证通股份黄凯：基于威胁情报的自动化安全决策与数据分析

"基于威胁情报的数据分析和自动决策在现代信息安全领域中扮演着至关重要的角色。该主题由黄凯，证通股份有限公司的安全技术负责人，在ThreatBook首届网络安全分析与情报大会上进行深入探讨。黄凯拥有丰富的8年安全从业经验，他负责公司信息安全技术体系管理、安全监控系统运营以及安全技术研究，强调了在高度复杂的网络安全环境中，理解和应对安全挑战的重要性。 会议中，黄凯关注了几个关键点。首先，安全需求包括确保数据安全、开发安全以及业务安全，这些都是机构，特别是证券机构和互联网企业，如证通这样的金融服务机构必须面对的核心问题。他们需要满足安全合规性，并通过有效的安全运营来保障业务的正常运行。 安全挑战部分，黄凯提到了防御措施，如设备保护、日志监控、告警系统、扫描和防火墙等，同时指出面临的威胁，如拒绝服务攻击、漏洞利用、撞库攻击等。他强调了知己知彼的重要性，其中知己涉及代码检测、漏洞扫描和资产识别，而知彼则依赖于威胁情报，这是理解并预防潜在攻击的关键。 系统架构方面，日志收集是基础，涵盖了网络、应用和安全层面的数据，通过数据解析、存储、查询和报表生成，形成一个支持决策的信息资产信息库。微步威胁情报和事件管理模块用于实时监控告警，而防火墙、漏洞历史信息库以及Agent/Syslog lookup和API的整合，构成了态势感知系统，帮助快速响应和处理威胁。 在实际操作中，第一步是进行日志字段提取，例如记录发生时间、威胁级别、事件详情、请求方法、URL、IP地址等信息，这些数据经过处理后可以作为后续分析的基础。通过对这些信息的深度分析，可以精确识别异常行为，实现自动化的决策支持，提升整体网络安全防护能力。 基于威胁情报的数据分析和自动决策是现代信息安全策略的重要组成部分，它涉及到全面的风险评估、智能化的防御机制以及对威胁动态的实时响应，对于保障机构的网络安全具有深远影响。"