威胁情报在网络安全行业将变得越来越重要,“不知攻,焉知防”,安全最重要的不是事后救火,而是在事前将可能发生的事故化解,“威胁情报”就是帮我们做到防患于未然。
短期内,我们会通过传统的漏洞、威胁通告方式提供给企业政府单位,从长远来看会形成一个新的细分领域市场。针对单个客户形成有效的针对性情报,手段包括:监测整个互联网、DPI/DFI分析技术,还是SIEM技术、蜜网技术、沙箱技术。这个市场预计会达到数十亿的规模。
威胁情报在未来的安全行业一定会得到大规模的应用,原因有两点:
(1) 用户需求角度看,由于CyberSpace的快速发展,安全越来越成为限制其发展的瓶颈。而且安全威胁也从低级别的“菜鸟黑客”逐渐向“组织黑客”、“国家黑客”进化。为应对不同级别的安全威胁,必然要使用不同的安全技术,所以安全防御思路会逐渐从“漏洞为中心”进化为“情报为中心”;
(2) 从厂商能力角度看,云计算、大数据技术已经逐渐成熟,在安全上也产生了很多成功案例,如:Splunk、Palantir、FireEye等公司,都是通过大数据技术提供威胁情报服务。
互联网企业与传统安全行业对于威胁情报的差异化理解
互联网企业相对于传统安全行业对于威胁情报的优势在于大数据。互联网企业利于云计算获得了大规模的云安全防护,以及云监测能力,积累了海量的数据,能根据历史上积累的数据建立模型,能预测出攻击来源、攻击强度,甚至能根据黑客的行为预测攻击的目标等,从而做好安全防护。
传统的安全能力主要在网络边界、内网,互联网企业能跳出攻防的第一现场从而获得更广袤的视野。毕竟千万个攻击事件的背后会有千丝万缕的联系,从根源角度更能有效而且是主动的分析与防御。
两者认识的差异来自于自身产品特性:
(1) 互联网企业提供通用型产品,以互联网(如Web、App等)为媒介,统一接入大规模用户,从而保有海量基础数据,为威胁情报分析提供素材;
(2) 传统安全企业提供专用型产品,将互联网用户按照不同行业、单位划分为多个私有化区域,虽然能够采集到大量安全日志,然而数据并不能共享。
所以,两方阵营都以己方特点认识“威胁情报”领域:
(1) 互联网企业认为:我已经拿到了海量的用户安全性数据(如终端安全日志等),已经可以独立开展威胁情报分析;
(2) 传统安全企业认为:凡是部署我方私有化安全产品的用户都是安全敏感用户,他们的安全型数据才具有意义,所以需要建立统一机制(标准、协议等),将各个分散的私有化区域的安全性信息共享并集中分析,才能得出最有效的威胁情报。
典型威胁情报技术应用
关于威胁情报,知道创宇已经研究多年,已经有几十万的黑客攻击IP数据库。依托黑客数据库、网络攻击数据、网络空间测绘数据、漏洞库数据、开源情报数据推出成熟的解决方案。
所谓的成熟方案有几个条件,第一是把目前已有的实现机制加以融合,比如前面说的蜜罐、DPI分析、互联网监控,使不同的数据源和分析对象能够统一起来,这样无论从角度还是数据丰富性来看都大大提高;第二个取决于市场客户的需求成熟度,即商业模式和需求的统一。
目前知道创宇的威胁情报解决方案就是即将发布的“星图”,这是集合我们现有能力开发出的提供威胁情报服务的产品,主要提供网络空间中资产管理、漏洞发现、预警、攻击行为等服务,这些服务对应我们的相关产品如ZoomEye、创宇盾等。
美国早在2010年便出现的MSS(安全托管服务)的产业形态,也是我国威胁情报行业发展的十分具备参考价值的一种商业、技术模式。
实现联动,威胁情报的价值最大化
威胁情报的价值在于能够第一时间告知网络安全防御者,并且通过建立统一的防御平台,实现防御最大化。比如我们公司的加速乐和创宇盾这样的产品,保护了中国一百多万的网站,不论哪个网站发现攻击,全平台都会将此IP加入黑名单,实现协同防御。
从宏观角度看,威胁情报的联动需要三个方面:管道,业务平台,数据源。所谓管道就是能把用户单位、监管单位、技术支撑单位联系起来的通道,使得情报数据能有效及时的流转和反馈;所谓业务平台主要是需要政府的调控和指挥,通过行政管理能把无数次纷乱的网络空间行为分析和预测、防御、汇总;所谓数据源就包括所有厂商的能力,无论是互联网和传统企业,他们现有的技术机制均能产生数据源。
威胁情报的最大价值在于:预测未知威胁。
传统安全企业提供的“三大件”(防火墙、IDS、IPS)是以漏洞为中心,对已知威胁的防护;威胁情报技术是以情报为中心,对未知威胁的预测及防护。
要想达成预测的准确性,基础安全性数据的质和量必须上去,这就要求不同情报源的数据需要进行高效汇总、联动。而联动的前提便是建立不同情报源间的共享标准和协议,这方面需要政府相关部门(TC260)来发力推动。
举个联动的例子,创宇盾防御了几十万的网站,有一种威胁情报的联动模式是协同防御,具体表现是,在创宇盾防御边界内,当一个网站被攻击,我们的云端系统确认攻击行为并屏蔽这个攻击源后,如果这个攻击转向其他网站时,其他网站可以立即屏蔽这个攻击源。这个协同防御模式效果是非常明显的,一个点受打击立即整个面进行联动防御。
威胁情报未来面临的瓶颈问题
威胁情报各自都有各自的来源,希望能建立一个共享平台,做到成员间信息共享,比如,恶意的攻击者IP,一些新型的攻击手段、防范等,能在网络安全防御者间共享,更多地保护网络安全。
在相当长一段时间内,所谓的数据源包含了大量的数据噪音,需要鉴别和提取相对底层的信息,这些信息从攻防角度看包括5元组,即来源、目标、事件、地点、方式。而企业政府的决策者需要更高层次的情报判断,比如阅兵期间我们的威胁有什么变化、我们新上的一组业务单位会有什么风险并是否可抑制。威胁情报需要忠实的作为信息元给决策提供科学可靠支撑。目前从技术分析到业务机制还没完善到这个程度。
我国目前还没有成熟的威胁情报利用案例(这里我们指的是利用威胁情报产品,来进行威胁预测的案例)。考察美国威胁情报产业,主要分为商用情报和军用情报。商用情报这块由于商业机密等问题,还很难实现威胁情报源数据的最大化共享、交换、分析。
从攻击者角度看应对策略
(1)快,网络安全几乎每段时间都会爆出0day,攻击者可以利用防护者打上补丁之前的时间差来进行攻击;
(2)新,利用新的攻击手法有可能攻击成功;
(3)净,利用没有发起过攻击的“干净”IP,有可能会突破防线;(4)久,就是我们常说的APT攻击,持续地关注目标,持久关注,找准机会,就可能成功。
从攻击者角度来看,会催生高级的攻击手段,比如APT攻击从攻击源和时间分裂成数个低速、单一的手段,隐蔽混淆在浩瀚的数据流中,干扰和破坏安全捕捉系统的触发。从防御角度来看单一的行为数据不可靠,需要从自身的业务分析入手,整理出"情境感知"的多个触发机制,比如非财务人员账号访问了财物数据、管理后台有超出预期的动作等。
威胁情报的技术核心思想是从海量碎片信息中挖掘异常数据,提炼、关联形成会话,再提炼、归并安全事件,再提炼、归并形成情报的过程。
即:Big Data 到 Session 到 Event 到 Intelligence,这也正是SIM、SEM等系统的工作流程。
应对威胁情报技术,就必须要将攻击行为打散到不同的攻击流当中去,最终在合并成为一条攻击力链(Kill Chain)。如利用僵尸网络进行DDoS攻击,便是将异常流量隐藏于海量正常流量中,很难应用威胁情报技术进行预测防御。