有关安全威胁情报:你所知道的和不知道的

  作为安全行业唯一个以打造和推广安全解决方案为主的系列论坛,由安全牛主办的Cyber Security即CS系列论坛,近日在北京成功举办了第三届。本届CS系列论坛聚焦的话题是安全界近来持续关注的火热话题:威胁情报。

  威胁情报是众所周知的目前最为火爆的安全防护技术,但其落地和应用目前在国内并未全面成熟。本着推荐安全最佳实践的理念,本届CS论坛安全牛定向邀请了在威胁情报的技术、落地及应用方面领先的安全公司及安全专家代表,为我们呈现了诸多精彩纷呈的关于威胁情报的最新解决方案和方法论。

  360:威胁情报来自于数据,又要应用于数据才能发挥其价值

  来自360的安全专家宫一鸣和韩永刚为大家带来了“从基础到实践――威胁情报产生与应用”的分享。宫一鸣首先直言指出:直谈威胁情报是空中楼阁,技术数据是走向塔尖“基础”。任何数据都是有价值的,关键在于如何看到价值,如何发挥价值。

  360对于威胁情报的观点是:要完成威胁感知的拼图,需要经过发现、处置、取证、回溯、研判、拓展几个步骤。而在大数据时代,一片“叶子”上的威胁感知,必须要借助针对整个“森林”的威胁研究。而构建一个企业系统的安全大数据平台,对于采集与使用详细的第一手安全数据而言是十分重要的。不仅如此,利用大数据技术,不但能够对安全威胁做到关注发现与阻断还能够做到传统安全防御方法所无法进行的溯源、取证、研判、拓展与分析能力。

有关安全威胁情报:你所知道的和不知道的

  同时,韩永刚强调:拥有数据的同时还要又数据连接能力,以及数据分析和挖掘能力,结合安全经验,才能形成看得见的能力。威胁情报要结合本地的个层面数据的采集分析和挖掘,而自动化的响应则是应对威胁的又一关键点。

  因此,构建企业系统的威胁情报中心,是形成基于威胁情报感知的有效防护手段。

  IBM 的威胁情报共享和协同防御

  来自IBM安全系统部的刘璐莹则为我们介绍了IBM X-Force这一对于全球威胁形势提供专家级分析和数据共享平台的研究与开发。据刘璐莹介绍,IBM X-Force基于超过20000台的托管设备,每天管理133个国家/地区超过150亿个事件,拥有超过2.7亿个端点报告恶意软件;基于以上分析范围,IBM X- Force在深度方面则可以做到分析超过250亿个网页和图像、每天超过1200万垃圾邮件网络钓鱼攻击、以及超过86万个恶意IP地址。

有关安全威胁情报:你所知道的和不知道的

  而通过X- Force威胁平台与安全产品的结合,可以实现实时的IP、漏洞、URL分析,并可根据威胁情报设定企业安全阈值,并获取最新安全信息的持续更新。

  谷安天下:安全值――五分钟量化企业信息安全风险

  “安全值”是谷安天下在当天的论坛上为大家所带来了全新的威胁情报应用产品。来自谷安天下的赵毅为与会嘉宾详细介绍了安全值的由来与价值。

  据赵毅介绍:谷安天下基于用数据威胁情报做风险管理的思路,建立起一个风险评估模型,发挥谷安天下在安全行业咨询顾问的优势,将企业安全数据进行全面整合,并可以与SIM、SO进行联动,从风险评估管理这个角度来做解决方案,这便是安全值提出的思路。

  据悉,谷安天下发挥其咨询公司的优势,通过与业界进行广泛的数据合作,形成了安全值的基础。历经两年的时间,谷安天下整合了100多种全球顶尖的数据资源,一共100多种,然后通过安全值来进行对这些实时的数据源进行查询和分析。

有关安全威胁情报:你所知道的和不知道的

  安全值为企业所带来的价值就在于:在实时数据的基础上,用安全值的平台做分析,最后得到量化的风险评估。据了解,谷安天下将域名、主机、IP作为企业资产,通过100多个数据源,从业务、隐私、应用、主机、网络和环境六个纬度识别安全风险,通过建立比较完善的算法,通过打分的形式最终量化风险。从而帮助企业将多个资源进行整合起来,发现未知风险,对风险进行量化,并且还可以与同行业进行差距分析。实现通过安全值看自己、看行业、看差距的三大价值。

  微步在线:攻陷指标≠威胁情报

  微步在线是国内第一家专门做威胁情报的公司,创始人兼CEO 薛锋也在当天的论坛上一针见血地指出:IOC不等于威胁情报。企业通过NGFW、威胁情报平台等安全防御产品,可以实现一些安全威胁的报警、试点,但在数量方面的意义其实不大,IOC虽然跟过去的传统方案配合,能够提高检测率,但是它毕竟不能解决所有的问题。

有关安全威胁情报:你所知道的和不知道的

  薛峰认为,威胁情报最核心是数据、以及对数据的分析,分析之后才能提炼出有价值的东西。除此之外,数据的时效性及一个靠谱的威胁情报分析师也是十分重要的。微步在线所做的就是提供IOC  、威胁分析平台以及高级入侵事件的检测。

  在此基础上,微步在线还提出了“威胁情报+”的概念。薛峰认为,威胁情报是基于数据进行分析,它们之间的关系其实是互相促进、结合的关系。威胁情报+的目的就在于让企业的的扫描器、防火墙在对接了某种类型的威胁情报之后,会变得更好、更智能。

  白帽汇:颠覆你的安全观

  来自白帽汇的创始人兼CEO 赵武则颠覆了对威胁情报的认知,他指出:众人皆知的不能叫威胁情报,因为信息安全最核心的本质就是信息不对称。

  作为专注于做安全大数据和企业威胁情报的创业公司,白帽汇也总结了企业当前所面临的几类威胁:

  一是企业不知道的隐形资产,包括已经弃用或者新上线的资产会导致70%的攻击源同时赵武指出:一个可被攻击的对象不止是技术上、物理上的资产,还有人员的资产。

  二是Nday的问题,许多未被公开的情报被黑客获取后拿去做全网的扫描,这对企业而言将是很大的威胁来源。

  三是外部数据的威胁,比如撞库攻击、Github泄露、钓鱼、后门等等。对于这类攻击,即便企业从内部做再多的数据监控都无法做到监控这一部分。

  由此情况,赵武提出了将战火烧到敌人的阵营的关于思路:安全公司至今很难进行友好的联动,但是黑产至今互相的联动非常之紧密,分工合作得非常好。我们为什么老去防护,而不能去攻击?我们能不能做一个攻防的转换?

有关安全威胁情报:你所知道的和不知道的

  而要将战火烧到敌人的阵营,赵武也给出了四个方面的思路:

  第一是针对黑产的情报监控。比如堆数据泄露、有哪些钓鱼网站针对你企业进行钓鱼攻击进行监控。二是黑产打击,比如对恶意源下线、安全软件拦截。在此基础上,还衍生两个方面的思路,一个是黑客画像,即溯源。最后是黑产反制。赵武强调:安全的环境一定不是等来的,而是通过打击黑色产业得到的。

  结语:

  各路大咖对于威胁情报的分享为我们带来了一场安全盛宴。一个新兴的安全技术的价值不在于其究竟引起了多大的关注,被讨论的究竟有多火热,而在于其能否真正实现落地,真正为企业安全防御带来价值。从这一点上来讲,本届CS系列论坛的举办,无疑为安全威胁情报的落地推进了有力的一步。

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

发表评论