VARA大會|綠盟科技給出高階威脅狩獵三個建議

10月22日，2021世界物聯網博覽會資訊保安高峰論壇暨第十三屆資訊保安漏洞分析與風險評估大會（以下簡稱“VARA大會”）在江蘇無錫順利召開，綠盟科技集團技術長葉曉虎博士、天機實驗室負責人張雲海受邀出席並發表主題演講。

 

VARA大會是國內網路安全領域起步較早的專業性學術會議，見證了資訊保安漏洞分析與風險評估領域的發展歷程。在VARA大會主論壇上，綠盟科技集團技術長葉曉虎博士作了題為《高階威脅獵殺之多維資料》的精彩演講，介紹了必備的多維資料型別及通聯關係，攻擊鏈路還原的方法，遠控威脅模型的原理及效果。

綠盟科技集團技術長葉曉虎博士

葉曉虎博士表示，威脅狩獵是新型網空威脅形式下的必然產物，是主動持續發現威脅的一種方式。以“敵已在內”的真實假設為前提，在沒有任何告警的情況下，狩獵發現威脅，縮短攻擊發現的時間並減少損失。他預測，威脅狩獵將成為一項高階專業的安全服務，同時催生新安全職業型別——威脅狩獵師。

高階威脅狩獵是一個綜合性的威脅發現方法，需要涵蓋高階威脅的多個階段。基於此，葉曉虎博士提出了三個建議：

1、將攻擊檢測重心放在攻擊過程追蹤監測、攻擊場景還原上比攻擊方法識別更重要。

2、充分發揮大資料和AI技術在網路安全行業的實用價值。

3、攻擊圖技術用於網路安全具有先天優勢，可以持續研究。

在VARA大會漏洞分析分論壇上，綠盟科技天機實驗室負責人張雲海作了題為《Windows核心漏洞利用》的精彩分享。演講回顧了Windows核心漏洞利用的常用技術，分析用於防禦這些技術的緩解措施，介紹核心漏洞利用的新趨勢，並在此基礎之上，提出了一些增強緩解措施的可行性建議。

綠盟科技天機實驗室負責人張雲海

他表示，Windows核心中的漏洞一旦被利用，攻擊者將會獲得系統中的最高許可權，而核心漏洞的利用又相對簡單，有固定的模式與方法，這就顯著的增加了系統被攻陷的風險。為了應對這一問題，微軟在核心中也引入了一系列的緩解措施，以期阻止對核心漏洞的利用。

經過21年的積澱，綠盟科技在網路安全技術支撐方面擁有豐富的經驗，作為巨人背後的專家，綠盟科技將繼續秉承“專攻術業，成就所託”的宗旨，務實創新，從維護國家、行業、使用者的利益和安全形度出發，營造良好的資訊保安環境，為加強國家網路安全保障體系和能力建設作出更大貢獻。