关于新一代网络安全威胁应对若干思考.pdfVIP

应对APT ，需要BPT ： 关于新一代网络安全威胁应对的若干思考 杜跃进 博士 国家网络信息安全技术研究所 所长 CNCERT/CC 副总工 2012.10.20. CNCC2012. 大连 确认：今天我们已面对不同的安全 ß Stuxnet,Duqu,Flame ß 纽约时报 ß 国际战略 ß 各国动作 ß 网络战 ß APT 国家网络信息安全技术研究所 全球热词APT ：怎么才算A? ß “宽带”？“大容量”？ ß Stuxnet、Duqu、Flame，高级在哪里？ ß 未来：哪些会被模仿？哪些能够启发？谁 能做什么？ ß “谁”，是关键问题：aPT和A PT不同，张 三和李四不同 国家网络信息安全技术研究所 如果是带G的A ß 技术优势： 应对这些威 Þ 数学、加解密 Þ 高级攻击技术 胁，是我们 Þ 稀缺资源 所有人的事 ß 基础设施产品优势： Þ 芯片、操作系统、核心设备 ß 基础设施和大型系统运营优势： Þ 基于信任关系运行的分布式系统，如域名、路由等 Þ 战略数据资源 Þ 大型系统依赖 国家网络信息安全技术研究所 应对APT ，需要BPT 大数据： 规模、类型、关系 国家网络信息安全技术研究所 若干思考 国家网络信息安全技术研究所 核心目标 ß 风险控制/管理： 通过减少自身弱点和加强自身防护，提升 对手的攻击难度和攻击成本，达到一个可 接受的水平 ß 事件响应： 及时发现、及时和有效的事件处置 国家网络信息安全技术研究所 问题一：怎么发现攻击 ß 怎么更早地发现潜伏的或下一个“FLAME”? ß “疾病”和“病菌”（症状和病因），先发 现哪个？ 国家网络信息安全技术研究所 异常发现将是重要基础 ß 关键问题： Þ 什么是异常？ Þ 怎么检测异常？ Þ 触发调查的“trigger”是什么？ 和人体一样，互联网加用户也构成一个开放的复杂 巨系统。每个网络单元自身已经有很多不同的属性， 整体网络的复杂性更高。从哪些维度来探测异常、 每个维度之间的关联关系、每个维度的“正常”是 什么，等等，都需要研究和积累。 国家网络信息安全技术研究所 问题二：怎么分析威胁 ß 找到和提取攻击代码之后，如何分析攻击 意图、攻击路径、攻击机理、攻击行为关 联关系、代码体系及其配合关系等？ ß 导致“异常”的原因分析： Þ “还原论”与“整体论” Þ “头痛医头、脚痛医脚” 国家网络信息安全技术研究所