9月9日,以“推进ATT&CK防御体系落地,应对数字时代网络威胁挑战”为主题的2021 ATT&CK技术与应用论坛在北京成功召开。本次论坛由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心联合主办,北京升鑫网络科技有限公司(青藤云安全)、北京微步在线科技有限公司、绿盟科技集团股份有限公司、厦门服云信息科技有限公司(安全狗)协办。政府主管领导、ATT&CK技术资深专家、科研院所安全专家、金融等行业机构安全负责人、知名互联网企业安全负责人、安全测评机构负责人、网络安全厂商专家、网络安全从业者等200多人出席了会议。
来自政、企、学、研、用和测评机构的专家学者,围绕ATT&CK的发展现状和面临的挑战、基于ATT&CK的威胁检测技术和应用、ATT&CK在产品测评中的应用实践、基于ATT&CK的云原生和容器安全检测、ATT&CK在攻防演练中的应用、ATT&CK的应用场景落地实践等议题,发表了精彩演讲,对ATT&CK威胁框架技术和应用的热点前沿话题,进行了深入解析和研讨。会议由北京大学网络与软件安全保障实验室主任陈钟教授主持。
北京大学网络与软件安全保障实验室主任 陈钟教授 主持
公安部第三研究所检测中心副主任顾健代表主办方致辞,他指出,当前国际形势错综复杂,以窃取敏感数据、破坏关键基础设施为目的的国家APT活动日趋频繁;在我国,随着5G、下一代互联网的快速发展,面向数字时代的网络威胁也在不断升级。基于以上新的挑战,他认为,ATT&CK框架作为对抗威胁的重要技术手段,应当建立政、企、学、研、用和测评机构全产业链生态协作体系,加快推进该威胁框架在重点行业的落地应用,形成在攻防对抗中的中国特色威胁框架描述模型,从而有效提升和完善我国网络安全综合防控体系建设。
公安部第三研究所检测中心副主任 顾健 致辞
国家互联网应急中心韩志辉博士代表严寒冰处长,以“ATT&CK 在攻击事件关联分析中的实践”为题,发表了精彩演讲,他认为,ATT&CK框架作为攻击视角下的攻击技战术知识库,为网络攻击事件提供了统一的描述语言。随后他从攻击事件分析出发,介绍了利用ATT&CK框架在网络攻击事件关联分析方面的一些实践工作。
国家互联网应急中心 韩志辉博士 演讲
青藤云安全COO程度就“如何建立企业内部的ATT&CK”发表了自己的观点,他首先介绍了ATT&CK 2021的路线图,并针对企业内部如何引入此种类型的框架,从评估入手,再到攻击模拟的引入,以及到检测提高,如何从数据源、分析方式进行落地,最终可以根据此种类型的框架进行威胁情报的输出,做出了详尽务实的阐述。
青藤云安全COO 程度 演讲
中国科学院信息工程研究所网络安全防护技术北京市重点实验室主任助理、高级工程师姜政伟针对“ATT&CK技术研究与应用探索”进行了分享,他首先介绍了基于中科院信工所在网络空间安全攻防对抗中的学术探索与技术实战经验,并介绍了学术界对ATT&CK的研究情况,阐述了CNTIC团队对ATT&CK的落地应用,并提出了ATT&CK 存在的问题和可改进方向的建议。
中科院信工究所高级工程师 姜政伟 演讲
微步在线技术运营合伙人陈杰对ATT&CK从威胁框架到攻击链路进行了解析,他认为,ATT&CK威胁框架做为攻击行为的知识库,结构化地梳理了攻击战术和攻击技术;一次完整的APT攻击过程往往使用多种攻击战术与技术,并呈现一定的攻击流程。他强调,在ATT&CK框架的基础上,将攻击行为关联,并形成攻击链路用于告警研判,将极大地提升检测的准确率,并可提供丰富的溯源依据。
微步在线技术运营合伙人 陈杰 演讲
绿盟科技天枢实验室高级安全研究员张润滋针对“安全运营中ATT&CK框架的实用性挑战与应对”提出了自己的见解,他从安全运营的实战出发,探讨了ATT&CK矩阵知识库在安全运营语义度量、数据驱动威胁狩猎等场景结合应用中,存在的分析、效率、隐私等层面的挑战,以及提升ATT&CK框架实用性的技术层次应对策略。
绿盟科技天枢实验室高级安全研究员 张润滋 演讲
中国工商银行业务研发中心安全攻防实验室高级研究员李亚敏就“ATT&CK在金融行业的落地实践”进行了分享,她首先基于ATT&CK框架,对金融行业安全工作面临的问题进行了审视,并且从人员能力的可持续培养着手进行解决。同时基于金融行业增强型网络威胁模型及相关实践,对ATT&CK未来在金融行业的应用场景及发展方向进行了讨论。
中国工商银行安全攻防实验室高级研究员 李亚敏 演讲
厦门服云信息科技有限公司海青实验室负责人陈俊杰针对“ATT&CK威胁检测技术在云工作负载的实践”阐述了自己的观点,他认为,随着云计算、云原生技术的蓬勃发展,高效保护云工作负载的运行时安全成为亟需解决的问题。随后他介绍了安全狗参照ATT&CK的发展演变所思考的云工作负载安全威胁攻防知识图谱,并具体介绍了一种将ATT&CK应用在主机、K8s环境等云工作负载的防御及检测思路,最后重点分享了安全狗的云工作负载ATT&CK威胁检测技术实践案例。
安全狗海青实验室负责人 陈俊杰 演讲
赛可达实验室CEO宋继忠代表主办方发表了题为“ATT&CK和安全能力测试”的演讲,他介绍说,赛可达实验室依据多年网络安全检测技术和数据的积累,根据ATT&CK知识框架,提出了衡量安全产品威胁检测能力的两个重要指标:攻击技术覆盖面和深度检测-攻击链识别,并作为国内首家开展ATT&CK安全能力测评的机构,为多家安全企业和政企用户提供了该项服务。随后他重点介绍了赛可达实战测试靶场,通过测试,可以为安全企业的产品和政企用户的网络安全防御体系,提供ATT&CK覆盖图谱;图谱可以衡量自身安全能力的不足,实现“挂图作战”,为未来安全建设决策提供参考依据。最后他强调指出,网络安全防御体系不仅要做到合规,更重要的是要具备安全能力;目前国外各产品线已全面支持ATT&CK, 我国在这方面还存在不足;他呼吁,政企研学用各方应联合起来,开展以安全能力测试为中心的新一代测评体系的研究,成立“安全能力测试技术创新联盟“,以推动我国网络安全防御体系安全能力的提升。
赛可达实验室CEO 宋继忠 演讲
本届论坛作为在国内网络安全领域,由政、企、学、研、用和测评机构共同参与举办的第一个ATT&CK专业会议,得到了业内广大专业人士的积极参与,论坛现场气氛热烈,互动频繁,与会者相互碰撞思维交集,收获颇丰。
本届论坛的成功举办,搭建起了一个ATT&CK技术与应用交流的权威平台,相信将为应对日益复杂的网空威胁,推进ATT&CK威胁框架产业落地进程,提升完善我国网络安全综合防控体系建设,发挥积极的促进作用。