中学习出一个DNS隧道模式用于检测。使用机器学习构建DNS隧道检测模型，重要步骤是对DNS隧道流量进行特征挖掘分析，需要以DNS协议标准中各字段的统计分析、DNS隧道实现原理为基础，同时结合安全专家知识提取模型特征。在机器学习算法模型选择方面，鉴于在安全检测类产品中要求模型具有高效性、结果便于解释性等特点，在模型选取上更侧重选用一些基于特征的浅层学习模型。

安全事件的发现、分析、响应及取证

演讲人 兰云科技 高级副总裁 周宏斌

APT时代，“我们是否已被入侵，敏感信息是否已泄露”，是CEO们越来越担心的问题。第一时间发现入侵事件，评估影响，合理应对，是企业安全部门的职责。如何利用技术手段解决企业安全部门的困难，消除CEO们的担心？周宏斌先生以自己公司实际遇到的一次攻击事件为例，向在场的观众分享了他们对此次攻击事件的发现、分析与应急处理的过程。

内网反APT实践

演讲人 京东安全 安全战略官 吉贻俊

APT攻击通常由有政治背景的组织发起，攻击目标从政府机构到基础设施、学校扩展至大型企业及金融行业等，对企业的财务、名誉、业务可持续性造成巨大损失。据统计，有27%的组织都利用过0day漏洞，他们擅长利用最新的技术，检测躲避技术，攻击行为高级，不达目的永不停止。企业应对APT攻击难以整合有效信息情报来源探查攻击，难以衡量防范攻击的有效性，需要协调现有的安全日常运维组织架构和重大应急响应的需要。

APT攻击真的无法防范么？吉贻俊先生提出了一个观点“Think like a hacker”，在攻击者的角度思考解决方案。划定企业资产范围、资产属性以及资产类别，找打企业重要资产。对整个环境做监控，这里的粒度是每一条日志，不管是应用日志还是系统日志，还有安全日志，统统收入，然后进行调优处理。参考SOC安全运营中心的建设，建立一套完整的日志体系。同时，信息安全永远不只是单纯的技术问题，要极力控制人为因素造成的安全漏洞，培养全员安全意识，提升技术人员的专业水平，培训高级管理人员防攻击。

在野0day揭秘:威胁情报感知发现APT攻击

演讲人 360核心安全追日团队负责人 边亮

360追日团队专注APT等高级威胁的研究，致力于发现和披露更多的APT组织或行动，截至目前已经发现三十多个APT组织。边亮在演讲中介绍到，近期360追日团队观察到的APT攻击覆盖着全国30多个省市，发现各类免杀木马数十种，覆盖Windows、Mac、Android、Linux平台，均是涉及针对政府、科技、教育、军工、能源和交通多个领域的定向攻击。网络攻击可以从任何一个薄弱点发起并已逐渐自动化和智能化，安全响应速度要求越来越快，但面对海量安全事件，人力无法及时有效地分析处理。

基于云端大数据，利用大数据分析挖掘、高级威胁沙箱检测、机器学习及专家分析构成的威胁情报，可以有效的协助完成完全事件的定性与溯源。在演讲中，边亮还分享了追日团队捕获的在野0day漏洞、噩梦公式二代漏洞、双杀漏洞的案例以及著名的摩诃草APT攻击组织。

威胁情报是高级威胁防御的灵魂

演讲人 Fortinet 华东区资深技术顾问 王哲闻

APT（AdvancedPersistent Threat）--------高级持续性威胁。是指组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击威胁企业数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。此类攻击行为是传统安全检测系统无法有效检测发现，前沿防御方法是利用非商业化虚拟机分析技术，对各种邮件附件、文件进行深度的动态行为分析，发现利用系统漏洞等高级技术专门构造的恶意文件，从而发现和确认APT攻击行为。

如何利用好威胁情报？在SOC环境中建立威胁情报功能，这是在日常的SOC操作强制性的指导和协助SOC分析师进行分析，并与业务和风险办公室对接，确保在风险和威胁方面，维持用户暴露于最低限度不变。同时，威胁情报分析工作应涵盖情报功能的完整连续性。

业务安全与威胁情报的价值量化

演讲人 快钱支付 科技风险负责人 赵锐

在演讲的开始，赵锐先生首先分享了他对企业安全工作的看法。当前，在很多企业中，安全工作人员常常被认为是麻烦制造者不被接受，安全工作内容难总结，不被重视，很多负责人也不是技术出身，对安全一知半解，沟通困难。

随后，赵锐先生分享了他对业务安全的看法。业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。业务安全目标是要支持公司战略，保障业务发展，减少资金损失。而要做好业务安全，首先要深入的了解业务，包括组织的主要利润来源，识别主要业务系统，清楚业务流、数据流，清楚每个流程、节点的风险和控制措施。

以上是本次威胁情报&APT攻击技术与趋势高峰论坛精彩议题回顾，FreeBuf 企业安全俱乐部，下一站，深圳见～

演讲PPT陆续更新中，下载链接: https://pan.baidu.com/s/1kJ6Xm_7cQyOjiPikuo7gbg  密码: tdkv

*本文系FreeBuf官方报道，转载请注明来自FreeBuf.COM