•  
     
     
    VARA大会 绿盟科技给出高级威胁狩猎三个建议
    2021-10-25 绿盟科技

    10月22日,2021世界物联网博览会信息安全高峰论坛暨第十三届信息安全漏洞分析与风险评估大会(以下简称“VARA大会”)在江苏无锡顺利召开,绿盟科技集团首席技术官叶晓虎博士、天机实验室负责人张云海受邀出席并发表主题演讲。

    VARA大会是国内网络安全领域起步较早的专业性学术会议,见证了信息安全漏洞分析与风险评估领域的发展历程。在VARA大会主论坛上,绿盟科技集团首席技术官叶晓虎博士作了题为《高级威胁猎杀之多维数据》的精彩演讲,介绍了必备的多维数据类型及通联关系,攻击链路还原的方法,远控威胁模型的原理及效果。

    绿盟科技集团首席技术官叶晓虎博士

    叶晓虎博士表示,威胁狩猎是新型网空威胁形式下的必然产物,是主动持续发现威胁的一种方式。以“敌已在内”的真实假设为前提,在没有任何告警的情况下,狩猎发现威胁,缩短攻击发现的时间并减少损失。他预测,威胁狩猎将成为一项高级专业的安全服务,同时催生新安全职业类型——威胁狩猎师。

    高级威胁狩猎是一个综合性的威胁发现方法,需要涵盖高级威胁的多个阶段。基于此,叶晓虎博士提出了三个建议:

    1、将攻击检测重心放在攻击过程追踪监测、攻击场景还原上比攻击方法识别更重要。

    2、充分发挥大数据和AI技术在网络安全行业的实用价值。

    3、攻击图技术用于网络安全具有先天优势,可以持续研究。

    在VARA大会漏洞分析分论坛上,绿盟科技天机实验室负责人张云海作了题为《Windows内核漏洞利用》的精彩分享。演讲回顾了Windows内核漏洞利用的常用技术,分析用于防御这些技术的缓解措施,介绍内核漏洞利用的新趋势,并在此基础之上,提出了一些增强缓解措施的可行性建议。

    他表示,Windows内核中的漏洞一旦被利用,攻击者将会获得系统中的最高权限,而内核漏洞的利用又相对简单,有固定的模式与方法,这就显著的增加了系统被攻陷的风险。为了应对这一问题,微软在内核中也引入了一系列的缓解措施,以期阻止对内核漏洞的利用。

    经过21年的积淀,绿盟科技在网络安全技术支撑方面拥有丰富的经验,作为巨人背后的专家,绿盟科技将继续秉承“专攻术业,成就所托”的宗旨,务实创新,从维护国家、行业、用户的利益和安全角度出发,营造良好的信息安全环境,为加强国家网络安全保障体系和能力建设作出更大贡献。