扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
5月24日,是2017CNCERT中国网络安全年会的最后一天,几场重量级的分论坛吸引了与会人士的高度关注。其中,由启明星辰首席战略官潘柱廷主持的“事件追踪分论坛”现场讨论格外热烈,来自启明星辰等多家知名网络安全企业及研究机构的专家发表了主题演讲。分论坛上,启明星辰ADLab团队高级研究员甘杰详细解读了目前在黑客产业链中正肆虐泛滥的“多级黑雀攻击模式”,这是启明星辰ADLab团队长时间追踪发现的一种新型攻击模式,并首度提出“黑雀攻击”的概念。
启明星辰首席战略官潘柱廷
如今,随着万物互联的深入发展,各类型的网络应用已密切融入到人们的工作、学习和生活中,而网络安全威胁更是无处不在且潜藏暗处,攻击手段日趋复杂,攻击破坏力越发惊人,对网络安全防护提出了更高的要求和挑战。
启明星辰ADLab高级研究员甘杰表示,如今“利用”的方式正在发生着进化,已经从技术的利用拓展到“黑产链条机制”的利用,比如某些攻击者在一些黑客不知情的情况下攻击黑客并且利用这些黑客的资源或者渠道来快速获取攻击成果,这种攻击方式可形象的比喻为“螳螂捕蝉,黑雀在后”。但基于启明星辰ADLab团队长时间的研究,发现目前的“黑雀攻击链条”已“不只黑雀在后”,在黑雀后面还有“大黑雀”。这一多层级的黑雀攻击模式,通过攻击和利用相结合,具有扩散性强、危害性大、隐蔽性好、攻击率高等特点。
启明星辰ADLab高级研究员甘杰
甘杰举例表示,某Death僵尸网络受控于一个超级黑客——大黑雀,大黑雀掌控着70多个黑雀所控僵尸网络,最大的黑雀掌控着近300个螳螂僵尸网络,由此大黑雀总共控制着至少1000个多螳螂僵尸网络。可以说控制力非常惊人,而被掌控的僵尸网络也几乎覆盖了国内绝大多数的省市地区。那么针对越发严重的“多级黑雀攻击”模式,该采用什么样的应对方法呢?
潘柱廷指出,首先可以采用对抗方法,即直接对抗黑雀。比如,可以针对性地开展黑雀检测分析,不仅仅找螳螂,也有意识的找黑雀;可以对黑雀进行追根溯源,层层定位,精准打击;也可以通过打击螳螂来发现黑雀。其次,可以借用黑雀模式“以其人之道还治其人之身”。比如,我们可以有意识的成为黑雀,向对手控制范围内投放黑雀,做到“反间”;也可以通过这种无间道的方式,增加黑产的总体成本从而实现压制。
以“黑雀攻击链条模式”为鉴,潘柱廷表示,应对这种系统性、大范围的网络安全事件追踪,在解决方法上很多时候表现为一种“博弈”,是矛与盾的“思辨”。比如矛的优势在于单点突破即成功,在于时机的选择、有天时地利优势;但矛的劣势是因其是“一条线”,线中一点被掐即死。盾的优势是地利的占有和塔防的部署;但盾的劣势须“全面防御”,面中一点被突破即破。因此,在构建防御体系中,就需要充分发挥各自优势,规避短处,以做到有效防护。同时,还需要考虑“面向失效的设计”,比如强化主动性进攻防御、纵深防御等,最终使整体防护更加牢固。
不言而喻,对于整个网络安全领域来说,事件追踪的意义在于,既是对突发性网络安全事件应急响应之后的方法总结和调查延续,更是对各类型网络安全事件攻击手段的全面分析与防控建设。也就是说,事件追踪的成果有助于积累并建立起一套有效应对各类型网络安全事件的方法论,是一笔宝贵的经验财富。在如今网络安全威胁和风险日益加剧,并已向各个领域大面积渗透的严峻形势下,加强事件追踪成果的分享和经验的传递,对于在全局范围内增强网络安全防御能力、共筑网络安全防线无疑大有裨益。
关于启明星辰积极防御实验室(ADLab)
启明星辰积极防御实验室(ADLab)成立于1999年,由专职安全研究技术人员近70人组成。一直致力于攻防技术人员培养、网络安全、信息安全深层攻防技术研究,开拓安全领域前瞻性技术研究,发现计算机以及网络系统中存在的各种安全缺陷,帮助用户获得全面、持久的安全。ADLab是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员, “黑雀攻击”概念首推者。截止目前,ADLab通过CVE发布Windows、Linux、Unix等操作系统安全或软件漏洞近300个,持续保持亚洲领先并确立了其在国际网络安全领域的核心地位。
研究方向:
研究成果主要应用:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者