手机安全防护软件 人工智能与黑客帝国，Web安全从入门到放弃｜佛系 FIT 2(5)

而 DDoS 溯源意义可概括为三点：

面对行业内恶意竞争，为高防用户提供攻击证据链技术支持，方便立案；

购买高防服务期间，降低用户遭受 DDoS 攻击峰值，减少高防支出；

公有云高防服务的辅助产品。

梁洋洋表示，DDoS 溯源流程包括： 攻击数据获取（有4层和7层攻击数据获取方式）、攻击数据清洗（有4层攻击源伪造处理、CC攻击特征分析）、攻击样本获取（攻击源定向渗透）及、控制端溯源，最后一步则是进行进行团伙溯源，要知道攻击是如何发生的、目的是什么，最终分析其社交关系以及行业竞争关系，最终产出商业竞争溯源报告，向提供攻击证据链。

根据这一过程，DDoS 溯源自动化可以采取一些手段，例如在攻击数据获取阶段，可以采取全流量溯源系统，加入 7 层 CC 防护日志；在攻击数据清洗阶段，加入回扫分析和 IP 信誉 API、使用路由追踪系统、自动化分析脚本；在攻击样本获取阶段，加入 M3 渗透测试小组；在控制端溯源阶段，加入 M3 渗透测试小组，加入商业威胁情报溯源 API；在团伙溯源阶段，加入 M3 渗透测试小组，利用溯源分析平台和情报交换系统进行深度分析。

情报驱动下的安全闭环建设

美丽联合集团安全总监石乔演讲了《情报驱动下的安全闭环建设》议题。对于企业而言，安全团队的建设是一大重点。企业安全团队建设初期，受限于资源、管理层不重视等因素，团队初期的防护能力：发现能力、阻断能力、复盘能力都受到一定的限制。理想状态下，企业安全建设应当围绕这些能力赋予更充分的发展。

石乔以美丽联合集团为例，围绕 Begis/ 开发组件、Cobra/代码审计、Eagle/黑盒扫描、Gaea/WAF/Wolverine/主机安全、Turtle/堡垒机系统、GuGu/ 入网管控等七点，建立了一个安全规则平台，利用这个平台，可以不必把整个公司的安全能力放在某个安全工作人员或白帽子的头上，而是全面发展，形成闭环。

此外，在对情报进行评估时，可以考虑数据敏感、业务复杂度、集群数量、可控保护等四个维度，进而快速响应，实现安全闭环。

网络安全中的潜在威胁

Unit 42 威胁情报专家组、Palo Alto Networks 高级分析师 Vicky Ray 以 Orcus RAT 木马工具为例，向大家揭露了网络安全中除了攻击实施者之外的其他威胁。

在地下论坛中，充斥着不同的人，他们各自扮演着自己的身份，推动这个这个滋生很多网络的平台发展。在这里，有实施攻击的人、有恶意程序和利用工具的开发者、还有其他的技术支持者，他们相互合作，将恶意工具从开发到扩散到实际利用各个环节一一打通，形成了网络攻击的完整产业链。

以 Orcus RAT 木马攻击为例，这个工具因其“用户友好”的特点，受到不少分子的欢迎，近些年来使用率不断上升。这也引起了研究人员的注意。Orcus 远控软件非常强大，它能够监控用户的电脑，开启却不触发指示灯。除此之外，跟很多病毒一样它能够检测虚拟机系统，防止被分析。

研究人员针对这个狡猾的恶意软件，使用了 NETMON、TCPVIEW、WIRESHARK 三种检测技术，同时使用沙盒技术进行分析，最终解密了 Orcus，并发布了分析报告。

严格来说，Orcus 作者并没有直接发起攻击，但他开发了恶意工具并提供给其他分子实施攻击。这类恶意工具开发者也是网络安全中的一大隐患。研究人员需要对此提高警惕，共享威胁分析报告，提供证据，与执法人员合作，打击此类恶意工具开发者，才有助于阻止潜在威胁。

如何构建基于 SOAPA 架构的智能安全

兰云科技联合创始人、高级副总裁周宏斌以《入侵事件的高效发现，分析与取证：如何构建基于SOAPA架构的智能安全》为主题进行了演讲。

企业面临的安全之困可以概括为四点：

告警泛滥，有价值信息淹没在海洋中；

基于特征检测，未知威胁发现能力弱；

安全产品各自为战，无法形成防御体系；

入侵事件发生后，分析，取证，还原难。

在此背景中，提高未知威胁检测能力、提高入侵事件分析能力成为了首选的脱困之道。

SOAPA （安全运作与分析平台架构）就是融合了这两种能力的平台。 SOAPA 平台可以将安全信息和事件管理（SIEM）、事故响应平台（IRP）、用户行为分析（UBA）、漏洞扫描器和安全资产管理、端点检测/响应工具（EDR）、网络流量分析（NTA）、反恶意软件沙箱和威胁情报（TI）等手段和技术结合在一起，实现高效的未知威胁检测和入侵事件分析。对于企业而言也是一个不小的启发。

结语

弗洛伊德认为，人都有生本能与死本能，而死本能某种程度上更接近破坏。

那白帽子的死本能是否比普通人更强烈？

他们为技术着迷渴望，在内心的“破坏欲”催动下打破陈规寻找漏洞，他们手持利器又克制自持，他们低调又执着改变世界，但也正是这样，才让他们与那些循规蹈矩的人区别开来。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-53926-5.html