3、范敦球-攻防博弈视角下的安全研究新布局（17页）.pdf

1、攻防博弈视角下的安全研究新布局绿盟科技能力中心 范敦球目录CONTENTS1.安全产业对安全研究的新希望2.攻防博弈对安全研究的新思路3.公司战略对安全研究的新要求4.绿盟科技安全研究布局新思考数字化转型趋势美交通部智能交通系统（ITS）战略规划20202025美国联邦医疗 IT 战略计划 2020-2025 欧盟数字服务新动向网络安全发展新格局数据安全法2500安全威胁趋势安全威胁新趋势对抗博弈趋势攻击防御访问保护策略防护 防坏人访问 放好人持续监测；风险与信任评估自适应响应持续可见与评估攻击侦察投递利用外联提权扩散任务执行From Microsofts BlueHat conference

2、防御攻防对抗的机会窗口采集聚合分析识别追踪取证隔离BlueTeam 防御攻击链对抗博弈新趋势美国政府成立勒索软件工作组对抗博弈新趋势绿盟战略新目标连接协同智能敏捷可运营全场景可信任实战化智慧安全1.0智慧安全2.0智慧安全3.0全场景可信任实战化 全领域 全要素 全类型 能力可信任 访问可信任 供应链可信任 以战领建 按需调度 高效攻防安全能力新要求攻击方画像理论体系ATT&CK模型KillChain模型STRIDE模型.运营手段威胁诱捕溯源威胁情报未知威胁分析.防守方画像理论体系威胁知识图谱UEBA风险管理.运营手段安全运营平台威胁情报安全运营服务.威胁情报可信持续输入智能分析决策大数据AI

3、实战化安全运营技术手段EDR零信任SOAR.工具WAFNFUES.安全服务安全产品安全技术安全能力安全运营安全研究目标-体系化对抗能力威胁情报能力威胁建模&知识图谱红队技术研究APT监控能力安全研究新目标-体系化强敌对抗Enter your subhead line here敌人在哪（溯源技术与反制技术）IP地理测绘、浏览器指纹、假人识别、反欺诈、客户软件漏洞、钓鱼邮件识别、社交信息获取敌人是谁（组织归因技术）攻击者信息库、恶意软件基因技术、社群发现，知识图谱，虚假信息识别技术敌人的目标（威胁检测）威胁发现、攻击路径还原、横向移动行为勾画、智能决策，虚拟化及云dockers安全敌人的能力（威胁

4、分析技术研究）逆向技术、大数据智能挖掘、威胁捕获，漏洞识别、僵尸网络规模测绘.敌人的基础设施（威胁情报）网空测绘、掌握的互联网威胁资源IP、域名、服务器、云资源、工具和服务器指纹及其脆弱性等安全研究新目标-场景化安全研究电力输油输气炼化钢铁城市水务污水处理智能制造煤矿城市供热煤化工轨道交通制药水泥发电输电变电配电售电辅助系统十六字方针数据站和RTU数据中心业务架构应用软件及通讯工具自控硬件厂家内外网边界视频数据与自控数据边界管理网MES、ERP、CCTV、AMS生产网DCS/SIS/ESD/TICC/OBS管理网与生产网边界关注焦炉、高炉、脱磷、脱碳系统。二次加氢确认。重点关注1.铸造和轧钢车

5、间边界2.铸造和轧钢车间安全定制确认数据接入系统确认相关的控制软件以及通讯方式。安全配置主机加固、服务防护场站隔离、业务匹配边界检测、调度单独防护确认工艺和水质标准重点关注1.SBR和带有滗水器工艺2.内外网边界工艺生产安全环保数据烟草制丝卷包物流动力数据中心车间工艺单体车床系统西门子/AB/三菱分区隔离旁路监测识别通讯协议S7、Profinet居多双网一平台生产网环境监测网综合自动化信息集成平台工作服务器确定边界热源栈系统重点安全防护主要通讯协议Modbus、BACNet、OPC、S7重点自控厂家和利时、自控数据服务器业务要求严格关注分厂内外网边界关注污水、循环水、焦化、自备电厂等单元。工艺

6、连续性确定系统控制边界关注自控系统、设备类型和通讯方式。线网指挥系统NCC系统内网隔离数据接入访问控制和防火墙隔离数据处理区审核分析展示区、内网管理区、信息发布区进行隔离。两磨一烧工艺流程OPC居多关注工控协议重点关注PLC系统和DCS系统的边界运行稳定性，具体为控制链路通信稳定性关注控制器厂商霍尼韦尔、罗克韦尔符合食品药品监督管理相关规程食品饮料天际卫星航天器的安全空间链路通信安全地面测控系统安全星务管理系统安全中继站安全安全研究新目标-安全研究的数字化历次演练复盘总结、优化安全运营针对攻击技术知识库参考Kill