威脅情報的本質是數據 數據是看見安全的基礎
原創隨著傳感器的增多、可穿戴終端技術發展、以及深入生活的各類應用出現,任何設備都將接入互聯網,由此帶來的安全挑戰前所未有。攻擊入口無處不在,單純基于漏洞或者關鍵資產的防御方式已經力所不及。企業需要更加全面高效的防御方式,在安全的環境中發展壯大。威脅情報的出現為傳統防御方式帶來了有效補充,它立足于攻擊者的視角,幫助我們更好的了解威脅,幫助我們在遇到威脅時能夠準確高效的采取活動。
目前,威脅情報無疑是非常火爆的安全防護體系的概念。但是在國內,它還沒有很成熟。3月30日,由安全牛主辦的“CS 3:威脅情報解決方案峰會”在京舉行,來自360、IBM、谷安天下、微步在線、白帽匯五家廠商的專家從不同的視角分別介紹了各自對威脅情報的理解和相應解決方案。
什么是CS3?
據安全牛主編李少鵬 介紹,CS系列論壇是“專注安全解決方案的大會,我們面向的主要是用戶,講的是自己的產品,解決的是甲方面臨的安全問題。我們不怕打廣告,但我們演講的產品和方案,都是經過安全牛精心選擇過的,值得推薦的優秀產品和方案。”
CS不講攻防,不講戰略,講的是安全需求和解決方案,講的是企業或機構即將面臨的問題和急需解決的痛點。CS 3,顧名思義為CS系列的第三場論壇。目前,CS系列參與方包括360、螞蟻金服、普華永道、烏云、RSA、IBM、谷安天下、網康等業界知名互聯網公司和安全公司。
什么是威脅情報?
根據Gartner的定義:“威脅情報是一種基于證據來描述威脅的知識信息,包括威脅相關的上下文環境信息,采用機制、指標、影響與行動建議等。這些用以描述已經存在或正在發生的攻擊威脅的信息,可以被受害目標用來進行決策并對威脅進行響應”。簡單來說,威脅情報就是可以幫助人們識別安全威脅并做出明確決定的知識,就是收集、評估和應用關于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標的數據集合。所謂的情報,具體講,通常可包括hash值,ip地址,域名信息,網絡與主機攻擊,工具,TTPs等。
威脅情報有何用武之地?
威脅情報可以幫助人們解決如下問題:
如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標等等在內的如潮水般海量的安全威脅信息?
面對未來的安全威脅,如何獲取更多的主動?
如何向領導匯報具體安全威脅的危險和影響?
做威脅情報的廠商有哪些?
目前做威脅情報的廠商為數不少,國際上主要有:賽門鐵克,iSight Parnters,火眼,CrowdStrike,Lookingglass,IBM,Webroot,Dell Security,Verisign iDefense等。
國內主要有:微步在線,360,谷安天下,白帽匯等。
CS3威脅情報解決方案峰會上,大家都說了什么?
360網絡安全研究院院長 宮一鳴 & 天眼實驗室負責人 韓永剛
宮一鳴:“直接談威脅情報是空中樓閣,在某種意義上我認為威脅情報有點像金字塔的塔尖,而基礎數據時走向塔尖的基礎。在某種意義上有點像是造磚頭,我給你造各種各樣的磚頭、各種尺寸的磚頭,有磚頭才能蓋樓。而且,任何數據都是有價值的,要懂得如何看到數據的價值,并發揮其價值。”
韓永剛表示:“數據是看見安全的基礎,所有網絡行為都會形成痕跡,有痕跡就有數據,安全大數據是形成看見能力的基礎;有了數據還要有數據連接能力、數據分析和挖掘能力,結合安全經驗,才能形成看見能力。威脅情報來自于數據,最后還要回到數據中去,威脅情報最終回到客戶側才能發揮它的作用。威脅情報要結合本地各層面數據的采集、還原、分析能力,才能有效發現威脅,而自動化響應則是應對威脅的又一關鍵點。”此外,韓永剛認為,對安全事件,以前能做到的是發現和響應,現在有了威脅情報,還能夠做到取證、拓展、溯源。
IBM中國區安全技術高級工程師劉璐瑩
據劉璐瑩介紹,IBM做安全應該可以追溯到上世紀80年代,從主機安全開始,IBM進入了安全領域。從那個時候開始,一步一步走到今天。經過不斷的整合和收購,現在IBM已經形成了一整套安全體系架構,在整個安全市場里,目前IBM排名第三。所以可以說IBM是一家安全公司,而且還是一家很大的安全公司。
她認為,情報最重要的有三點:第一,要有,要查得到,數據相對來說比較完整。第二,要能夠觸發到我,因為很大的數據庫可能放在某個地方,可能沒有辦法跟我實際的情況聯系起來。第三個是要能夠自動化地利用起來這些庫,而不只是查詢。
谷安天下安全值產品總監 趙毅
谷安天下關注威脅情報這個領域已經有兩年的時間,趙毅表示通過調研發現,國內國外有非常優秀的數據資源,威脅情報的本質就是數據。但數據的緯度是不同的,因此如何把數據用好,是我們想要解決的問題。數據分析和處理或者是機器學習,不是谷安的長項,但我們可以基于威脅情報生成一些信息,并形成產品。另外,谷安天下是做風險管理出身的,所以用威脅情報來做風險管理是強項。
微步在線創始人兼CEO 薛鋒
微步在線創始人兼CEO 薛鋒表示:“大家至今對威脅情報的理解還有很多不同,但這種百家爭鳴、百花齊放的環境是非常好的。我們做威脅情報最核心的是數據和對數據的分析,分析之后提煉出來有價值的東西。”
他認為:“威脅情報還是離不開數據的。“數據來源多種多樣,數據的變化也是瞬息萬變。如何對這樣數據進行關聯分析,提煉有價值的內容非常的重要。所以威脅情報最重要的是分析師,尤其是對甲方,如果沒有很好的分析師的話,其實買再多的設備、雇再多的人也沒有什么用。威脅情報公司應該是嚴謹的,一百次的威脅分析成功了九十九次不叫成功,只要誤判一次就是失敗。
白帽匯創始人兼CEO 趙武
白帽匯于2015年8月成立,團隊主要來自于360和華為,有著深刻的,專注于做安全大數據和企業威脅情報的基因。談到威脅情報,白帽匯創始人兼CEO 趙武是這樣理解的:“我們認為的威脅情報,如果大家都在說這個東西,那一定不是威脅情報,因為你知道,別人也知道。所以我認為眾人皆知的不能叫威脅情報,因為信息安全最核心的本質就是信息不對稱。我們跟蹤的一定是你不知道的,或者你之前沒聽說過的,我才把它叫威脅情報。”
目前的主要安全威脅有:企業未知的隱形資產、Nday攻擊(黑客買白帽賬號批量攻擊)、外部數據威脅。面對這些威脅,為什么企業跟安全公司對抗的時候,落后的一定是安全公司,而不是黑客。趙武認為因為我們跟蹤黑客的情報的時候會發現,安全公司至今很難進行友好的聯動,但是黑產至今互相的聯動非常之緊密,分工合作得非常好。那我們為什么老去防護,而不能去攻擊?我們能不能做一個攻防的轉換,把戰火燒到敵人的陣營?
他表示,我們需要對黑產進行情報監控,打擊黑產,對黑客進行畫像,最后實現黑產反制。并強調:“安全的環境一定不是等來的,而是通過打擊黑色產業得到的。把攻擊者進行抓獲也好,進行懲罰也好,反正安全的環境等是等不到的。”
CS3威脅情報解決方案峰會上,各家廠商都展示了哪些產品和解決方案?
360威脅情報中心
360威脅情報基礎信息查詢平臺TI.360.com具有關聯分析和海量數據兩大特色。安全研究人員在360威脅情報基礎信息查詢平臺提交域名、IP、樣本信息等進行搜索,將得到360威脅情報中心所提供的云端數據查詢結果。這些信息結合對應的分析,對幫助研究人員定位安全威脅可以發揮關鍵作用。
目前360威脅情報基礎信息查詢平臺擁有全球獨有的樣本庫,總樣本超過95億;互聯網域名信息庫則有高達50億條DNS解析記錄;此外,還有眾多第三方數據源。基于海量數據,平臺幫助用戶進行分析,可以拓展關聯信息,挖掘出在企業或組織內部分析中無法發現的更多線索。
共用威脅情報的協作平臺:IBM X-Force Exchange
這是一個使用,分享,并依情報來行動的新平臺,以IBM X-Force的積累和規模為后盾,擁有豐富的威脅情報資料。劉璐瑩表示,基于十幾年的積累,IBM目前記錄的完全獨立的、真實的漏洞,超過9萬,是全球最大的漏洞庫之一。目前惡意IP數量86萬,URL和域名分析數據庫的量在250億以上。基于這些數據能夠監控到全球高發的、嚴重影響的安全事件。這些數據通過IBM X-Force Exchange這個開放的、可操作的、社交的情報平臺,把X-Force多年的積累開放給公眾。目前這個平臺支持一些業界通用的威脅情報交互格式。你可以通過標準格式和自己現有的產品方案、學習工具來進行集成。同時,它還是一個社交平臺,可以進行思路上的分享,多向溝通。
威脅情報的新應用:安全值
谷安天下現場發布威脅情報應用產品——安全值,僅用5分鐘即可量化企業安全風險。谷安天下將威脅情報體現在安全值上,就是一種整合資源的能力,通過專業的視角,發現未知風險,對風險進行量化。安全值一共整合了100多個威脅情報數據資源,利用大數據挖掘分析方法,對實時情報數據進行風險分析,量化計算風險,提升用戶的風險管理能力。
通過安全值可以看自己、看行業,也可以看差距。谷安天下希望通過安全值這樣的產品,能給大家帶來專業的數據服務,并且利用其整合資源的能力,幫助用把多個資源進行整合起來,發現未知風險,對風險進行量化,并且跟行業還可以做差距的分析。這就是谷安全天下把風險管理通過數據這個橋梁帶給大家的思路。
微步在線提供多種在線服務
微步在線的定位是做一個專注于數據的公司,致力于整合數據、機器與人的力量,提供具有可操作性的威脅情報,用來阻截攻擊、發現威脅、溯源追蹤和消除風險。目前微步在線提供的服務第一個是IOC,第二個是威脅分析平臺,第三個是高級入侵事件檢測,這也是一項免費的服務。微步在線的主要產品VB(VirusBook.cn),是中國首個綜合性的威脅分析平臺, 免費為全球安全人員提供了一個便利的一站式分析平臺。另一款產品TIC(威脅情報中心)的威脅應用解決方案,使客戶在面對關鍵威脅時可以快速發現并采取有效的行動。
