威胁情报已经很火了,那它的现状和发展如何?——首届安全分析与情报大会纪实(上)

“威胁情报”这个词,对于很多人而言早已不算新鲜。近几年来,国内外不论是安全厂商还是甲方企业还是国家政府,都越来越重视威胁情报的发展。今年五月,全国信息安全标准化技术委员会按照GB/T 1.1-2009规则起草的国家标准《信息安全技术网络安全威胁信息表达模型》开始进入征求意见阶段,这项标准的制定意味着网络安全威胁情报将打破现有环境束缚,走向有国家标准的正轨,形成适合威胁情报发展的最佳秩序。

在安全从业者眼中,及时的情报共享是高效威胁响应的重要因素。在企业眼中,威胁情报是越来越多同行所采用的安全手段,对于安全而言似乎很有用,但很多情况下,企业并没有真正了解威胁情报的定义,在接入威胁情报业务后,也并不能充分、高效地利用。有调查显示,84% 的受访者都认为威胁情报应该是安全建设体系中必备的一环,但有59%的人都认为自己所在企业和机构并没有有效利用威胁情报。原因是“威胁情报数据太庞大、太复杂且不够智能”,无法直接提供指导性内容。

那么在专家学者和安全厂商眼中,威胁情报的现状与发展是什么样的?现在有怎样的应用实例?安全厂商与企业应当如何沟通合作,才能共同推进威胁情报的发展,让其真正有效的为安全服务?关于这些问题,威胁情报分析专家、威胁情报践行者和威胁情报所面向的行业客户,都各有思考。11 月 29 日,由微步在线主办的首届网络安全分析与情报大会为这些思考者提供了一个交流的平台。

封面.jpg

本篇属于大报道上篇,主要记录了大会上关于威胁情报现状与发展的探讨,下篇将重点关注威胁情报的应用。

CNCERT 严寒冰:国家网络安全与威胁情报共享

说起威胁情报,我们要参考一下威胁情报发展较好的美国。最早在美国,威胁情报更广的是信息共享,在克林顿时代就出现了。最后又通过爱因斯坦计划、ECS 计划等落实。在战略层面,美国对威胁情报有完整的规划和体系,不仅做实事,也抽象到文字层面来指导网络空间防护工作,这一点值得我们借鉴。而在中国,要想建立起网络空间的纵深防御系统,需要有核心的技术体系和信息共享的体系。

首先,各个行业都建立起各自的安全防护体系,最后综合行程覆盖互联网、大型专网,跨区域、跨行业纵横交织的综合网络防御体系其次,以技术体系为核心,把政府教育科研机构、各行各业包括安全企业连接起来,形成一整套威胁情报体系。目前,政府在威胁情报体系建设方面也采取了一些举措,不仅有 CNCERT、CNNVD 等官方网络信息共享平台,在立法上也有了进步。在刚刚实施的《网络安全法》里首次明确提出了网络安全信息共享这个词,并且明确涵概有关部门、关键信息基础设施运营着以及网络安全服务机构、有关机构等等之间的网络安全信息共享方面的要求,应该说我们国家在法律方面已经迈出了的第一步,但是后面需要实施的东西还非常的多。

总体而言,威胁情报的工作让我们从知己走到知彼。在网络攻防中,知己知彼,才能百战不殆

微步在线薛锋:从攻守不对等到情报驱动的安全智能

作为微步在线的 CEO、此次大会的主要筹划者,薛锋从情报的发展以及智能化的角度分享了自己的观点。 

网络攻防其实很不对等

首先在时间上,坏人(攻击者)的时间往往比好人(防御者)的时间充裕。现实生活当中坏人可能在各个时间攻击,平时大家工作忙碌,一旦出现应急响应事件,就已经处于时间上的不利位置了。就像拆弹一样,往往一开始拆弹,炸弹上的时间表已经哒哒作响;

其次在工具、资源上,坏人的装备比好人厉害得多。二十年前从事安全行业时,防御装备是防火墙、IPS/IDS,到后来有了 WAF,到现在我们用的还是这些装备。但攻击者的工具却一直在变化增长。原因也有迹可循,防御者买工具时,企业往往会考虑成本问题;而坏人买了工具就可以收获高额利润,投入产出比高,所以他们很舍得花钱买工具。此外,攻击者可以利用其它坏人的工具或资源来进行攻击,以 WannaCry 为例,据说是朝鲜人利用俄罗斯人盗窃到的美国 NSA 的代码来发起攻击,结果中国却成了最大受害者。这就是资源上的不对等;

最后在人数上也不对等:安全团队规模一般都很小,但企业可能遭受的攻击却来自四面八方。而且安全团队往往专注于自家公司,有些个人自扫门前雪的意味,但攻击者却往往会针对多个目标发起攻击。

此外,更需要注意的一点是,攻击者的自动化程度很高、数量很多。很多时候企业甚至不知道自己对抗的是人还是机器,也不了解对方的情况和意图,攻防的状态大多是敌众我寡敌暗我明。这才是最大的挑战。所幸人们逐渐认识到安全的重要性,在探索中,我们也发现,在这种攻防不对等的情况下,自动化和共享其实是未来的一个大方向。

薛锋

情报的演变

安全的问题归根到底可以说是大数据的问题,而应对方式就是利用一个小数据来解决,那就是云计算技术,这可以说是对我们有利的一点了。在攻防中我们可以利用云计算大量采集流量,采集日志,做分析,最后发现攻击者的信息。就像我们在街上装了很多摄像头,拍到很多人。小偷偷东西被拍了,他也没办法擦除摄像头里的信息,他经过的每条路都会被记录下来。这是网络攻防双方第一次的非对称,也是我做威胁情报的原因。

2015 年,我们尝试做了 Virusbook 的产品,主要是想对安全事件、黑客数据进行分析,对所有信息做关联分析,这是最早想解决问题的出发点。因为我们发现大家在面对攻击事件的时候没地方去找线索,在百度上也不可能查到一个木马的信息。大家需要一个专业的平台,所以这是我们的起点。

从 2016 年到今年,我们看到威胁情报有很多不同的落地方法,最显著的一个是跟 SOC (Security Operations Center,安全运营中心)的结合。但现在,SOC 出现了很多问题,因为大部分 SOC 都是输出导向而不是结果导向的。有人建了 SOC 之后,就疯狂收集成百上千种数据,结果发现根本没用。SOC 的正确利用方法其实是,在收集前先想一下为什么手机这些日志,收集完对自己有什么帮助,这样一来就省钱又省时间。其他的利用方式包括:利用威胁情报把整个网络安全的状况监控起来,也有基于端上的叫 EDR 的监控。我们后来出了两个产品就是为了解决这些问题(只给用户数据但用户却用不了的问题、用户方没有专业人员就不能使用的问题),这都是威胁情报和安全企业在产品化上需要解决的问题。

基于情报的安全智能化

首先打个比方,最近互联网公司都争先恐后地发布智能音箱,原因是音箱已经今非昔比。过去他只是个播放器,而现在则成了人机交互的界面,可以用于控制台灯、空调等各种设备,大大提升用户体验。在以前,这些设备都是一个个遥控器控制的,不仅麻烦,人机交互体验也很不好。类似的,安全场景也很乱,且安全状况更糟糕。每家企业都有十几、几十个厂家的几百台设备,比如有20台A厂商的防火墙,20台B厂商的防火墙,如果要做操作得上每一个操作界面做修改配置,其实是一个非常烦琐冗余的过程。但这一点肯定会改变,可能目前一个产品不能支持这种联动和互动,但是未来的趋势一定会支持,因为这是用户需求,也是大势所趋。

智能音箱.jpg

在家庭场景下,这种控制性的“情报”来源于人类的需求和大脑,想到要开灯,就是一条情报,然后通过语音形式告诉智能音箱开灯。未来在安全场景中,威胁情报就是安全智能化中的智能音箱,联动着各种安全产品。

在过去,一个应急响应流程很慢、很复杂且容易出错:

客户安全人员看到威胁报警——找厂商帮忙——厂商拉群,要求客户给某工程师发邮件——客户发邮件但因为邮件中包含木马病毒样本,被邮箱拦截——客户加密邮件重发——工程师收到邮件,花一到几小时分析再返回给客户——客户看到报告后安排安全人员做防

不要分享密码

猜您喜欢

员工的安全意识是商业成功的竞争力
​Victorian student gained unauthorised access to school#8217;s IT network http://www.chinacybersecurity.org/2017052924.html
他山之石·产业研究系列报告第31期:钻技术 重服务 信息安全市…
Security-Frontline-安全前线
365FANYI THONGCANDIDS
突破旧体制推广信息安全
成都源汇信息安全风险评估原创获行业重大突破