【IT168 评论】每年的RSA都会为网络安全行业带来新的风向标和新的热门词汇,今年的RSA所提出的威胁情报和大数据安全即风靡整个行业,传统安全市场也受到云计算、大数据技术的影响,行业联动已经成为必然。越来越多的安全厂商开始推动产业联盟的成立,各大互联网巨头在积极开拓市场的同时也将众多传统安全企业收罗旗下。基于感知的安全系统和解决方案层出不穷,安全的感知能力和数据挖掘能力逐渐引起行业重视。本文将就威胁情报采各家安全厂商之言,看威胁情报如何打破传统安全界限,为用户提供“可以看见和感知的安全。”
360企业安全集团总裁吴云坤谈及威胁情报对在未来安全行业的应用时指出:安全行业面临着前所未有的挑战,新的攻击手段层出不穷,定向攻击,未知威胁,使得被攻击目标,尤其是拥有高价值数据资产的企业与组织疲于应对。传统的安全防护手段也捉襟见肘,已经被事实证明无法有效应对高级持续定向攻击。这种情况下,安全行业自身也在进行变革,试图找出一系列更有有效的方法,而威胁情报的应用是这些方法中比较有效且非常关键的一种。威胁情报将特定的威胁进行“画像”,对于相关的各类信息进行基于证据的描述,并且给出对于威胁可采取的对策,以帮助被攻击者及提供防护者进行决策。这其中,对与威胁的相关联上下文信息的描述非常重要,尤其是的我们对于高级威胁可以摸清来龙去脉。且威胁情报的分享与交换,也给了行业客户,政府机构,安全从业的厂商与服务商有可能协作应对高级威胁的机会,形成了一种纽带。进而一步,对于很多应对高级威胁时已经乏力的传统的安全产品来说,新的威胁情报方法结合,形成基于威胁情报感知的能力,也给了这些产品一次自我救赎的机会。
一个成熟的威胁情报平台,应该包括情报的采集,情报的生产,情报的应用与行动,以及情报的分享与交换四个方面。360所成立的威胁情报中心,也是致力于在建立一个完整成熟的威胁情报平台,为企业客户所服务。并且在威胁情报生态环境建立中,起到积极的作用。
互联网企业与传统安全行业对于威胁情报的理解差异
我想对于威胁情报的整体定义,以及在安全防护体系所产生的意义,传统的安全行业与互联网企业应该没有太大的异议。如果说有差异,可能更多的是对于威胁情报的掌握度与侧重点的不同。应该说传统的安全行业,往往专于某一个领域或产品,更擅长对于某个事件,或是某次攻击的分析。而互联网企业由于涉及的服务与客户范围较广,往往能够接触到更全局的信息与数据。如360作为互联网安全企业,安全大数据是360能力的核心,在威胁情报的数据收集阶段,具有天生的优势。这些安全大数据也可以被用来在威胁情报的生产过程中,产生价值更高,针对性更强的高质量威胁情报。
基于威胁情报解决方案
威胁情报是可以形成有效成熟的安全解决方案的,360对于威胁情报的应用,已经产生了实际的方案,产品及服务,并且在众多客户处得到了落地应用,为客户成功抵御了高级定向攻击。威胁情报的解决方案中,可机读威胁情报(MRTI)起到了关键的作用。这种可以被安全防护产品,安全防护系统所自动解读与执行的威胁情报,使得应对高级威胁时的自动相应与快速执行成为可能。更重要的是,如果方案中处于不同防线,不同位置角色上的防御手段,能够协同应用可机读威胁情报,则整体对高级威胁的发现,响应,甚至预测的能力就会大大提升。360目前在企业安全的纵深防御体系中,在多个系统上,都已经或计划将威胁情报有所应用,从而形成可基于威胁情报感知的防护体系(IASC, Intelligence-Aware Security Control)。如360的未知威胁感知系统 天眼,以及下一代防护墙,下一代SOC系统中,可机读威胁情报都将被直接应用。从而协助客户形成以威胁情报与数据为纽带的纵深防护体系。
实现联动,威胁情报的价值如何最大化
威胁情报的联动可以从两个层面来说,一是在比较广义的层面,即在威胁情报的生态环境中,体现在情报的分享与交换上。不同的机构,如政府,威胁情报提供商,安全厂商,安全服务商,第三方组织间,形成威胁情报的有效交换机制,从而使得针对某种攻击的威胁情报,能够快速传递到足够多的防护者手中,形成作用。
二是比较具体的技术层面,就是前面提到的可机读威胁情报的应用,从而在安全解决方案中实现快速,自动化的应用与联动,发挥持续检测与防护体系的最大效能。360在联动方面的应用,已经成功帮助众多企业客户应对如“海莲花”的高级持续攻击,以及大规模DDoS与Web攻击。
威胁情报利用
应该说威胁情报在国内安全市场上的应用事件还较短,整体的威胁情报生态的建立还在初始的阶段。如之前说的一个完整的威胁情报平台,应该包括情报的采集,情报的生产(这其中要包括大量的数据的处理,关联分析,安全攻防方面的工作),情报应用行动,以及情报的交换四个方面。近期威胁情报的议题是比较受关注的,但往往集中在威胁情报如何交换与使用上,而如何高质量的生产威胁情报,在国内则没有太多的威胁情报提供商,或是厂商能够做到。因为生产过程中,持续收集情报,预处理各类数据,结合安全与数据挖掘处理技术产出高质量的可机读IOC,需要威胁情报提供商的综合能力,并不容易。360的威胁情报中心,也是将360的各项核心能力所整合,建立起从国际视野来看,也是能力一流的威胁情报平台。
从具体案例看攻击者对于威胁情报的应对策略
威胁情报对于掌握先机攻击技术的攻击者是个挑战,因为从攻击者的角度,往往他们只要抓到受害者防护体系中的一个短板,就能够成功拿下目标。在这个过程中,比较强的攻击者会利用多种手段,多种隐蔽的攻击途径来实施攻击。而一个高质量的威胁情报,使得我们有机会在找到一个线索的情况下,使得攻击这的这些攻击资源都暴露出来。从而在攻防过程中使得天平向防护一方发生倾斜。
当然这个过程中,攻击者也一定会想方设法进行应对,甚至可以想象,如果攻击者在威胁情报的分享与交换过程中,也得到的威胁情报,他们也能够加以应用,从而改进或隐蔽自己已经暴露的信息。其实安全就是这样一个人与人对抗的过程。