2019年11月6日,2019国际数据中心及云计算产业展览会(以下简称CDCE),在上海新国际博览中心如期举行。“企业信息安全展”与CDCE2019首次同期举行。本次展区有10余家主题展区,150余家参展商参加,上万名观众莅临现场,参与交流。
展台交流
青藤云安全,作为端点安全细分技术领域的优秀厂商,连续三次入选Gartner CWPP全球安全指南,在本次展会中受邀出席。青藤展台位在N4展厅-N4R03。吸引了一众参会者驻足展台,并深度交流。
青藤云安全 技术总监 王洪中
今日上午,技术总监王洪中作为青藤云安全的代表,在“CS·2019:EDR&统一端点安全解决方案论坛”上发表关于《主机安全进化论:持续增强的检测响应和架构适配能力》的精彩演讲。
王洪中先生认为,对于愈演愈烈的终端威胁,未来主机安全的进化方向,将会像自适应安全架构那样朝着“持续增强的检测、响应以及架构适配”方向前进。
持续增强的检测能力
对于勒索和挖矿类攻击或者APT攻击来说,攻击者的终极目标是持续在终端上存在。攻击者只需利用一个漏洞就可以攻破您的网络,但防御者必须防御所有内容。而且,当试图发现未知威胁的蛛丝马迹时,需要海量多维度的终端信息作为支撑。基于此,对于安全防护来说,需要将重心转移到检测和响应中来。
王洪中表示:“提到持续检测,不得不提到MITRE ATT&CK 。MITRE ATT&CK是一款可以加速检测与响应的最新工具。ATT&CK有助于理解攻击者的行为、技术、战术,帮助安全人员构建检测措施,验证防御措施以及分析策略的有效性。”
ATT&CK包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。每一个战术类别包括了一系列的攻击技术,ATT&CK提供了对每一项技术的细节描述、检测技术和分析方法,以及可能的缓释措施。在行业应用中,该模型能够帮助分析和响应人员更好的了解攻击者。帮助安全人员熟悉真实环境的对抗技巧,增强实战能力,从而更好的组织防御。
自动化的响应能力
对于用户而言,更快地检测出问题仅仅是第一步,如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候,不能仅仅从单点去考虑,还需要从全网整体安全运维的角度去考虑,要将分散的检测与响应机制整合起来。而这,正是 SOAR 要解决的问题。
SOAR 出现后,安全事件响应与安全编排与自动化的结合使得响应的能力获得了极大的提升。论坛上,王洪中从“告警受理、定性分析、定量分析、快速响应”四点做了详细讲解,细述了平台如何快速提升安全响应能力。
架构适配能力
以容器、Serverless 为代表的云原生技术,构建了全新的网络架构。随之而来,提升架构适配能力,成为企业需要的关注点。此次演讲,王洪中重点讲了容器安全,并从容器镜像、运行、K8s三个方面做了延展。
“容器作为一种轻量级的虚拟化技术,能够在单一主机上提供多个隔离的操作系统环境。由于使用方便,操作便捷,能够大大开发人员的工作效率,因此,得到了业内的广泛关注。而且,容器安全能提升架构方面的适配度。”王洪中如是说。
最后
威胁没有消失,安全进化就不会停止。因此主机安全技术从最初的资产清点和预防,向检测响应、隔离控制、行为检测等方向发展。未来,青藤云安全作为主机安全专家,将更专注于主机安全技术领域的深入研究,将自适应安全理念植根于产品技术中,为用户提供更好的检测响应和架构适配能力。