近日，作為第九屆互聯(lián)網(wǎng)安全大會(huì)（ISC 2021）技術(shù)日分論壇之一的 “新型網(wǎng)絡(luò)威脅檢測的應(yīng)用與實(shí)戰(zhàn)論壇”成功舉辦。本次分論壇邀請(qǐng)到了業(yè)內(nèi)權(quán)威技術(shù)領(lǐng)導(dǎo)和安全專家，從技術(shù)和方案實(shí)踐出發(fā)，分享各自在XDR體系下的獨(dú)門秘籍，包括對(duì)抗技術(shù)創(chuàng)新、AI等技術(shù)應(yīng)用、關(guān)鍵能力構(gòu)建、XDR生態(tài)構(gòu)建、多場景實(shí)踐等海量實(shí)戰(zhàn)經(jīng)驗(yàn)，幫助企業(yè)提升網(wǎng)絡(luò)攻防對(duì)抗能力。

（中國信息安全測評(píng)中心技術(shù)處處長、今朝網(wǎng)絡(luò)安全眾測委員會(huì)秘書長吳潤浦）

中國信息安全測評(píng)中心技術(shù)處處長、今朝網(wǎng)絡(luò)安全眾測委員會(huì)秘書長吳潤浦為本次論壇致辭時(shí)表示，數(shù)字化浪潮下，全球網(wǎng)絡(luò)正在遭受前所未有的網(wǎng)絡(luò)攻擊威脅，網(wǎng)絡(luò)安全比以往任何時(shí)候都有可能對(duì)國家安全造成嚴(yán)重威脅，維護(hù)國家網(wǎng)絡(luò)安全迫切需要網(wǎng)安企業(yè)、研究機(jī)構(gòu)、科研院所等創(chuàng)新檢測技術(shù)、檢測方法、檢測模式，提升檢測效率、檢測精度、檢測能力和響應(yīng)速度，構(gòu)建新一代網(wǎng)絡(luò)安全防御體系。XDR應(yīng)時(shí)代需求而生，是網(wǎng)絡(luò)防御的發(fā)展趨勢和方向。網(wǎng)安企業(yè)應(yīng)順勢而為，攜起手來掌握和突破其中的關(guān)鍵技術(shù)，破解落地應(yīng)用過程中的難題和挑戰(zhàn)，助推XDR解決方案的推廣和應(yīng)用。360公司構(gòu)建出強(qiáng)大的XDR解決方案，堅(jiān)信在未來的攻防對(duì)抗中一定能夠不斷發(fā)揮關(guān)鍵作用，成為國家網(wǎng)絡(luò)安全防御體系中不可逾越的一道安全屏障。

（國家信息中心信息與網(wǎng)絡(luò)安全部政務(wù)外網(wǎng)安全監(jiān)測處主任張濤）

“網(wǎng)絡(luò)安全監(jiān)測是第一道防線，沒有發(fā)現(xiàn)就沒有防御，攻防雙方的對(duì)抗在技術(shù)上就是看見與看不見的博弈。”國家信息中心信息與網(wǎng)絡(luò)安全部政務(wù)外網(wǎng)安全監(jiān)測處主任張濤在作題為《國家電子政務(wù)外網(wǎng)威脅監(jiān)測實(shí)踐》的分享時(shí)表示。近年來政務(wù)行業(yè)信息化架構(gòu)的變化，推動(dòng)政務(wù)網(wǎng)絡(luò)安全需求的變化，如何有效應(yīng)對(duì)政務(wù)網(wǎng)絡(luò)安全的新變革，需要以監(jiān)測預(yù)警為抓手，對(duì)于信息資產(chǎn)進(jìn)行全面監(jiān)測，實(shí)時(shí)發(fā)現(xiàn)攻擊危險(xiǎn)，識(shí)別脆弱性，檢驗(yàn)安全機(jī)制，發(fā)現(xiàn)問題及時(shí)預(yù)警，準(zhǔn)確把握全網(wǎng)、全域、全業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢。張濤說：“結(jié)合我國政務(wù)行業(yè)的特點(diǎn)，網(wǎng)絡(luò)安全法律法規(guī)要求，我們提出MWDCA網(wǎng)絡(luò)安全動(dòng)態(tài)模型，模型由安全監(jiān)測預(yù)警通報(bào)、響應(yīng)處置、監(jiān)督檢查、持續(xù)改進(jìn)五個(gè)環(huán)節(jié)組成?！?/span>

（360政企安全集團(tuán)終端安全技術(shù)總監(jiān)秦光遠(yuǎn)）

APT攻擊影響日趨嚴(yán)重，XDR作為APT發(fā)現(xiàn)的重要手段，受到眾多安全廠商和客戶的青睞。360政企安全集團(tuán)終端安全技術(shù)總監(jiān)秦光遠(yuǎn)作了《從XDR攻防對(duì)抗視角談技術(shù)創(chuàng)新》的主旨演講，講述了XDR產(chǎn)品中主流的信息采集方案及攻擊繞過方法，并介紹基于 ILSVM 虛擬機(jī)的新一代可靠信息采集技術(shù)。明確說明了端點(diǎn)數(shù)據(jù)在XDR中的關(guān)鍵性，端是一切事情發(fā)生的根源，深入淺出的為大家講解了ETW探針的缺陷、KPP的影響以及EDR的繞過技術(shù)。同時(shí)引入了新技術(shù)下EDR探針，例如使用ROP攻擊SMEP行為的輕型探測器等。

（360政企安全集團(tuán)威脅感知部安全架構(gòu)資深專家李斌）

360政企安全集團(tuán)威脅感知部安全架構(gòu)資深專家李斌帶來了《NDR的關(guān)鍵能力和場景應(yīng)用》的分享，并從NDR的概念及方案優(yōu)勢、NDR關(guān)鍵技術(shù)能力和在不同場景下的應(yīng)用等三方面進(jìn)行了闡述。360NDR與傳統(tǒng)解決方案相比在威脅檢測、協(xié)議還原、響應(yīng)處置方面具備優(yōu)越性。在已知威脅和未知威脅的檢測中，使用機(jī)器學(xué)習(xí)，深度學(xué)習(xí)的方式去應(yīng)對(duì)不斷變化的新威脅，如隨機(jī)森林，DBSCAN聚類算法，圖算法等等。

在企業(yè)的場景應(yīng)用中，李斌說：“360NDR不僅能夠快速集成云端的能力，同時(shí)也可以通過插件式的集成企業(yè)用戶自身安全團(tuán)隊(duì)的威脅檢測模型，更加的貼切用戶自身的安全架構(gòu)業(yè)務(wù)?！辈⑶裔槍?duì)新漏洞的產(chǎn)生，能夠通過訂閱推送的方式，使NDR集成新檢測規(guī)則或引擎，按照內(nèi)置的威脅劇本進(jìn)行回溯，不斷的發(fā)現(xiàn)新的高級(jí)威脅。

（360政企安全集團(tuán)研發(fā)中心產(chǎn)品經(jīng)理陳文濤）

360公司是如何構(gòu)建基于安全大腦生態(tài)的XDR解決方案，并在實(shí)網(wǎng)攻防場景下應(yīng)用，360政企安全集團(tuán)研發(fā)中心產(chǎn)品經(jīng)理陳文濤作了題為《實(shí)網(wǎng)攻防場景下的360本地安全大腦XDR構(gòu)建》的演講。他介紹說，實(shí)網(wǎng)攻防場景下，攻擊技戰(zhàn)術(shù)發(fā)生了變化，攻擊烈度更高、隱秘性更強(qiáng)、速度更快以及傳統(tǒng)防護(hù)體系失效，對(duì)XDR解決方案提出了更高需求。360公司XDR解決方案通過一系列的探針，除了獲取告警外，同時(shí)采集全部的打點(diǎn)數(shù)據(jù)，真正的實(shí)現(xiàn)了對(duì)威脅的全面可視性，為后續(xù)對(duì)威脅的檢測、響應(yīng)提供了基礎(chǔ)。更為重要的是，360攻防知識(shí)圖譜驅(qū)動(dòng)了XDR解決方案的有效落地。

（貝殼找房平臺(tái)安全部負(fù)責(zé)人章華鵬）

貝殼找房平臺(tái)安全部負(fù)責(zé)人章華鵬結(jié)合自身業(yè)務(wù)作了題為《面向新居住產(chǎn)業(yè)的威脅分析及對(duì)抗實(shí)踐》的演講。貝殼找房房產(chǎn)交易服務(wù)平臺(tái)在全國有超過100家辦公職場，數(shù)萬家線下作業(yè)門店和數(shù)十萬作業(yè)電腦終端；如此龐大和復(fù)雜的網(wǎng)絡(luò)辦公空間和節(jié)點(diǎn)，每天都面臨著各種各樣的網(wǎng)絡(luò)威脅，這些威脅有來自網(wǎng)絡(luò)攻擊的、也有來自商業(yè)競爭導(dǎo)致的黑灰產(chǎn)攻擊。他指出，房源、客源等信息作為貝殼商業(yè)生態(tài)中的關(guān)鍵信息，成為平臺(tái)的核心保護(hù)對(duì)象，分布全國的辦公場所及門店的電腦終端是“勒索”“挖礦”攻擊的主要目標(biāo)對(duì)象?；谶@些威脅，貝殼進(jìn)行了威脅對(duì)抗實(shí)踐，對(duì)抗的本質(zhì)在于對(duì)規(guī)則的維護(hù)，最終達(dá)到解決行業(yè)在實(shí)際生產(chǎn)過程中生態(tài)安全問題的目的，并闡述了關(guān)于新居住產(chǎn)業(yè)的未來，是如何通過威脅對(duì)抗提升行業(yè)生態(tài)健康的。

（北京金睛云華科技有限公司技術(shù)總監(jiān)富吉祥）

“目前，互聯(lián)網(wǎng)70%的流量為加密流量，通過傳統(tǒng)的手段很難去識(shí)別這種加密流量，因此缺少高級(jí)威脅的關(guān)鍵線索將影響XDR方案效果?！北本┙鹁υ迫A科技有限公司技術(shù)總監(jiān)富吉祥在《人工智能技術(shù)在XDR中的應(yīng)用實(shí)踐》的分享中表示。人工智能技術(shù)可以有效應(yīng)用到XDR領(lǐng)域，涉及構(gòu)建基于人工智能驅(qū)動(dòng)的高級(jí)威脅檢測分析能力，如檢測惡意加密流量、DGA域名、隱蔽隧道等傳統(tǒng)特征檢測手段無法檢測的異常網(wǎng)絡(luò)行為，同時(shí)可以使用智能算法結(jié)合知識(shí)圖譜技術(shù)，實(shí)現(xiàn)對(duì)資產(chǎn)、情報(bào)和海量威脅事件的關(guān)聯(lián)分析，完成高級(jí)威脅事件發(fā)現(xiàn)和網(wǎng)絡(luò)攻擊溯源可視化。特別是針對(duì)惡意流量的識(shí)別首先可以通過多種途徑收集惡意加密流量來源，其次對(duì)惡意加密流量的數(shù)據(jù)進(jìn)行預(yù)處理，然后進(jìn)行特征提取、數(shù)據(jù)降維分析、最后進(jìn)行模型學(xué)習(xí)與效果檢測。

新技術(shù)、新場景、新戰(zhàn)術(shù)，將會(huì)帶來新型網(wǎng)絡(luò)威脅，越來越多的企業(yè)需要構(gòu)建自身的高級(jí)威脅檢測能力，XDR擴(kuò)展檢測與響應(yīng)已經(jīng)被業(yè)界公認(rèn)為，能夠解決新型網(wǎng)絡(luò)威脅攻擊或者高級(jí)網(wǎng)絡(luò)威脅發(fā)現(xiàn)的重要手段和解決方案。此次ISC 2021新型網(wǎng)絡(luò)威脅檢測的應(yīng)用與實(shí)戰(zhàn)論壇為業(yè)界搭建了技術(shù)交流與分享的平臺(tái)，向行業(yè)輸出了更多前瞻觀點(diǎn)，以滿足網(wǎng)絡(luò)安全行業(yè)的發(fā)展需要。