网络安全 频道

威胁情报如何在企业安全市场合纵连横?

  Fortinet岑义涛观点:Q:您如何看待威胁情报对在未来安全行业的应用?

  A:威胁情报其实现在已经被很多企业及厂商在应用了。APT的泛滥带来的现状就是系统被攻击和攻陷已经是常态,在这种新常态下,我们必须要提升检测和应急响应能力,而这个能力就是要由威胁情报来驱动的。我们知道APT的高级和隐蔽性使得可以轻易穿越传统安全防线,因此对高级威胁,我们使用的检测手段也不能只是签名,必须要依靠行为检测进行分析,交付给用户可执行的分析结果,由此可见在持续的攻防较量中这个能力是很重要的。因此在威胁情报在未来安全保护方面肯定要起到越来越重要的作用。

  Q: 互联网企业与传统安全行业对于威胁情报的理解有哪些差异?

  互联网公司确实做了一些比较好的安全产品,所以现在有一种风气,就是认为传统安全企业解决不了的问题互联网安全能解决,事实上,大家只是解决方法的思路不太相同,并无本质的优劣。不论是互联网安全公司还是传统安全公司,都是为客户提供安全服务的。大家擅长的领域各不相同,比如擅长Web攻防的,擅长系统加固的,擅长网络安全的等等。但是想对客户做好服务,必须要有一个对安全的全局认知,否则只是能够帮客户增强一部分的安全能力。毕竟攻易防难,为客户做好安全服务就要帮助客户做好各方面的安全咨询建议。至于威胁情报,其实根据大家所擅长的方向,遵循威胁情报方法论进行专业的研究,就能够出产威胁情报了。难点不在于技术,在于人。

  Q:根据威胁情报未来是否会推出成熟的解决方案?

  A:现在的安全已经是动态安全了,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者。在整个防御过程中,威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环。而这个过程中很关键的一点其实是人而不是产品。或者说威胁情报可能会演化成一个安全服务,因为一旦形成有形态的产品就会把自己固化住,就是静态的,而我们要的是动态的防御能力。刚才说的这个人要能够在系统(或产品)的帮助下同时理解企业业务(应用),基础设施(网络),还有安全防御体系(安全),以及大数据(分析),必须要把网络、应用、安全、分析这四个方面融合到一起,才能做到真正的有价值的威胁情报。

  Q: 威胁情报的应用如何实现联动,威胁情报的价值如何最大化?

  A:威胁情报的应用要能够和业务系统进行联动,从业务角度了解整网安全态势。

  威胁情报的价值在于两点:要能够在攻防对抗中为用户起到指导作用,也能驱动安全防御体系的建设和完善。

  1. 指导作用是指要能够帮助用户“take action”。我们都知道目前企业内部每天都会产生大量的日志和告警,而这些日志和告警却不能有效地帮助用户,必须要经过去重,归集,分析等等步骤,才能转化成能够为安全防御提供指导性建议的“情报”。

  2. 驱动安全建设,通过结合业务场景分析多来源数据,可以了解整个网络内外的安全态势,再结合业务工作流,可以在业务视角发现每个流节点的安全情况,以此为标准进行安全体系建设的完善。

  Q:威胁情报利用方面还有哪些不足和亟待改善的地方?

  A:威胁情报利用方面的不足在于与企业业务结合的不够紧密,关联分析的规则不够细致。但是国内情况是距离威胁情报的路还太远,因为安全基础设施的建设还远未达到能够使用好威胁情报的水平。

  如果脱离了业务只看基础设施,那威胁情报的意义就不大了。另外,越往上层走,需要设计的业务场景越多,牵扯的应用也就越多,关联分析的复杂度越高,这些都是需要高水平且经验丰富的安全专家来与客户一同编写规则,才能进行很好的分析和情报输出。

  Q:从具体案例上讲,攻击者对于威胁情报的应对策略有哪些?

  A:攻防是一场对抗,因此双方都可以采取对自身有利的方式。威胁情报并不是防守方的专用术语。所以防守方和攻击方都可以针对自身的需要来使用或收集威胁情报。

0
相关文章