绿盟科技TechWorld2022技术嘉年华演讲PPT

演讲PPT下载《云原生时代的安全能力体系构建》-绿盟科技集团首席技术官叶晓虎《中外云安全市场发展趋势解读》-IDC咨询有限公司研究总监王军民《后疫情时代的安全技术创新》-绿盟科技集团首席创《云原生时代的安全能力体系构建》-绿盟科技集团首席技术官叶晓虎《中外云安全市场发展趋势解读》-IDC咨询有限公司研究总监王军民《后疫情时代的安全技术创新》-绿盟科技集团首席创新官刘文懋4、《攻防对抗视角下的俄乌网络战》-绿盟科技集团能力中心总经理范敦球34211123123“创新派”数据安全治理与防护论坛《探索完善数据安全制度，协力推进数据要素流通》-国家计算机网络应急技术处理协调中心高级工程师林星辰《数据安全治理思路分享》-国家电投集团科学技术研究院总体技术部主任张成刚《数据平台的发展与安全防护思考》-绿盟科技集团解决方案中心负责人刘弘利1212“实战派”金融数字化转型论坛《《密码筑牢网络安全防线构建数据安全保障体系》-国家金融科技测评中心(银行卡检测中心)高级密码安全专家王天昊《激活金融数字化潜能筑牢数据安全“新防线”》-绿盟科技集团数据安全架构师陈怀源《产学研协同创新理念与思考》-绿盟科技科教文卫事业部总经理李永松《产学研合作的创新实验室实践》-绿盟科技集团首席创《产学研协同创新理念与思考》-绿盟科技科教文卫事业部总经理李永松《产学研合作的创新实验室实践》-绿盟科技集团首席创新官刘文懋“学院派”产学研创新融合论坛1122绿盟科技叶晓虎以以体系化建设为指引,构建"全场景、可信任、实战化"的安全运营能力实现"全面防护,智能分析,自动响应"的防护效果攻击向量模拟3.绕过安全防护.攻击模拟持续为客户打造可信任的安全体系攻击向量模拟3.绕过安全防护.攻击模拟估APT御评估优44.攻击结果返回CSCSSP确认所有连接客户全动态防护能力构建完毕进入第二阶段启动预警规模的实际攻击(非P0C扫描)完成评估影响评估已建立漏洞专项7·24小时不间断的威胁监控明确影响确认所有连接客户全动态防护能力构建完毕进入第二阶段启动预警规模的实际攻击(非P0C扫描)完成评估影响评估已建立漏洞专项7·24小时不间断的威胁监控明确影响响情况踪部署蜜罐台接的客户2月9日05:0014:0019:0019:0020:00网上出现大规模漏洞通报,大量组织10号才开始仓促启动应面临的痛点和需求关关键时刻用得上全保障力能力类型可变保护范围可变安全策略可变性能容量可变能力类型可变保护范围可变安全策略可变性能容量可变一一站式按需服务按需服务降成降成本智智能化实实战化衡衡UTsRsAs……能力编排置WEB防WEB防……安全运营中心(前台业务)配置管理,指令下发,配置管理,指令下发,资BО00,业务运营,订单、管理、能力中台层数据集约化;提供安全无治理机制低代码,配置化,拖拉图与模型,物料库基础设施,开发框架及安全运行环境租户门户图NF·SSE可视XaaS租户门户图NF·SSE可视XaaST·0NECL0UD唯唯一支持弹性异构的安全运营方案,整台绿盟科技最强的产品力和服务能力SASSASE(S0C)联控P(防御)务胁检测即服务服务联控P(防御)务胁检测即服务服务服务安全访问服务边缘(SASE)响应服务级分析风险管理服务理4小时威胁监测小时安全I(风险识别)D(检测)推送热点事件,自动隐私数据不出门增强隐私保护推送热点事件,自动隐私数据不出门增强隐私保护执行决策XDRXS0AR营执行决策XDRXS0AR营安全能力安全数据(脱敏)策略、服务投入成本降低35%NF-SSE∶魔力防火墙的魔力投入成本降低35%服服务订阅能力推送+防火墙Web应用防护全流量检测终端管理分发终端安全Agent实现内网东西向防护魔力防火墙数据脱敏上报全新升级的自研系统0SSASE联动客户背景∶某市教育主管用户,下属有超过1000家中小学及幼儿园客户诉求∶理、高效安全运营、能力灵活扩展解决方案∶各学校部署NF-SSE,通过T0NE-S0C进行全网统一管理、借助云端能力实现高活扩展用户价值∶安全运营效率大幅提升,在满足用户安全建设诉求的情况下上上线周期缩短60%①下单④结果①下单④结果APPEB1渗透测试即服务75%客户背景∶75%某金融客户,监管单位突发检查,需在两周内完成300+互联网资产的渗透测试客户诉求∶成本可控、风险闭环解决方案∶通过T-0NE云端资深专家团队及标准的云端流程,快速开展渗透测试服务用户价值∶历时5天完成300+资产的渗透测试交付,顺利通过安全检查发现共154个有效漏洞,全部纳入漏洞生命周期管理80% 与客户和台作伙伴共建安全运营中心 订阅式服务化能力,7*24小时运营服务H0liStiCu采用云化交付的安全产品和服务以获得弹性力u与专业安全公司建立持续可信任的连接以获能力H0liStiCu采用云化交付的安全产品和服务以获得弹性力u与专业安全公司建立持续可信任的连接以获能力uu引入高效敏捷的安全运营体系以达到最优的lSeCurtiy感谢聆听!新浪微博了解更多安全资新浪微博了解更多安全资讯欢迎关注绿盟科技中外云安全市场发展趋势解读一样的云，不一样的安全 T T全球网络安全市场增速加快，中国五年复合增长重回20%复合增长率复合增长率$250,000.0030.0%25.0%20.0%15.0%10.0%5.0%0.0%$250,000.0030.0%25.0%20.0%15.0%10.0%5.0%0.0%$200,000.00$150,000.00$100,000.00$50,000.00$0.00202020212022202320242025亿美元…亿美元… 2025年规模预期Source：IDC，WorldwideSemiannualSecuritySpendingGuide,2022V1©IDC|4中国IT安全软件市场比重加大2018-2021年全球IT安全投资分布(单位US$B)■硬件■服务■软件122.820182019202020CELLRACELLRACELLRA[CELLRANGE]NGE]NGE]NGE]2018201920202021[CELLRANGE[CELLRANGE]NGE][CELLRANGE][CELLRA[CELLRA2018201920202021Source:IDCWorldwideSecuritySpendingGuide,2022V1©IDC|50062.8%49.6%工作负载的重新托管/重构有难度使用多家云服务商导致系统孤岛云计算市场持续快速发展拉动着云安全需求持续增多全球基础设施硬件支出中($B)云和传统环境占比2019202020192020云基础设施传统基础设施Source:IDC,2020混合云使用比例企业同时使用公有云和私有云企业同时与2家以上云服务商合作Source:IDC’sCloudPulseQ120,March2020,n=2000贵司运行混合IT环境时面临最大挑战是什么？对安全的担忧对应用/数据迁移的担忧对合规的担忧不可预见的成本整合工作流程的复杂度太高应用正常运行时间不可靠缺乏组织管理缺乏内部专家缺乏执行人员225%5%Source:2020Q2:ITInfrastructureforEdgeSurvey,IDCN=500Notes:Usecautionwheninterpretingsmallsamplesizes©IDC|6US$MIT规模100091180US$MIT规模1000911800710600533 2018201920202021Source：IDC，WorldwideSemiannualSecurityTracker,2022H2中国公有云安全市场将保持快速增长©IDC|7©IDC©IDC|9中国云计算市场规模多方并进快速发展Marketsegmentgrowth2020-2025Marketsegmentgrowth和管理服务整体市场CAGR整体市场CAGR公有云服务USBTotalTotal:154.901Total:48.737.620202021202220232024202530%0%0%0%0中国公有云安全市场规模在安全软件市场中趋近30%中国IT安全软件市场规模及构成中国非公有云IT安全软件市场规模中国公有云IT安全软件市场规模159518841270©IDC|10TrustXCTrustXCloud中国云服务提供商IaaS信任感知指数有待提升20Security16.5410Complianc88Allvendors©IDC|11中国云安全市场的两大阵营行业云行业云/私有云安全市场络安全产品/服务提供商安全市场公有云服务提供商©IDC|12网络攻击变得越来越有针对性ChimeraDarkSideDopDarkSideDopplepayer/rGpcodeWannGpcodeNotPetya+DDOS+DDOS+供应链+KillSwitchAIDSAIDSTrickbotTrojan+Trojan+僵尸网络+鱼叉式网络钓鱼©IDC|14高市场采纳度ZTNACIEMKubernetes导型技术已有技术上的不断迭代更新高市场采纳度ZTNACIEMKubernetes导型技术已有技术上的不断迭代更新DevSecOpsSASEIDC全球推出云安全市场分析报告变革型技术技术将重塑市场CSPM/CWPP……Containers机会型技术满足某些特定场景需求下的技术computingCcomputingGovernance,risk,低andcompliance低Quantumcomputing短技术发展时间长来源：IDC，<WorldwideCloudSecurityEnablingTechnologies,2022>©IDC|15©IDC©IDC|16现代软件定义安全访问解决方案预期将翻24倍现代软件定义安全访问解决方案预期将翻24倍为运营团队腾出的时间技术变量指标MEDMEDMED变革型-ZTNA全远程访问解决方案260亿美元价值©IDC©IDC|17递增型-SASEtoNESaaSNetworkEdgeSecurity━as━a━ServiceArchitecture安检点就可以实远程支持代理的数量，只需要一个供应商，安全的性价比大幅技术变量指标MEDMEDMEDMEDMEDRISKRUZZSRISKRUZZ©IDC©IDC|18其它热点-全球托管安全服务(MSS)市场规模庞大其它其它 ■托管安全服务 市场规模■网络安全 ■集成服务 ■安全分析、情报、响应与编排官威胁情盟已显示价值,数研聚集效数研成为数字经济的新生产要素,威胁情盟已显示价值,数研聚集效数研成为数字经济的新生产要素,后疫情时代来临云计算大量被采用,云上安全事件威胁情盟已显示价值,数研聚集效数研成为数字经济的新生产要素,威胁情盟已显示价值,数研聚集效数研成为数字经济的新生产要素,后疫情时代来临云计算大量被采用,云上安全事件相关程序或组件数量场景类型数量3d1升34相关程序或组件数量场景类型数量3d1升3421s314SSRF141以攻促防∶云原生靶场+攻击工具/CNSP•开源靶场Metarget发布一周年,获600+stars•CNSP工作负载防护赋能•《云原生安全:攻防实践与体系构建》发布云原生安全态势评估∶风险+成熟度关注"绿盟科技研究通讯"回复"容器逃逸"获取容器逃逸深度研究云原生环境安全评估针云原生环境安全评估针对云原生环境进行安全评估,并给出安全建议和安全评分•真实攻击模拟•持续攻击•修复建议•安全评分云原安全平台能力评估针云原安全平台能力评估针对云原生安全平台能力进行安全评估,并给出安全建议和安全评分•真实攻击模拟•持续攻击•修复建议•安全评分初始访问执行持久化权限提升防御绕过获取凭证发现横向移动收集危害场景内容ersockhell场景内容ersockhell场景编号云计算失陷与攻击模拟逃逸失败j建议∶目标环境不存在CVE-2020-15257漏洞可利用途径,安全加固是有效的,建议继续保持系统组件最新状态j逃逸成功,N分钟内(时间需要再次和产品对称)没有产生对应的事件jSUSELinuxEnterpriseSP镜像缓冲区溢出SUSELinuxEnterpriseSP镜像缓冲区溢出逃逸成功,N分钟内(时间需要再次和产品对称)产生了对应的事件j建议∶目标环境存在CVE-2020-15257漏洞可利用途径,【安全加固存在风险,告针对逃逸的入侵检测是有效的】,建议加固基础环境,升级Containerd到1.4.2以上版本j在隔离的ns内请求被隔离的ns内的pod利用存在sql注入风险的服务(拉起一个服务端容器)并对其利用5G场景(NRF接口/AMF接口/UDM接口)访问控制漏洞云上风险发现网络空间测绘云上风险研究v公有云服务(对象存储/消息队列)v云原生服务(Docker/K8s/Harbor)v云上应用(远程办公/DevOps)v云上协议(MQTT)境外黑客利用代码平台漏洞泄露多家单位源码Gitblit∶初步识别到了约900个重要单位使用的代码仓库,暴露的脆弱Kubernetes示例核验其务100个泄露的代码仓库,联系了对应代码使用的单位,准确率达到90%以上o发现云原务的安全风险点 风险识别对宿主机安全扫描,获取编排系统组件信息并扫描发现组件风险,对仓库提供安全漏洞扫描,发现仓库存在的风险信息o针对容器安全引擎所管理的资源(主机、Pod、镜像、容器、进程),提供集群内全景态势及互访关系展示o管理者能够全景查看容器等资产实体的风险概率,对安全风发现云原务的安全风险点 风险识别对宿主机安全扫描,获取编排系统组件信息并扫描发现组件风险,对仓库提供安全漏洞扫描,发现仓库存在的风险信息o针对容器安全引擎所管理的资源(主机、Pod、镜像、容器、进程),提供集群内全景态势及互访关系展示o管理者能够全景查看容器等资产实体的风险概率,对安全风险一目了然o云原生安全容器运行时安全防护容器运行时安全基于机器学习配置容器自学习策略,运行时容器建立学习周期,同时监测容器的系统调用,实现异常进程、入侵行为、病毒木马等监控和防护,同时提供运行时应用风险监测如应用弱密码、暴力破解等o全来源镜像扫描镜像安全微服务和API风险管理扫描内容包含对容器镜像安全漏洞的发现、对安全风险和敏感信息的发现、对历史命令的审计,并提供灵活多策略机制的镜像准入安全管控o测与防护微服务API自动发现,扫描并发现微服务及API的Web漏洞风险o同时提供云原生API安全,支持API访问控制、API访问限速、API攻击防护功能o 安全合规性检查容器环境安全合规云原生安全体系构建资资源全景态势呈现对镜像、容器、容器运行时和编排环境进行合规性检测,发现不安全的配置进行识别和加固,支持CIS-benchmark-Docker、CIS-benchmark-Kubernetes安全基线、自定义安全基线o微微服务和API安全云原生网络安云原生网络安全支持微隔离和流量威胁入侵检测功能,提高云原生网络安全能力oAPP3容器APISecAPPn容器Service…APP1容器APISecNamespace1APISecAPISecAPP3容器APISecAPPn容器Service…APP1容器APISecNamespace1APISecAPISecAPP2容器HostOS+Hostbridge网卡网卡p微服务加固(加密、认证)微服务与API∶云计算的未来Z:APP2容器Z:APP2容器eeX:APP1容器Y:APP1容器 iptablesceiptablesceceeBPF外部向某pod发送请求iptablesEnvoyeBPF全向云原生API安全3Namespace33Namespace3ervic…Namespace2Namespace2云原生API安全(Sidecar)云原生API安全(单安全容器)体量镜像至少2-3G镜像为几百兆镜像为几百兆镜像为几百兆部署模式代理模式串接代理模式串接旁挂在Pod务引流代理方式串接防护粒度基于站点、站点组、虚拟站点防护基于站点、站点组、虚拟站点防护基于K8s的基础部署单元deployment (Pod)防护,可以精准地为不同业务制定不同的防护策略基于K8s的基础部署单元deployment (Pod)防护,可以精准地为不同业务制定不同的防护策略可伸缩性的容/缩容复杂支持弹性的容借助K8s的编排能力以及Istio的Sidecar注入功能,动态的容/缩容、流量负载均衡借助K8s的编排能力轻松实现动态的容/缩容、流量负载均衡防护广度仅南北向仅南北向全方向全方向性能消耗很高较高较高较小同一node下pod间发送请求威胁情盟已显示价值,数研聚集效数研成为数字经济的新生产要素,威胁情盟已显示价值,数研聚集效数研成为数字经济的新生产要素,后疫情时代来临云计算大量被采用,云上安全事件频发,以攻促防构建护城河增效模型 自适应性能力 持续性数据 全局性增效模型 自适应性能力 持续性数据 全局性云化战略对云端大脑要求运营数研合规化运营体系云化运运营体系云化本分析 协同性增强分析智能分析增强分析智能分析隐私安全融合数研建模原子能力隐私增强计算融合数研建模原子能力隐私增强计算数研质量治理数研隐私观测指标分析编排分析自适应智能分析数研脱敏&脱敏评估访问控制数研销毁运营分析能效提升数研质量治理算法模型云原生化攻击行为预测自适应智能分析数研脱敏&脱敏评估访问控制数研销毁运营分析能效提升数研质量治理算法模型云原生化攻击行为预测云化大脑的关键特性需求的对应技术增强信任隐私安全增强分析智能分析隐私增强计算数隐私增强计算观测指标原子能力原子能力编排隐私信息检索隐私信息检索联邦学习协同融合数研融合数研建模动态异构知识图谱构建云端规则DevOps自适应智能分析关键技术∶MLOps处理、模型选择、模型训练、参数优化、模型发布、安全性检测等多环节的自动化流程,降低模型优化迭代、分布式部署的成本。安全ML标准库在云端打造标准化的ML开发运营流程,在云端打造标准化的ML开发运营流程,保证ML模型流转、监控的持续性、鲁可解释模型等维度的最佳实践安全ML模型库,打造行业壁垒o超融合知识图谱关键技术∶动态异构知识图谱与搜索引擎l场景∶针对攻防场景的快速建模、能力快速复制等核心需求,通过在云端构建面向动态行为数据、情报数据、知识数据、环境数据的统一知识图谱,助力数据价值转化的标准模板,实现数据富化与通用知识的准确抽取。 (事件)数据富化(路径溯源)知识抽取智能社索缓解数研孤岛效应,通过分布式、融合知识图谱的关联,提供事件、情报的上下文信息o从语言建模、搜索算法、智能推荐等维度,持续吸纳、整合数研,缓解数研孤岛效应,通过分布式、融合知识图谱的关联,提供事件、情报的上下文信息o从语言建模、搜索算法、智能推荐等维度,持续吸纳、整合数研,提供具有洞见的搜索结果呈现,支撑事件研判、攻击组织分析、事件取泛化溯源图结构的抽取,形成具有高抽象行为识别效果的知识片段,打通数研模式与专家经验的转化流程o运营分析指标体系模善l场景∶面向安全运营的有效性提升、降本增效的核心指标,精细化划分分析、数据与运营的整合流程,量化、指标化分析有效性运营分析指标体系模善l场景∶面向安全运营的有效性提升、降本增效的核心指标,精细化划分分析、数据与运营的整合流程,量化、指标化分析有效性的指标,持续监控并提供分析策略优化的方法。分析能力对接流程精细化l深入运营前场与具体场景,面向不同团队、不同角色运营需求,l通过明确可量化、不可量化的指标,在具体的分析赋能运营流观测指标闭环关键技术∶运营分析能效提升模型SecXOps+AISecOpsAI编排DataOpsMLOps/ModelOpsDataPipelineMLPipeline威胁情盟已显示价值,数研聚集效应已现,人工智能赋能安全运营数研成为数字经济的新生产要素,威胁情盟已显示价值,数研聚集效应已现,人工智能赋能安全运营数研成为数字经济的新生产要素,后疫情时代来临云计算大量被采用,云上安全事件频发,以攻促防构建护城河"十四五"大数据产业发展规够"东数西算"工程"十四五"大数据产业发展规够"东数西算"工程政策红利刺激数研要素流通数据-新型生产要素"十四五":激活数据要素潜能 数据-新型生产要素"十四五":激活数据要素潜能上上海数据交易所来源:StateofDataSecurity2018 智能分析 智能分析云化战略对云端大脑要求运营技术智能化运营体系云化运营技术智能化运营体系云化 隐私安全零知识证明区块链安全多方计算(MPC)境(TEE)安全聚合差分隐私同态加密速习零知识证明区块链安全多方计算(MPC)境(TEE)安全聚合差分隐私同态加密速习隐私计算领域全景图 (FL) (FL)习绿盟隐私计算增强平台p绿盟隐私增强计算平台为客户提供"数研可用不可见"的数研价值共享和流动,基于同态加密和密码学底层协议,实现"原始数研不出库,模型和结果多跑路"效果。在满足法律法规条件下,为客户业务场景持续赋能。p提供三种隐私计算能力∶根研客户不同应用场景进行技术选型∶l联邦学习(联合建模、联合预测、联邦特征工程)横向(同构)联邦学习纵向(异构)联邦学习横向(同构)联邦学习纵向(异构)联邦学习联邦学习-丰富算法、安全可靠••一共迭代12轮Host每2轮投毒一次•Guest均检测到投毒•未投毒轮次不盟警针对FATE进行模型投毒,并做检测FATE自带横向逻辑回归(HomoLR)模块,用时1分59秒o我们设计的横向逻辑回归模型投毒(HomoLRMP)模块,Guest侧进行检测,用时2分04秒o增加4.2%开销o测试投毒频率对损失影响(直观显示每一次的投毒)SEV虚拟机引导rnel不支持init=参数置密钥内置解密逻辑itrdgzSEV虚拟机引导rnel不支持init=参数置密钥内置解密逻辑itrdgz置密钥内置解密逻辑磁盘分区(加密)运行系统 modified pdate origGrub 默认关闭后台登陆不开放未知端口默认关闭ssh安全扫描无漏洞SSH需认证开启运行安全一次一密rootfsTEE内存加密程序可证明的安全控制TEE证明TEE证明数研加密上TEE证明TEE证明数研加密上传程序加密上传NCC协作模式平台数研方ABinux机,运行于计软件方VMA:FATEAMDSEV应用VMA:FATEAMDSEV应用方式VMB:ArbiterSEV技术原理HypHypervisorAMD-SPKeyBKeyAAES-AES-128Engine用户侧用户侧AMD芯片服务器TEE架构安全区域大小部署我司成熟产品保护级别SEV代码无需重构性代码需要大量重构eflash5.2OpenSSH2.2软件名称版本号flash5.2OpenSSH2.2软件名称版本号实践1∶安全多方计算+漏扫SaaS服务绿盟凭借自身能力获得了足够多的漏洞,形成了不能公开的漏洞库,通过该漏洞库可以查到受影响的软件及具体版本号;客户购买检测服务后,欲利用该漏洞库检测自己目前所用软件(有具体版本号)包含漏洞详情,但不能泄露查询的软件信息。给出漏洞详情1,给出如何修复OpenSSH[0,3.4.7p1)给出漏洞详情2,给出如何修复jdk给出漏洞详情3,给出如何修复[3.3,5.2.4)给出漏洞详情4,给出如何修复7.r1给出漏洞详情5,给出如何修复.客户知道当前所用软件版本包含哪些漏洞结果2.绿盟无法知道客户侧检索条件和检索结果312实践2∶联邦学习+安全大数研p基于联邦学习的跨企业告警分类p不同企业的安全运营平台,由于涉及到企业内部一些信息,因此不会直接共享从而形成数据孤岛;而训练智能模型需要大量、丰富广泛的样本,而专家的标注成本高。通过横向联邦学习实现跨企告警类别precisionrecall判正(漏判)误判0测试表明,5方的数据集相比单方数据集训练得到模型准确率提升30%-40%。实践3∶TEE(NCC)在科研单位的应用NCC络操作员所导致的信息•科研单位的计算程序无需修改,可直接运行于NCC环境,支持科研单位PB量级的数研分析和•NCC实现了"一次一密"访问数研的"金库模式",实现了"拿不走、跑不掉"的效果,起到数研安全"最后一道防线"的作用。学术论文期刊践术重标识风险评估方法全全技术前沿与应用学术论文期刊践术重标识风险评估方法全全技术前沿与应用沿IEEETransactionsonServicesComputingdKeywordSearchinIEEETransactionsonServicesComputingIEEETransactions隐私计算成果•开源社区Fatep研究员积极投入开源社区Fate,针对功能和底层实现,提出多个Featurerequest,发现多个bug,并被采纳•发表多个高水平学术期刊、专利•获博士后基金资助p助p北京市博士后科研活动经费资助国家行业标准状态范》化数研数字水印实施要求》与互联网联邦学习数研安全技术要求与测试方多方计算技术要求与测试规范》内生安全车联网行业创新卫星互联网ps/供应链云原生安全/攻防供应链安全知识图谱技术创新云上风险发现隐私增强计算/数研合规内生安全车联网行业创新卫星互联网ps/供应链云原生安全/攻防供应链安全知识图谱技术创新云上风险发现隐私增强计算/数研合规创新、孵化2022创新度(战略相关)SecOpsAPIAPI安全3年2年1年微创新孵化度(落地相关)索研究产品化运营/索研究产品化孵化期试错期转化期孵化期试错期转化期 感谢聆听!关注"绿盟科技研究通讯"新浪微博欢迎关注绿盟科技了解更多安全资讯能力中心总经理俄乌网络战s文翻译有网络空间作战、网络作战、赛博作战、网络用网络空间进行的军事活动、情报活动和日常业务运营组成保护己方网络系统和网络信息而实施的作战行动。来源：/en/lp/securitydive/risks-from-the-cyberattacks-ru-ua-conflict3月8日3月20日3月22日3月24日3月26日3月28日3月30日4月3日4月5日4月7日4月9日3月8日3月20日3月22日3月24日3月26日3月28日3月30日4月3日4月5日4月7日4月9日•网络攻击不受谈判节奏影响•可能因攻击队伍构成更多来自西方外部组织有关俄重要资产在线数量第五轮谈判第三轮谈判第四轮谈判第三轮3月8日3月20日3月22日3月24日3月26日3月28日3月30日4月3日4月5日4月7日4月9日3月8日3月20日3月22日3月24日3月26日3月28日3月30日4月3日4月5日4月7日4月9日•网络攻击不受谈判节奏影响•可能因攻击队伍构成更多来自西方外部组织有关俄重要资产在线数量第五轮谈判第三轮谈判第四轮谈判第三轮谈判第四轮谈判0第五轮谈判俄方攻击特点乌方攻击特点俄方攻击特点•谈判期间，乌存活资产明显上升,俄攻击放慢乌重要资产在线数量VS俄军作战”实为乌东地区的亲俄人士网络战-认知&网战协同俄军作战”实为乌东地区的亲俄人士德德媒称俄罗斯轰炸基辅用的竟是天津港爆炸画面来源：/2022-03-03/doc-imcwiwss3970045.shtml存活资产数量网络战-关基资产成为重点打击目标存活资产数量250002000050000000500003月8日3月15日3月22日3月29日4月5日4月12日4月19日4月26日5月3日5月10日5月17日5月24日5月31日6月7日乌克兰在线关基资产数量*数据来自绿盟网络空间测绘系统网络战-攻击组织-专业化APT组织名称Lorec(洛瑞熊)Gamaredon(原始熊)Sandworm(沙虫)EvilCorp(邪恶蜘蛛)网络战-攻击组织-平民化俄罗斯网军组织在社交平台上发布DDoS工具匿名者共享俄公网工控资产靶标网络战-攻击组织-协同化俄罗斯网军组织在社交平台上发布DDoS工具匿名者共享俄公网工控资产靶标APT组织将攻击目标、攻击工具、攻击代码信息通过Github、Pastebin等共享平台进行共享，Github上乌方发布的DDoS项目网络战-攻击结果-网络瘫痪分别针对俄乌金融机构的DDoS攻击tddos地前沿深度观察》/ddos-apt-sec/网络战-攻击结果-网络瘫痪乌克兰副总理费多罗夫(MykhailoFedorov)2月28日在推特上发布的照片显示，美国太空探索技术公司(SpaceX)向乌克兰发去了一辆装满星链用户终端的卡车，意味着在这些终端的帮助下，乌克兰部分地区将重新获得网络服务。用户视角反馈用户视角反馈网络运维视角反馈网络战-攻击结果-网络瘫痪•2月24日，开始组建乌克兰IT网军。2月26日，网络战-攻击结果-网络瘫痪•2月24日，开始组建乌克兰IT网军。2月26日，国际黑客组织“匿名者(Anonymous)”宣布对俄罗斯发起网络攻击。•24h内，对300多个政府网站，包含气体控制系统及进行攻击；h府、国家媒体、•3月4日，入侵2500多个俄罗斯、白俄罗斯网站、国家媒体、银行、医院、机场、公司和黑客网站。攻击目标目的2月25日俄罗斯国防部网站被入侵入侵网站、泄露其员工数据2月27日俄罗斯国家电视频道被黑播放乌克兰战争实况2月27日俄罗斯军事通讯被截获公布通讯频道、截获俄军事通讯 (证实部分为虚假信息)2月27日俄罗斯军方广播电台UVB-76遭到攻击射频干扰、广播乌克兰国歌等2月27日俄罗斯天然气供应fornovogas网站遭黑客入侵关闭天然气供应2月28日俄罗斯外交部网站遭DDoS攻击DDoS2月28日工业气体控制系统遭黑客入侵控制系统权限，关闭系统2月28日俄罗斯belarus的银行网站：belinvestbank、priorbank.by、priorbank.by遭DDoS攻击DDoS2月28日俄罗斯关键基础设施变电站(使用开源应用RapidSCADA)遭黑客入侵默认凭据，控制系统3月1日俄罗斯军事通讯被截获截获军事通讯，控制系统白俄罗斯铁路基础设施系统遭黑客入侵关停火车，阻止俄罗斯军事行动俄罗斯新闻网站遭DDoS攻击DDoS俄罗斯航空公司系统遭黑客入侵权限控制社交媒体网站遭DDoS攻击VK.comOK.RuMoiMirmy.mail.ruRuTube.ru(Russia'sversionofYoutube)DDoS俄罗斯经济发展部数据库遭入侵数据被泄露，网站于3月2日仍然处于关闭状态3月2日俄罗斯航天局遭黑客入侵控制中心被关闭3月2日政府网站离线DDoS匿名者在宣布对俄发动攻击过去的72小时内关闭了俄罗斯和白俄罗斯政府、国家媒体、银行和公司1500多个网站3月3日俄罗斯工控系统清单被泄露，包含900多个关键基础设施资产泄露暴露在公网的工控资产清单3月3日Rosatom国家原子能公司被黑客入侵泄露并售卖敏感数据3月4日俄罗斯联邦储蓄银行、国防数据库数据遭泄露泄露敏感数据库数据3月5日俄罗斯政府网站的数据库泄露。泄漏包括子域和后端IPCyberUnitTech公司对俄内部的瓦解行动：>通过电话、电子邮件和短信俄罗斯人进行面对面的CyberUnitTech公司对俄内部的瓦解行动：>通过电话、电子邮件和短信俄罗斯人进行面对面的12万名俄军信息被泄露d网络战-攻击结果-影响军心网络战-攻击结果-影响军心4月13日，莫斯科号导弹巡洋舰在黑海沉没。莫斯科号是俄罗斯舰队中的三艘此类导弹巡洋舰之一，乌克4月13日，莫斯科号导弹巡洋舰在黑海沉没。莫斯科号是俄罗斯舰队中的三艘此类导弹巡洋舰之一，乌克恶意代码传播地址关联家族/攻击行为http://209.xx.xx.122/x86http://scalemtm.xyz/multi/xx.shhttp://恶意代码传播地址关联家族/攻击行为http://209.xx.xx.122/x86http://scalemtm.xyz/multi/xx.shhttp://scalemtm.xyz/xx.shhttp://194.xx.xx.122/keenzeuonionsftp://anonymous:anonymous@45.xx.xx.105/.shGafgytftp://anonymous:anonymous@194.xx.xx.122/.keenzeuonionsGafgythttp://64.xx.xx.17/x86http://179.xx.xx.170/putkite/quickr1n.sh挖矿http://45.xx.xx.105/onions1337Gafgythttp://172.xx.xx.149/curl.shhttp://31xxxx109/binsshftp://anonymous:anonymous@98.xx.xx.153/sora1.shftp://anonymous:anonymous@206.xx.xx.177/sh擦除软件投放方式——利用僵尸网络投放绿盟擦除软件投放方式——利用僵尸网络投放绿盟科技捕获到相关恶意代码传播地址13个，关联家族多数为Mirai和Gafgyt。从恶意代码传播的IP地址或域名来看，攻击者通过使用公网上公共的脚本托管网站来下载攻击脚本，达到隐藏自己身份的目的，使防御方溯源无从下手。例如：乌边境检查站遭受数据擦除攻击乌克兰难民在边境长时间等IssacWiper网络战-攻击结果-影响民生•3月1日,苹果暂停在俄罗斯销售•3月2日，波音暂停向俄罗斯各•3月4日，Oracle暂停俄罗斯所有业务，包括在俄被大量使用•3月5日，微软暂停在俄罗斯销网络战-攻击结果-影响科技俄乌网络战专业专业化攻击组织平民化平民化协同化协同化关键基础设关键基础设施攻击目标供应链供应链认认知网络瘫网络瘫痪攻击结果军军心民生科科技绿盟科技安全研究院对抗技术-APT监测系统国家网络战时，除了正规网军,APT组织也会加入战斗。针对APT组织的监测可以在常态化阶APT32CNC关基供应链软件供应商高等教育行业科研人员大型制造业2022年揭露全球APT组织共计52次新攻击活动，监控到拉撒路、白象、邪恶数字、透明部落等APT组织的93次新攻击活动APT-N-5APT-N-7APT32CNC关基供应链软件供应商高等教育行业科研人员大型制造业2022年揭露全球APT组织共计52次新攻击活动，监控到拉撒路、白象、邪恶数字、透明部落等APT组织的93次新攻击活动APT-N-5APT-N-7APT-N-6新APT组织：穆伦鲨(APT-N-4)、科研院所白白俄罗斯政府日本政府目标:俄罗斯政府对抗技术-威胁狩猎与溯源系统对抗技术-全球DDoS监测系统对抗技术-网络空间测绘系统对全球范围互联网暴露资产进行测绘，提供攻击面管理、风险资产预警等。对俄乌网络战期对抗技术-全域化威胁情报系统黑客组织动态情报、重点舆情情报等。UESUES供应链产品安全风险持续监测供应链产品安全风险持续监测动态安全测试RSAS静态安全测试SDA-SAST静态安全测试SDAUESUES供应链产品安全风险持续监测供应链产品安全风险持续监测动态安全测试RSAS静态安全测试SDA-SAST静态安全测试SDA-SAST动态安全测试RSAS安全订阅安全订阅软件治理软件治理软件成分分析SDA-SCA供应商安全风险持续监测软件成分分析SDA-SCA供应商安全风险持续监测容器安全检测NCSS-C容器安全检测NCSS-C安全联动情报订阅能力订阅能力订阅情报订阅WAF供应链安全治理平台(供应链安全分析)供应链安全治理平台(供应链安全分析)UTS漏洞检测引入审批技术评估合规使用更新审查风险整改应急处置停用退出停用退出应急处置风险整改更新审查漏洞检测技术评估引入审批合规使用OSMS服务订阅控服务订阅控服务订阅服务订阅服务订阅测服务订阅测服务订阅全监督服务订阅全监督供应商及其产品服务梳理供应链安全监测预警软件可信安全认证RSASRSAS应急预案编制开源软件成分分析软件安全审查备案开源软件成分分析开源软件成分分析供应商及其产品服务梳理软件安全审查备案应急预案编制开源软件成分分析DLPDLP供应链应急安全演练开源代码安全审计开源代码安全审计软件安全技术检测开源代码安全审计供应链安全监测预警软件安全技术检测供应链应急安全演练开源代码安全审计LAS等LAS等开源软件许可分析安全保障服务梳理供应链安全监督检查软件可信安全认证安全保障服务梳理开源软件许可分析供应链安全监督检查安全联动WAFOSMSUTS企业安全运营平台 (企业安全运营平台 (ISOP) (ISOP)Z-Boat全场景社会工程学攻击系统对抗水坑JS钓鱼TRUCK基础设施自动化部署及管理系统靶标项目分级管理节点成果信息自动导入、协同推送攻击路径节点链式展示多源C2信息自动接入项目成果看板协同模块化权限管理全局可搜索高价值信息(口令、节点、文件、etc)节点、任务及项目报告自动生成内网探测及自Z-Boat全场景社会工程学攻击系统对抗水坑JS钓鱼TRUCK基础设施自动化部署及管理系统靶标项目分级管理节点成果信息自动导入、协同推送攻击路径节点链式展示多源C2信息自动接入项目成果看板协同模块化权限管理全局可搜索高价值信息(口令、节点、文件、etc)节点、任务及项目报告自动生成内网探测及自动化收集PandoraA.B.E对抗载荷生成与管控平台VPS管理域名管理武器部署TeamServer案案UACBypass漏洞利用LDAP信息搜集Kerberos认证会话服务策略信息ADRecon域内自动化信息收集漏洞利用ox攻防辅助平台TWEB自解压制作二进制免杀提权查询编码转换C2框架辅助工能主被动情报自动化收集系统程序搜集搜集Titan/EZ渗透测试漏洞扫描工具&平台webweb资产探测指指纹识别漏漏洞探测漏漏洞利用EliseElise爬虫引擎协同攻击作战平台启示-构建网络安全基础设施能力1.APT监测系统2.威胁狩猎与溯源系统3.大规模蜜网监测系统4.全球DDoS监测系统5.网络空间测绘系统6.安全知识图谱系统7.供应链安全治理系统8.全域化威胁情报系统9.对抗演练系统众号关注绿盟科技大数据时代的挑战世界格局大变革视角下的数研安全制度•国际环境错综撑杂•世界经济陷入低迷•国际力量对比深刻调整•逆全球化、单边主义、保护主义思潮暗流涌动量的关键要素•国际战略博弈的主战场•抢占发展制高点的关键一着•全面建设现代化国家的重要支撑•经济结构转型升级、赋能高质量发展的重要动力筑牢风险底线•牢牢把握国家数研主权•事关国家安全•2016年,剑桥分析利用数研干预美公投数研孤岛V.S.数研安全数据要素为何不能突破"数据孤岛"自由流通安全治理的关键难点安全治理的关键难点《数研安全法》第二十一条家建立数研分类分级保护制度,根研数研在经济社会发展务的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、《数研安全法》第二十一条家建立数研分类分级保护制度,根研数研在经济社会发展务的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数研个人信息泄露,带来个体受歧视个人信息泄露,个人信息泄露,带来人身、财产受侵害的•电信诈骗:"徐玉•罕见病歧视:个体歧视•"数研歧视":群体歧视带来侵扰个人生活空间的安宁•骚扰电话Tips:大数据杀熟、信息茧房、利用数据霸权不正当竞争、行业垄断安全治理的关键难点••"数研滥用"的风险,已经超出传统的网络安全的CIA三性范畴理性"《数研安全法》第四章数研安全保护义务一一一一数研处理者视角第五章政务数研安全与开放一一一政务数研处理者视角 2 3主要内容主要内容内内在逻辑运行效运行效果《数据安全法》与数据安全制度主要内容第第三章数据安全制度(共6条)2.第二十二条【数研安全风险评估、盟告、信息共享、监测预警机制】3.第二十三条【数研安全应急处置机制】4.第二十四条【数研安全审查制度】【数研出口管制】第二十六条【数研贸易对等措施】各地区、各部门应当按照数研分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数研进行重点保护国家建立集务统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数研安全工作协调机制统筹协调3.应急处置国家建立数据安全应急处置机制。发生数研安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害的大,消除安全隐患,并及时向社4.安全审查国家建立数据安全审查制度,对影响或者可能影响国家安全的数研处理活5.出口管制国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数研依法实施出口管制。对等措施任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对务华人民共和国采取歧视性的禁止、限制或者其他类似措施的,务华人民共和国可以根研实际情况对该国《数据安全法》与数据安全制度内在逻辑从从范围看:有国内,有国外从适用场景看:从一般到特殊,从事前到事后1.分类分级是风险评估、监测预警、应急处置安全审查的基础。2.日常保障:风险评估、监测预警是事前防范;应急处置是事后处置。3.安全审查、出口管制、对等措施应对特6项制度,6道防线1.分类分级:重点保护2.风险评估:主动发现潜在风险3.应急处置:处置残留风险导致的安全事件4.安全审查:应对风险的最终兜底措施5.出口管制:应对出口风险6.对等措施:形成对外威慑各地区、各部门应当按照数研分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数研进行重点保护2.风险评估/报告/信息共享/监测预警国家建立集务统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数研安全工作协调机制统筹协调有关部门加强数研安全风险信息的获取、分析、研判、预警工作。3.应急处置国家建立数据安全应急处置机制。发生数研安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害的大,消除安全隐患,并及时向社会发布与公众有关的警示信息。4.安全审查国家建立数据安全审查制度,对影响或者可能影响国家安全的数研处理活5.出口管制国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数研依法实施出口管制。对等措施任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对务华人民共和国采取歧视性的禁止、限制或者其他类似措施的,务华人民共和国可以根研实际情况对该国第第三章数据安全制度(共6条)2.第二十二条【数研安全风险评估、盟告、信息共享、监测预警机制】3.第二十三条【数研安全应急处置机制】4.第二十四条【数研安全审查制度】【数研出口管制】第二十六条【数研贸易对等措施】应对风险应对风险数据安全风险数据安全风险•••••••安全漏洞个人信息泄露非法获取数研数研滥用数研跨境风险数研泄露……第第三章数据安全制度(共6条)1.1.第二十一条【数研分类分级】2.第二十二条【数据安全风险评估、盟告、信息共享、监测预警机制】3.