网络安全 频道

威胁情报如何在企业安全市场合纵连横?

  Q. 您如何看待威胁情报对在未来安全行业的应用?

  A:威胁情报是网络安全空间战的第一要素,随着一些新型攻击、威胁的不断涌现,企业和组织在做安全建设时,越发需要全面、及时的威胁情报作支撑,这样才能形成较为完善的防御体系。而威胁情报之所以能够快速发展主要是因为客户没有办法进行快速有效的情报信息提取,使得在面临威胁时无法及时采取有效的手段进行防御。所以,威胁情报在未来安全行业中会起到“宪法“一样的重要作用,指导用户进行安全防御体系的构建。一直以来,深信服都致力于让用户看到、看懂威胁,并能通过简单的运维来解决威胁。因此深信服在下一代防火墙上推出了威胁情报预警与处置功能,将威胁情报与客户网络安全防御相结合,不仅能用简单易懂的描述传递威胁情报,还能通过简单的运维操作进行及时防范,更轻松应对网络威胁。

  Q: 互联网企业与传统安全行业对于威胁情报的理解有哪些差异?

  A:互联网企业的威胁情报主要依托于互联网,通过沟通监测平台监测互联网流量的手段获取用户的网络/网站/系统的威胁情报;

  传统安全行业的威胁情报的构建,主要依托于用户的安全设备,通过监测、防御、数据挖掘等手段,将过去无用的、滞后的攻击情报进行分析,给用户更准确、更及时、适用性更广的威胁情报。

  Q. 根据威胁情报未来是否会推出成熟的解决方案?

  A:对威胁情报进行有效地利用可以说是网络安全发展的一大趋势,很多厂商也都在着手解决这个问题,甚至有的厂商已经有了较为成熟的解决方案。

  深信服已针对威胁情报在下一代防火墙产品上推出了一系列的功能,并在云端构建了监测平台。比如深信服的威胁情报预警平台,可以在第一时间给用户发布重要或者通用的漏洞威胁信息并提供解决方案,同时还能够依托于现网设备快速进行应急响应。云端平台的构建也为用户提供了更加优质的在线安全服务,通过为用户提供顶层到端的完整解决方案,实现准确获取情报、及时确认情报、快速进行响应的安全防护效果,让用户更加简单、轻松地应对威胁。

  Q:威胁情报的应用如何实现联动,威胁情报的价值如何最大化?

  A:目前来看,很多威胁情报还只是在云端或者服务器端进行应用,但这对于帮助用户应对安全漏洞是远远不够的,威胁情报主要应用于快速发现问题,而只对用户提供进行快速响应的依据,却没有相应的解决方法,这样并不能及时解决问题。未来的威胁情报应该更加注重在用户端的落地,并且在很长一段时间内还是需要依托于用户端的设备部署。深信服的威胁情报预警平台与下一代防火墙设备之间的协作,正是将威胁情报在“云“与”端“结合的一种体现,通过快速发现情报、深度的安全监测与现有防御体系进行联动,实现快速发现、及时响应、联动防御的效果。这样才能将威胁情报的价值最大化。

  Q: 威胁情报利用方面还有哪些不足和亟待改善的地方?

  A:目前威胁情报的利用还存在很多的不足,主要有几个方面:

  无法与防御体系进行联动:用户关注的这些威胁情报与现有防御体系是割裂的,没有办法利用现有的技术手段进行快速响应;

  依托于人无法实现自动化:目前威胁情报的供应商,主要以平台的方式进行威胁监测,但情报准确性、及时性的问题还是依托于人进行分析。虽然可以给小部分高端客户进行准确的预警,但大规模用户使用后其准确性、及时性会受到影响;

  除此之外,威胁情报的收集浪费太多资源,比如互联网资源、客户服务器资源、带宽资源等;同时在互联网上的威胁情报收集可能会影响用户的隐私安全,如果安全保障体系没有做好,极有可能造成大规模的数据泄露。

  深信服也正是意识到了这上面的问题,进而在我们的下一代防火墙上推出一系列针对威胁情报的功能,将云端威胁情报与客户端防御体系做出了联动结合,并可以为每一个接入互联网的NGAF设备自动推送(获得用户授权前提下)威胁情报预警与相应防护策略,进而帮助用户及时有效地应对安全事件。

  Q:从具体案例上讲,攻击者对于威胁情报的应对策略有哪些?

  A:攻击者对于威胁情报的应对策略主要有以下几点:

  (1)制造更多的威胁情报转移注意力;

  (2)声东击西误导客户的关注点;

  (3)有组织的攻击者,还会采取手段获取威胁情报平台的有效情报,进而做出针对性策略。

0
相关文章