采访启明星辰积极防御实验室(ADLab)APS产品研发总监获悉,目前针对威胁情报已经有组织者推进相关产业联盟成立。维系情报作为一个行业热门词汇已经在安全行业出现多年,很多厂商在很久之前提出的概念的就是威胁情报的雏形。从常规的理解,漏洞都可以认为是情报、最基础的漏洞,现在如今所提的威胁情报多用于设备的联动。
从广义上讲有利于阻止个人攻击的信息的集合都可以称之为威胁情报。从已经是不是被攻击,谁正在攻击,将要进行的攻击几个方面收集到的相关信息都可以官方的定义为威胁情报。攻击相关联的人、攻击取得到得成果乃至特征都可以归类于威胁情报。
“落地的威胁情报”
各大厂商对威胁情报的认知和研究机构有一定差异。脆弱性的警报,机制环境的漏洞,基础软件漏洞都是早期的威胁情报。举例来讲,英国安全大会演讲人题目virusworks重大漏洞,对于使用相关软件的行业来说就是情报。Nday漏洞等可以重复利用的漏洞也能够形成情报的基础组成部分。
从特殊事件来看,0DAY必定针对更重要的目标,有更高的代价,和更强的业务针对性。启明星辰在此方面一直持续进行漏洞挖掘等相关工作。也在将漏洞通报及时传递给客户形成安全企业内部的威胁情报。FireyeAPT报告中提到针对不同手段要有针对性的进行防御,这一类的情报并不是很多,需要慢慢收集跟踪。由此看来威胁情报本身的应用往往留存于安全企业体系内部。现在提到威胁情报,主要是信域库问题。同时相关的还有IP分类,可疑IP,以及比较典型的恶意代码泄露。
在安全企业内部循环的情报
时下的网络数据被动检测依赖签名,对安全从业人员来说是可以依赖的规则,同时安全企业也依赖情报收集的结果。威胁情报厂商在做的事情使得情报用于内部攻防,进而提升自身产品。威胁情报的自我循环是当前安全厂商普遍做法,而反观专门做威胁情报的公司则是是对外输出情报的。其中包括提交样本分析结果,大量的样本提交给大客户和会员并形成样本集。
启明星辰通过大量部署蜜罐,URL威胁情报(比如钓鱼挂马)恶意域名、恶意代码、单一性钓鱼邮件都可以形成事件情报,攻击溯源也会涉及到IP,攻击路径描绘出攻击者的轨迹,从中挖掘的共通性也是威胁情报所必须依赖的素材。
时下需要明确的是所有的相关服务是基于何种情报,大体可以分成以下几种:1情报订阅(免费或者收费模式)2.事件报告(报告一个安全事件,用于防护检测)3,集成到防火墙,IP报警或者威胁情报平台,形成可视化产品。
内部情报的共享会成为未来必然趋势,启明星辰内部研究信息可能会反映到防火墙产品中,而现有的模式是产品自身在固定时间更新策略,其中包括IDS特征库更新,防火墙更新。在未来截获的攻击事件(比如IP)可能通过云的途径共享情报。
可以明确的是威胁情报在取代大数据形成新的生态,初创企业会找到一个技术和商业需求的焦点让威胁情报实现落地形成切实有效的解决方案。