20130704以数据为中心的对抗CNCERT年会.pptxVIP

以数据为中心的对抗Data-Centralized battle 潘柱廷　　　　启明星辰　首席战略官 　中国计算机学会　　常务理事 大数据专家委专家 2013年7月4日 以数据为中心是一个视角的切换 三类信息安全核心技术 基于密码技术的 认证加密等技术措施 基于攻防技术的 检测技术措施 基于风险管理思想的 体系化方法和措施 本文讨论的对抗 本文所论对抗的范围 以网络系统为主要目标 一般一定要利用网络系统作为渠道和手段 检测侦查和处置反击 泛对抗 加解密对抗 舆论对抗 经济对抗 人才竞争 盟友战略 … 上面这些类型的对抗暂不讨论 检测与响应类技术的NG点 安全技术 知识 传承知识 特征 态势模式 应用感知 … 即时知识 环境感知 动机漂移 … 行为 人 空间 时间 … 态势 宏-微 宏观结构 动势关系 … 数据 实现技术 系统能力 强壮 性能 … 应用技术 新应用模式 弹性 aaS … 应用环境 虚拟化 移动/无线 工业控制 物联网 … 第四范式的科学方式 PARADIGM 网络系统对抗的多视角 网络对抗是多个IT系统群落的对抗。而看一个IT系统群落，可以有多种视角：如系统、操作、人、数据（数据体、数据语义、元数据）等等。 近年的大数据热潮，提示我们多从数据视角看。 实体系统视角下，对抗的典型工作 系统 网络 机构网络 安全对抗 系统漏洞和补丁 系统配置 网络结构梳理 安全域 边界整合 广域大网 安全对抗 某类系统的漏洞和补丁 僵尸网络 网络互联结构 新挑战 移动设备 BYOD WiFi SDN 安全域是典型的局部网络视角 网络就是空间 行为视角下，对抗的典型思路 流的思想 业务流@网络结构 服务平面和系统平面的交叠 比如：系统平面中的路径，在服务平面中只是一个服务交锋面 当前行为视角对抗的误区和难点 行为的要素 行为 人 动机 空间 时间、时序 知识 行为组 典型误区和难度 不研究人的因素 未知动机 孤立空间位置 短暂时间、孤立时间 单一知识 未考虑行为组合 威胁场景/威胁用例/广义威胁 威胁的环境Environment：前提、假设、条件等 威胁的来源Agent：包括攻击者、误用者、故障源、自然（灾害）等 威胁的对象Object：攻击目标和破坏对象，也就是要被保护的对象 威胁的内因——脆弱性Vulnerability：自身保护不当的地方 威胁的过程Process 威胁的途径Route：指威胁必须通过才能实现的一些部分。比如，要通过网络、要在物理上接近设备、要欺骗人等等。 威胁的时序Sequence：威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上，一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。 威胁的结果——事件Event/Incident：威胁具体实现之后所造成的结果 威胁的可能性：威胁产生结果变成事件的概率。 威胁的影响范围：威胁产生结果后的影响大小。以及影响进一步扩散的特性。 行为组视角：以业务为标签的梳理 梳理并形成业务分解结构(BBS—Biz Breakdown Structure) 业务、服务、应用、功能、访问等等 每个对象都依据用例思想来识别和定义 为BBS中的每个对象编制ID 标识和打分 将所有的系统、操作、数据、人、人群、角色等等都标识上BBS标签 可以对业务打分，上述对象可以进行相应的打分和计算，从而形成基于业务的量化分析和可视化展示 检测引擎 病毒特征 漏洞特征 攻击特征 关联规则 … 安全，从第一范式到第四范式 沙箱 蜜罐 标识检测 … 数据密度 基于记忆 数据浓缩 … 预见未来 源代码 渗透测试 事件分析 漏洞挖掘 地址随机 … 模拟攻击 模拟被攻击 … EDIF，DOSH数据、操作、系统、人 Entity Infrastructure Data Flow Process 操作和服务 数据 人 系统 人和角色视角 Entity Infrastructure Data Flow Process 操作和服务 数据 人 系统 围绕人的检测和秩序 将所有的系统、操作、数据等等对象都与人、人群、角色等挂钩 特别适合机构内部的应用和业务审计需要 关键管理手段和技术 ID、标签 EDIF，DOSH数据、操作、系统、人 Entity Infrastructure Data Flow Process 操作和服务 数据 人 系统 以实体数据和内容语义为中心的对抗 Entity Infrastructure Data Flow Process 操作和服务 数据 人 系统 数据的两个层次 上层数码实体中内涵的语义内容和价值 底层以实体存在的数据 数据的两个方面 内容类 知识类：这部分数据主要会影响和控制IT体系 EDIF，DOSH数据、操作、系统、人 Entity Infrastructure