近日，作為第九屆互聯(lián)網(wǎng)安全大會（ISC 2021）技術(shù)日分論壇之一的 “新型網(wǎng)絡(luò)威脅檢測的應(yīng)用與實戰(zhàn)論壇”成功舉辦。本次分論壇邀請到了業(yè)內(nèi)權(quán)威技術(shù)領(lǐng)導(dǎo)和安全專家，從技術(shù)和方案實踐出發(fā)，分享各自在XDR體系下的獨門秘籍，包括對抗技術(shù)創(chuàng)新、AI等技術(shù)應(yīng)用、關(guān)鍵能力構(gòu)建、XDR生態(tài)構(gòu)建、多場景實踐等海量實戰(zhàn)經(jīng)驗，幫助企業(yè)提升網(wǎng)絡(luò)攻防對抗能力。

（中國信息安全測評中心技術(shù)處處長、今朝網(wǎng)絡(luò)安全眾測委員會秘書長吳潤浦）

中國信息安全測評中心技術(shù)處處長、今朝網(wǎng)絡(luò)安全眾測委員會秘書長吳潤浦為本次論壇致辭時表示，數(shù)字化浪潮下，全球網(wǎng)絡(luò)正在遭受前所未有的網(wǎng)絡(luò)攻擊威脅，網(wǎng)絡(luò)安全比以往任何時候都有可能對國家安全造成嚴(yán)重威脅，維護國家網(wǎng)絡(luò)安全迫切需要網(wǎng)安企業(yè)、研究機構(gòu)、科研院所等創(chuàng)新檢測技術(shù)、檢測方法、檢測模式，提升檢測效率、檢測精度、檢測能力和響應(yīng)速度，構(gòu)建新一代網(wǎng)絡(luò)安全防御體系。XDR應(yīng)時代需求而生，是網(wǎng)絡(luò)防御的發(fā)展趨勢和方向。網(wǎng)安企業(yè)應(yīng)順勢而為，攜起手來掌握和突破其中的關(guān)鍵技術(shù)，破解落地應(yīng)用過程中的難題和挑戰(zhàn)，助推XDR解決方案的推廣和應(yīng)用。360公司構(gòu)建出強大的XDR解決方案，堅信在未來的攻防對抗中一定能夠不斷發(fā)揮關(guān)鍵作用，成為國家網(wǎng)絡(luò)安全防御體系中不可逾越的一道安全屏障。

（國家信息中心信息與網(wǎng)絡(luò)安全部政務(wù)外網(wǎng)安全監(jiān)測處主任張濤）

“網(wǎng)絡(luò)安全監(jiān)測是第一道防線，沒有發(fā)現(xiàn)就沒有防御，攻防雙方的對抗在技術(shù)上就是看見與看不見的博弈?！眹倚畔⒅行男畔⑴c網(wǎng)絡(luò)安全部政務(wù)外網(wǎng)安全監(jiān)測處主任張濤在作題為《國家電子政務(wù)外網(wǎng)威脅監(jiān)測實踐》的分享時表示。近年來政務(wù)行業(yè)信息化架構(gòu)的變化，推動政務(wù)網(wǎng)絡(luò)安全需求的變化，如何有效應(yīng)對政務(wù)網(wǎng)絡(luò)安全的新變革，需要以監(jiān)測預(yù)警為抓手，對于信息資產(chǎn)進行全面監(jiān)測，實時發(fā)現(xiàn)攻擊危險，識別脆弱性，檢驗安全機制，發(fā)現(xiàn)問題及時預(yù)警，準(zhǔn)確把握全網(wǎng)、全域、全業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險發(fā)生的規(guī)律、動向、趨勢。張濤說：“結(jié)合我國政務(wù)行業(yè)的特點，網(wǎng)絡(luò)安全法律法規(guī)要求，我們提出MWDCA網(wǎng)絡(luò)安全動態(tài)模型，模型由安全監(jiān)測預(yù)警通報、響應(yīng)處置、監(jiān)督檢查、持續(xù)改進五個環(huán)節(jié)組成。”

（360政企安全集團終端安全技術(shù)總監(jiān)秦光遠(yuǎn)）

APT攻擊影響日趨嚴(yán)重，XDR作為APT發(fā)現(xiàn)的重要手段，受到眾多安全廠商和客戶的青睞。360政企安全集團終端安全技術(shù)總監(jiān)秦光遠(yuǎn)作了《從XDR攻防對抗視角談技術(shù)創(chuàng)新》的主旨演講，講述了XDR產(chǎn)品中主流的信息采集方案及攻擊繞過方法，并介紹基于 ILSVM 虛擬機的新一代可靠信息采集技術(shù)。明確說明了端點數(shù)據(jù)在XDR中的關(guān)鍵性，端是一切事情發(fā)生的根源，深入淺出的為大家講解了ETW探針的缺陷、KPP的影響以及EDR的繞過技術(shù)。同時引入了新技術(shù)下EDR探針，例如使用ROP攻擊SMEP行為的輕型探測器等。

（360政企安全集團威脅感知部安全架構(gòu)資深專家李斌）

360政企安全集團威脅感知部安全架構(gòu)資深專家李斌帶來了《NDR的關(guān)鍵能力和場景應(yīng)用》的分享，并從NDR的概念及方案優(yōu)勢、NDR關(guān)鍵技術(shù)能力和在不同場景下的應(yīng)用等三方面進行了闡述。360NDR與傳統(tǒng)解決方案相比在威脅檢測、協(xié)議還原、響應(yīng)處置方面具備優(yōu)越性。在已知威脅和未知威脅的檢測中，使用機器學(xué)習(xí)，深度學(xué)習(xí)的方式去應(yīng)對不斷變化的新威脅，如隨機森林，DBSCAN聚類算法，圖算法等等。

在企業(yè)的場景應(yīng)用中，李斌說：“360NDR不僅能夠快速集成云端的能力，同時也可以通過插件式的集成企業(yè)用戶自身安全團隊的威脅檢測模型，更加的貼切用戶自身的安全架構(gòu)業(yè)務(wù)?！辈⑶裔槍π侣┒吹漠a(chǎn)生，能夠通過訂閱推送的方式，使NDR集成新檢測規(guī)則或引擎，按照內(nèi)置的威脅劇本進行回溯，不斷的發(fā)現(xiàn)新的高級威脅。

（360政企安全集團研發(fā)中心產(chǎn)品經(jīng)理陳文濤）

360公司是如何構(gòu)建基于安全大腦生態(tài)的XDR解決方案，并在實網(wǎng)攻防場景下應(yīng)用，360政企安全集團研發(fā)中心產(chǎn)品經(jīng)理陳文濤作了題為《實網(wǎng)攻防場景下的360本地安全大腦XDR構(gòu)建》的演講。他介紹說，實網(wǎng)攻防場景下，攻擊技戰(zhàn)術(shù)發(fā)生了變化，攻擊烈度更高、隱秘性更強、速度更快以及傳統(tǒng)防護體系失效，對XDR解決方案提出了更高需求。360公司XDR解決方案通過一系列的探針，除了獲取告警外，同時采集全部的打點數(shù)據(jù)，真正的實現(xiàn)了對威脅的全面可視性，為后續(xù)對威脅的檢測、響應(yīng)提供了基礎(chǔ)。更為重要的是，360攻防知識圖譜驅(qū)動了XDR解決方案的有效落地。

（貝殼找房平臺安全部負(fù)責(zé)人章華鵬）

貝殼找房平臺安全部負(fù)責(zé)人章華鵬結(jié)合自身業(yè)務(wù)作了題為《面向新居住產(chǎn)業(yè)的威脅分析及對抗實踐》的演講。貝殼找房房產(chǎn)交易服務(wù)平臺在全國有超過100家辦公職場，數(shù)萬家線下作業(yè)門店和數(shù)十萬作業(yè)電腦終端；如此龐大和復(fù)雜的網(wǎng)絡(luò)辦公空間和節(jié)點，每天都面臨著各種各樣的網(wǎng)絡(luò)威脅，這些威脅有來自網(wǎng)絡(luò)攻擊的、也有來自商業(yè)競爭導(dǎo)致的黑灰產(chǎn)攻擊。他指出，房源、客源等信息作為貝殼商業(yè)生態(tài)中的關(guān)鍵信息，成為平臺的核心保護對象，分布全國的辦公場所及門店的電腦終端是“勒索”“挖礦”攻擊的主要目標(biāo)對象?；谶@些威脅，貝殼進行了威脅對抗實踐，對抗的本質(zhì)在于對規(guī)則的維護，最終達(dá)到解決行業(yè)在實際生產(chǎn)過程中生態(tài)安全問題的目的，并闡述了關(guān)于新居住產(chǎn)業(yè)的未來，是如何通過威脅對抗提升行業(yè)生態(tài)健康的。

（北京金睛云華科技有限公司技術(shù)總監(jiān)富吉祥）

“目前，互聯(lián)網(wǎng)70%的流量為加密流量，通過傳統(tǒng)的手段很難去識別這種加密流量，因此缺少高級威脅的關(guān)鍵線索將影響XDR方案效果。”北京金睛云華科技有限公司技術(shù)總監(jiān)富吉祥在《人工智能技術(shù)在XDR中的應(yīng)用實踐》的分享中表示。人工智能技術(shù)可以有效應(yīng)用到XDR領(lǐng)域，涉及構(gòu)建基于人工智能驅(qū)動的高級威脅檢測分析能力，如檢測惡意加密流量、DGA域名、隱蔽隧道等傳統(tǒng)特征檢測手段無法檢測的異常網(wǎng)絡(luò)行為，同時可以使用智能算法結(jié)合知識圖譜技術(shù)，實現(xiàn)對資產(chǎn)、情報和海量威脅事件的關(guān)聯(lián)分析，完成高級威脅事件發(fā)現(xiàn)和網(wǎng)絡(luò)攻擊溯源可視化。特別是針對惡意流量的識別首先可以通過多種途徑收集惡意加密流量來源，其次對惡意加密流量的數(shù)據(jù)進行預(yù)處理，然后進行特征提取、數(shù)據(jù)降維分析、最后進行模型學(xué)習(xí)與效果檢測。

新技術(shù)、新場景、新戰(zhàn)術(shù)，將會帶來新型網(wǎng)絡(luò)威脅，越來越多的企業(yè)需要構(gòu)建自身的高級威脅檢測能力，XDR擴展檢測與響應(yīng)已經(jīng)被業(yè)界公認(rèn)為，能夠解決新型網(wǎng)絡(luò)威脅攻擊或者高級網(wǎng)絡(luò)威脅發(fā)現(xiàn)的重要手段和解決方案。此次ISC 2021新型網(wǎng)絡(luò)威脅檢測的應(yīng)用與實戰(zhàn)論壇為業(yè)界搭建了技術(shù)交流與分享的平臺，向行業(yè)輸出了更多前瞻觀點，以滿足網(wǎng)絡(luò)安全行業(yè)的發(fā)展需要。