标准周 | 程度：关键信息基础设施主动防御实践 - 新鲜讯息

近日，全国网络安全标准化技术委员会2024年第一次“标准周”全体会议在南昌滨江宾馆成功召开。青藤云安全联合创始人程度在本次标准周的“关键信息基础设施安全保护标准与实践研讨会”上，发表了以《关键信息基础设施主动防御实践》为主题的演讲，围绕关键信息基础设施安全保护问题，深入分析政策要求和现实需求，阐述了青藤主动防御思路和框架，并举例介绍了青藤在关基主动防御方面的实践情况。

关键信息基础设施能力建设既有政策要求，又面临安全的现实需求。在政策要求方面，《关键信息基础设施安全保护条例》明确指出关基运营者应组织推动网络安全防护能力建设，《国家网络空间安全战略》也将关键信息基础设施安全防护保作为战略任务之一。国家标准《信息安全技术关键信息基础设施安全保护要求》则进一步明确关基安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面，其中主动防御又包括：收敛暴露面、攻击发现和阻断、攻防演练和威胁情报四个方面。

在现实需求方面，近年针对关基的攻击事件时有发生，部分事件造成了严重的社会影响。例如：2023年1月英国皇家邮政遭遇勒索软件攻击，导致其无法向海外客户发送邮件；2023年6月美国俄勒冈州交通部遭遇MOVEit漏洞攻击，造成大规模数据泄露。关键信息基础设施面临更严峻的安全风险，所受到攻击技战术水平都远超一般信息系统，各关基运营单位面临极大的安全挑战。关基的安全防御亟待从单点、静态、被动的防护思想转变为整体、动态和主动防御上来。此外，现有关基防护还存在告警疲劳、处理效率低下，对抗不足、缺乏深度监测能力，以及专家稀缺、人才培养困难等问题。

近几年，基于TTP的威胁狩猎成为热门的针对未知威胁的有效检测手段。通过对恶意行为的特征描述，构建或更新恶意行为模型，以识别敌手可能使用的TTP；提出一个或多个检测假设，并表述为分析模式；根据假设和分析模式确定所需收集的数据。在狩猎执行阶段中，对环境中的传感器和数据源进行差距分析；部署新的传感器，以解决数据可见性差距；通过选择与恶意行为相关的分析模式及来执行狩猎，以尝试获得初始检测结果，进一步分析调优并对可疑和相关事件进行分类，以定位攻击行为。

针对关基安全防护难题和主动防御能力建设需求，结合基于TTP的威胁狩猎思想，青藤结合自身产品优势，形成了威胁建模、事件分析、内网溯源和快速处置的主动防御技术方案。通过基于用户环境迅速构建精确的威胁检测模型，并开展多锚点关联分析，通过对接CWPP、RASP、NDR等产品，把多个产品的告警给统一接入进来，形成一个统一的告警分析流；根据相关性将同一攻击事件的告警关联，串联各类线索回溯攻击发生的过程，生成可视化攻击路；最后针对文件、进程和负载进行处置。

通过近几年的方案实践，已帮助多个客户开展主动防御能力建设，提升了安全运营的工作效率，增强了发现潜在威胁和提高溯源分析的能力，获得了客户认可。

-完-

热门动态推荐