【IT168 评论】每年的RSA都会为网络安全行业带来新的风向标和新的热门词汇,今年的RSA所提出的威胁情报和大数据安全即风靡整个行业,传统安全市场也受到云计算、大数据技术的影响,行业联动已经成为必然。越来越多的安全厂商开始推动产业联盟的成立,各大互联网巨头在积极开拓市场的同时也将众多传统安全企业收罗旗下。基于感知的安全系统和解决方案层出不穷,安全的感知能力和数据挖掘能力逐渐引起行业重视。本文将就威胁情报采各家安全厂商之言,看威胁情报如何打破传统安全界限,为用户提供“可以看见和感知的安全。”
360企业安全集团总裁吴云坤谈及威胁情报对在未来安全行业的应用时指出:安全行业面临着前所未有的挑战,新的攻击手段层出不穷,定向攻击,未知威胁,使得被攻击目标,尤其是拥有高价值数据资产的企业与组织疲于应对。传统的安全防护手段也捉襟见肘,已经被事实证明无法有效应对高级持续定向攻击。这种情况下,安全行业自身也在进行变革,试图找出一系列更有有效的方法,而威胁情报的应用是这些方法中比较有效且非常关键的一种。威胁情报将特定的威胁进行“画像”,对于相关的各类信息进行基于证据的描述,并且给出对于威胁可采取的对策,以帮助被攻击者及提供防护者进行决策。这其中,对与威胁的相关联上下文信息的描述非常重要,尤其是的我们对于高级威胁可以摸清来龙去脉。且威胁情报的分享与交换,也给了行业客户,政府机构,安全从业的厂商与服务商有可能协作应对高级威胁的机会,形成了一种纽带。进而一步,对于很多应对高级威胁时已经乏力的传统的安全产品来说,新的威胁情报方法结合,形成基于威胁情报感知的能力,也给了这些产品一次自我救赎的机会。
一个成熟的威胁情报平台,应该包括情报的采集,情报的生产,情报的应用与行动,以及情报的分享与交换四个方面。360所成立的威胁情报中心,也是致力于在建立一个完整成熟的威胁情报平台,为企业客户所服务。并且在威胁情报生态环境建立中,起到积极的作用。
互联网企业与传统安全行业对于威胁情报的理解差异
我想对于威胁情报的整体定义,以及在安全防护体系所产生的意义,传统的安全行业与互联网企业应该没有太大的异议。如果说有差异,可能更多的是对于威胁情报的掌握度与侧重点的不同。应该说传统的安全行业,往往专于某一个领域或产品,更擅长对于某个事件,或是某次攻击的分析。而互联网企业由于涉及的服务与客户范围较广,往往能够接触到更全局的信息与数据。如360作为互联网安全企业,安全大数据是360能力的核心,在威胁情报的数据收集阶段,具有天生的优势。这些安全大数据也可以被用来在威胁情报的生产过程中,产生价值更高,针对性更强的高质量威胁情报。
基于威胁情报解决方案
威胁情报是可以形成有效成熟的安全解决方案的,360对于威胁情报的应用,已经产生了实际的方案,产品及服务,并且在众多客户处得到了落地应用,为客户成功抵御了高级定向攻击。威胁情报的解决方案中,可机读威胁情报(MRTI)起到了关键的作用。这种可以被安全防护产品,安全防护系统所自动解读与执行的威胁情报,使得应对高级威胁时的自动相应与快速执行成为可能。更重要的是,如果方案中处于不同防线,不同位置角色上的防御手段,能够协同应用可机读威胁情报,则整体对高级威胁的发现,响应,甚至预测的能力就会大大提升。360目前在企业安全的纵深防御体系中,在多个系统上,都已经或计划将威胁情报有所应用,从而形成可基于威胁情报感知的防护体系(IASC, Intelligence-Aware Security Control)。如360的未知威胁感知系统 天眼,以及下一代防护墙,下一代SOC系统中,可机读威胁情报都将被直接应用。从而协助客户形成以威胁情报与数据为纽带的纵深防护体系。
实现联动,威胁情报的价值如何最大化
威胁情报的联动可以从两个层面来说,一是在比较广义的层面,即在威胁情报的生态环境中,体现在情报的分享与交换上。不同的机构,如政府,威胁情报提供商,安全厂商,安全服务商,第三方组织间,形成威胁情报的有效交换机制,从而使得针对某种攻击的威胁情报,能够快速传递到足够多的防护者手中,形成作用。
二是比较具体的技术层面,就是前面提到的可机读威胁情报的应用,从而在安全解决方案中实现快速,自动化的应用与联动,发挥持续检测与防护体系的最大效能。360在联动方面的应用,已经成功帮助众多企业客户应对如“海莲花”的高级持续攻击,以及大规模DDoS与Web攻击。
威胁情报利用
应该说威胁情报在国内安全市场上的应用事件还较短,整体的威胁情报生态的建立还在初始的阶段。如之前说的一个完整的威胁情报平台,应该包括情报的采集,情报的生产(这其中要包括大量的数据的处理,关联分析,安全攻防方面的工作),情报应用行动,以及情报的交换四个方面。近期威胁情报的议题是比较受关注的,但往往集中在威胁情报如何交换与使用上,而如何高质量的生产威胁情报,在国内则没有太多的威胁情报提供商,或是厂商能够做到。因为生产过程中,持续收集情报,预处理各类数据,结合安全与数据挖掘处理技术产出高质量的可机读IOC,需要威胁情报提供商的综合能力,并不容易。360的威胁情报中心,也是将360的各项核心能力所整合,建立起从国际视野来看,也是能力一流的威胁情报平台。
从具体案例看攻击者对于威胁情报的应对策略
威胁情报对于掌握先机攻击技术的攻击者是个挑战,因为从攻击者的角度,往往他们只要抓到受害者防护体系中的一个短板,就能够成功拿下目标。在这个过程中,比较强的攻击者会利用多种手段,多种隐蔽的攻击途径来实施攻击。而一个高质量的威胁情报,使得我们有机会在找到一个线索的情况下,使得攻击这的这些攻击资源都暴露出来。从而在攻防过程中使得天平向防护一方发生倾斜。
当然这个过程中,攻击者也一定会想方设法进行应对,甚至可以想象,如果攻击者在威胁情报的分享与交换过程中,也得到的威胁情报,他们也能够加以应用,从而改进或隐蔽自己已经暴露的信息。其实安全就是这样一个人与人对抗的过程。
Q. 您如何看待威胁情报对在未来安全行业的应用?
A:威胁情报是网络安全空间战的第一要素,随着一些新型攻击、威胁的不断涌现,企业和组织在做安全建设时,越发需要全面、及时的威胁情报作支撑,这样才能形成较为完善的防御体系。而威胁情报之所以能够快速发展主要是因为客户没有办法进行快速有效的情报信息提取,使得在面临威胁时无法及时采取有效的手段进行防御。所以,威胁情报在未来安全行业中会起到“宪法“一样的重要作用,指导用户进行安全防御体系的构建。一直以来,深信服都致力于让用户看到、看懂威胁,并能通过简单的运维来解决威胁。因此深信服在下一代防火墙上推出了威胁情报预警与处置功能,将威胁情报与客户网络安全防御相结合,不仅能用简单易懂的描述传递威胁情报,还能通过简单的运维操作进行及时防范,更轻松应对网络威胁。
Q: 互联网企业与传统安全行业对于威胁情报的理解有哪些差异?
A:互联网企业的威胁情报主要依托于互联网,通过沟通监测平台监测互联网流量的手段获取用户的网络/网站/系统的威胁情报;
传统安全行业的威胁情报的构建,主要依托于用户的安全设备,通过监测、防御、数据挖掘等手段,将过去无用的、滞后的攻击情报进行分析,给用户更准确、更及时、适用性更广的威胁情报。
Q. 根据威胁情报未来是否会推出成熟的解决方案?
A:对威胁情报进行有效地利用可以说是网络安全发展的一大趋势,很多厂商也都在着手解决这个问题,甚至有的厂商已经有了较为成熟的解决方案。
深信服已针对威胁情报在下一代防火墙产品上推出了一系列的功能,并在云端构建了监测平台。比如深信服的威胁情报预警平台,可以在第一时间给用户发布重要或者通用的漏洞威胁信息并提供解决方案,同时还能够依托于现网设备快速进行应急响应。云端平台的构建也为用户提供了更加优质的在线安全服务,通过为用户提供顶层到端的完整解决方案,实现准确获取情报、及时确认情报、快速进行响应的安全防护效果,让用户更加简单、轻松地应对威胁。
Q:威胁情报的应用如何实现联动,威胁情报的价值如何最大化?
A:目前来看,很多威胁情报还只是在云端或者服务器端进行应用,但这对于帮助用户应对安全漏洞是远远不够的,威胁情报主要应用于快速发现问题,而只对用户提供进行快速响应的依据,却没有相应的解决方法,这样并不能及时解决问题。未来的威胁情报应该更加注重在用户端的落地,并且在很长一段时间内还是需要依托于用户端的设备部署。深信服的威胁情报预警平台与下一代防火墙设备之间的协作,正是将威胁情报在“云“与”端“结合的一种体现,通过快速发现情报、深度的安全监测与现有防御体系进行联动,实现快速发现、及时响应、联动防御的效果。这样才能将威胁情报的价值最大化。
Q: 威胁情报利用方面还有哪些不足和亟待改善的地方?
A:目前威胁情报的利用还存在很多的不足,主要有几个方面:
无法与防御体系进行联动:用户关注的这些威胁情报与现有防御体系是割裂的,没有办法利用现有的技术手段进行快速响应;
依托于人无法实现自动化:目前威胁情报的供应商,主要以平台的方式进行威胁监测,但情报准确性、及时性的问题还是依托于人进行分析。虽然可以给小部分高端客户进行准确的预警,但大规模用户使用后其准确性、及时性会受到影响;
除此之外,威胁情报的收集浪费太多资源,比如互联网资源、客户服务器资源、带宽资源等;同时在互联网上的威胁情报收集可能会影响用户的隐私安全,如果安全保障体系没有做好,极有可能造成大规模的数据泄露。
深信服也正是意识到了这上面的问题,进而在我们的下一代防火墙上推出一系列针对威胁情报的功能,将云端威胁情报与客户端防御体系做出了联动结合,并可以为每一个接入互联网的NGAF设备自动推送(获得用户授权前提下)威胁情报预警与相应防护策略,进而帮助用户及时有效地应对安全事件。
Q:从具体案例上讲,攻击者对于威胁情报的应对策略有哪些?
A:攻击者对于威胁情报的应对策略主要有以下几点:
(1)制造更多的威胁情报转移注意力;
(2)声东击西误导客户的关注点;
(3)有组织的攻击者,还会采取手段获取威胁情报平台的有效情报,进而做出针对性策略。
网康侯汉书指出:随着以APT为典型代表的新型威胁和攻击不断增长,如今想要保证自己安全,不仅需要武器,还需要情报,对于安全而言,这个情报就是威胁情报。根据Gartner权威解释:威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为,基于证据知识的,包含情境、机制、影响和应对建议的,用语帮助解决威胁或危害进行决策的知识。正所谓:看得见,才安全,这也是威胁情报意义所在。有了威胁情报,某种意义上讲等于有了一双“慧眼”,帮助您看清“黑客”所有动作。现在流行的安全体系已经从过去靠城墙防御变成塔防和立体防御。真正意义上塔防,就做到实时应对到来的威胁,这个时候威胁情报作用显得尤为重要,帮助用户做到知己知彼。
今年的9.3大阅兵,我们看到雷达方队的名称里第一次加上了“预警”二字,这表明雷达兵已经从传统的保障性兵种跃升为战略力量,预警监视系统已成为国家战略威慑的重要力量,是未来战争中夺取战略主动权的重要保障。在军事领域如此,在网络安全领域亦是如此。简单类比下,下一代防火墙的两个核心安全能力,就是“雷达+CT”,其中雷达是指通过全网可视化能力实现预见风险和分析,CT是指深度的应用层检测能力。那么风险预见预知的基础是什么?就是威胁情报。威胁情报可以理解为一条条安全线索的组合,通过它们可以还原已经发生过的攻击,并预测将来可能发生的攻击。基于威胁情报的整合,可以勾画出攻击者的画像,做到知己知彼,百战不殆,从而深度分析并发现真正有价值的攻击事件,防患于未然。
网康的威胁情报生产能力与应用能力
网康不是互联网企业,对互联网企业对安全情报的理解没有发言权。单就安全企业而言,安全防护能力从“个体或单个组织”的防护,转变为“威胁情报驱动”的信息共享和集体协作方式,是应对以未知威胁为代表的下一代网络安全威胁的必由之路。
目前,网康已经推出下一代网络威胁感知系统——“慧眼云”,它是国内首个失陷主机检测系统。慧眼云,通过对网络中行为日志、安全日志、流量日志等进行实时、快速、持续的关联分析,结合网康威胁情报系统,实时检测到网络中存在的问题系统,并通过溯源取证,部署防御措施,从而提高安全防护能力。
基于威胁情报的整合,慧眼云可以勾画出攻击者的画像,预测将来可能发生的攻击。涉及主机类型、连接方向、源地址、目的地址等属性的情境分析,则能够自适应的建模出客户当前业务下的安全威胁模型,从而更有针对性的发现网络中存在的异常。慧眼云还支持几秒内完成几十T的数据搜索,让安全人员可以进行快速的事件定位和回溯。
威胁情报可以跟各类安全产品进行联动,比如下一代防火墙,网康通过云端威胁情报,提高NGFW持续监测和分析能力,为用户打造更好的纵深防御体系。同时,在业内可以实现共享机制,包括政府、服务机构,安全服务提供商,真正让情报转起来,形成一个生态系统。整个威胁情报生态系统联动,能够更好为用户提供更有价值的安全产品,使得威胁情报价值最大化。
威胁情报应用的未来
脱节的安全措施和部门之间的相互孤立现状,使得威胁情报难以在公司当中被有效利用。如果无法将威胁情报转换为可行动性的策略,所有威胁情报都只是一份数据而已,没有任何实际意义。如果,分析人员无法快速在公司决策支持工具中利用这些威胁情报,那么这些“数据”将无法让公司避免成为攻击目标。
首先,目前威胁情报碰到问题主要来源于技术孤岛和缺乏有效合作渠道。例如一个IT公司,事件响应者、运营经理,网络分析师等不同职位的人都有不同视角,他们之间对于分险的理解和管理都不一样,如何打破这类技术壁垒和孤岛,更好利用威胁情报变得尤为重要。否则威胁情报只能局限于各自手中,无法发挥更大作用。
其次,利益相关者经常受到情报分发范围限制。例如,在许多情况下,因为公司需要保护敏感信息,情报共享只是局限于极少数人手中。但是事实上,在事件发生前,我们难以分辨哪些人需要知道某份重要情报,在这样情况之下,威胁情报常常发挥不了作用。
攻击者对于威胁情报的应对策略
威胁情报的基础之一是大数据分析,而大数据可信性的威胁之一是伪造或可以制造的数据,错误的数据往往会导致错误的结论。若数据应用场景明确,就可能有人利用制造数据,营造某种“假象”,诱导分析者得出对其有利的结论。由于虚假信息往往隐藏于大量信息中,使得人们无法鉴别真伪,从而做出错误判断。例如,对于APT攻击,攻击者经常将DDoS攻击作为烟幕弹,持续向目标主机发送大量SYN包,而实际上攻击者可以利用用户在调整防护策略时的疏漏执行挂马等更有针对性的攻击,最终目的是窃取更有价值的用户信息而非打瘫用户主机。这类似踢球里的假动作,攻击者通过假情报的传递,影响防护者的决策,这是未来的挑战。
安全问题随着网络演进、应用繁衍、体验提升、形势变化日益复杂。安全是一个系统工程,包括端管云多层面的复杂架构与众多技术,但其核心能力则是对异常的检测、对威胁的分析以及风险的评估。我们认为,威胁情报对于这些核心能力的构建将起到至关重要的作用,因此,长远来看,它在未来行业中的应用会越来越广泛成熟,会成为安全产业链中的重要环节。但由于威胁情报具有天生的行业性、时效性以及场景适用性,这些是我们在应用中都是必须加以仔细考量周密处理。现在到处在说“数据为王”,对于安全来说,更确切的是“情报为王”。
对于威胁情报的理解,不要说互联网企业与传统安全行业之间存在差异,就是传统安全行业内部,也还存在众多不同意见。而从专业的威胁情报专家角度来看,大家的理解可能又都存在不够完整不够准确的地方。譬如,有人认为IP地址黑名单、恶意网址列表、恶意软件哈希列表、病毒特征码、IPS签名规则等都属于威胁情报范畴,有人类似IOC这样具有结构化描述,符合一定标准,容易分享容易被程序执行的信息,才叫威胁情报。我们建议,区分某类信息是不是威胁情报,首要的一个判断标准是这类信息是否能够支撑安全决策,如果可以,我们不妨进一步将威胁情报分为狭义与广义两种含义加以界定,就不至于在某些语境下口径不一,不易讨论。
另外,对于不同类型的安全系统来说,因为部署位置处理功能不同,需要使用不同层次的威胁情报。大数据安全系统与常规的安全网关,客观上就会存在这种差异性。而从情报的获取与分析能力来看,互联网企业利用云服务,做到了数据的大集中,依靠这些大数据进行分析,提取威胁情报,可能易于快速积累。但很多传统的安全公司通过其长期深入的安服耕耘积累,起步也很高。我们不认为一个企业掌握的情报能覆盖到各方各面,一枝独秀,因此亟需业界有识之士一起推动,形成产业合作联盟,共建高效可持续的威胁情报共享机制,共同提升应对安全威胁的能力。
华为基于威胁情报的解决方案
2014年以前,华为的安全业务以传统的网络安全硬件产品为主,但从去年开始,华为安全已在安全软件化、服务化发力,并同时投入重兵研发APT沙箱与大数据安全产品,已在高级威胁防御产品领域实现竞争力的迅速突破。下一步,我们希望能利有自研的大数据平台,分别以私有云与公有云两种方式提供给客户,一方面形成全网安全态势威胁情报系统,另一方面针对特定企业持续更新威胁情报能力,两者相辅相成,相互促进。国内威胁情报解决方案还处在探索阶段,相信很快就会形成比较成熟的解决方案。
从了解到的情况看来,威胁情报在共享机制与商业模式两个方面存在较大的问题,限制了其利用范围与效率。可以进一步分析背后的问题:
(1)利益相关者经常受到情报分发范围的限制。这其中A. 保护敏感信息的考虑。B. 情报的需求方与供给方不易匹配。
(2)不同部门和利益相关群体当中还缺乏共享情报的操作制度与技术途径。A. 基于部门、群体、系统之间,天然存在情报孤岛。B. 技术与管理需要付出额外代价,在明确回报之前,很少有积极的共享推动。C. 安于现状,缺乏快速行动能力。
(3)利益相关者之间缺乏信任。这一点在全球化、云和“伙伴关系”这一新环境中尤为突出。加之变化速度和分布式团队等因素,创建一个能够连接不同部门不同公司不同行业之间的机制非常困难。
(4)威胁情报数据价值评价与商业模式的困难。
威胁情报在网络安全行业将变得越来越重要,“不知攻,焉知防”,安全最重要的不是事后救火,而是在事前将可能发生的事故化解,“威胁情报”就是帮我们做到防患于未然。
短期内,我们会通过传统的漏洞、威胁通告方式提供给企业政府单位,从长远来看会形成一个新的细分领域市场。针对单个客户形成有效的针对性情报,手段包括:监测整个互联网、DPI/DFI分析技术,还是SIEM技术、蜜网技术、沙箱技术。这个市场预计会达到数十亿的规模。
威胁情报在未来的安全行业一定会得到大规模的应用,原因有两点:
(1) 用户需求角度看,由于CyberSpace的快速发展,安全越来越成为限制其发展的瓶颈。而且安全威胁也从低级别的“菜鸟黑客”逐渐向“组织黑客”、“国家黑客”进化。为应对不同级别的安全威胁,必然要使用不同的安全技术,所以安全防御思路会逐渐从“漏洞为中心”进化为“情报为中心”;
(2) 从厂商能力角度看,云计算、大数据技术已经逐渐成熟,在安全上也产生了很多成功案例,如:Splunk、Palantir、FireEye等公司,都是通过大数据技术提供威胁情报服务。
互联网企业与传统安全行业对于威胁情报的差异化理解
互联网企业相对于传统安全行业对于威胁情报的优势在于大数据。互联网企业利于云计算获得了大规模的云安全防护,以及云监测能力,积累了海量的数据,能根据历史上积累的数据建立模型,能预测出攻击来源、攻击强度,甚至能根据黑客的行为预测攻击的目标等,从而做好安全防护。
传统的安全能力主要在网络边界、内网,互联网企业能跳出攻防的第一现场从而获得更广袤的视野。毕竟千万个攻击事件的背后会有千丝万缕的联系,从根源角度更能有效而且是主动的分析与防御。
两者认识的差异来自于自身产品特性:
(1) 互联网企业提供通用型产品,以互联网(如Web、App等)为媒介,统一接入大规模用户,从而保有海量基础数据,为威胁情报分析提供素材;
(2) 传统安全企业提供专用型产品,将互联网用户按照不同行业、单位划分为多个私有化区域,虽然能够采集到大量安全日志,然而数据并不能共享。
所以,两方阵营都以己方特点认识“威胁情报”领域:
(1) 互联网企业认为:我已经拿到了海量的用户安全性数据(如终端安全日志等),已经可以独立开展威胁情报分析;
(2) 传统安全企业认为:凡是部署我方私有化安全产品的用户都是安全敏感用户,他们的安全型数据才具有意义,所以需要建立统一机制(标准、协议等),将各个分散的私有化区域的安全性信息共享并集中分析,才能得出最有效的威胁情报。
典型威胁情报技术应用
关于威胁情报,知道创宇已经研究多年,已经有几十万的黑客攻击IP数据库。依托黑客数据库、网络攻击数据、网络空间测绘数据、漏洞库数据、开源情报数据推出成熟的解决方案。
所谓的成熟方案有几个条件,第一是把目前已有的实现机制加以融合,比如前面说的蜜罐、DPI分析、互联网监控,使不同的数据源和分析对象能够统一起来,这样无论从角度还是数据丰富性来看都大大提高;第二个取决于市场客户的需求成熟度,即商业模式和需求的统一。
目前知道创宇的威胁情报解决方案就是即将发布的“星图”,这是集合我们现有能力开发出的提供威胁情报服务的产品,主要提供网络空间中资产管理、漏洞发现、预警、攻击行为等服务,这些服务对应我们的相关产品如ZoomEye、创宇盾等。
美国早在2010年便出现的MSS(安全托管服务)的产业形态,也是我国威胁情报行业发展的十分具备参考价值的一种商业、技术模式。
实现联动,威胁情报的价值最大化
威胁情报的价值在于能够第一时间告知网络安全防御者,并且通过建立统一的防御平台,实现防御最大化。比如我们公司的加速乐和创宇盾这样的产品,保护了中国一百多万的网站,不论哪个网站发现攻击,全平台都会将此IP加入黑名单,实现协同防御。
从宏观角度看,威胁情报的联动需要三个方面:管道,业务平台,数据源。所谓管道就是能把用户单位、监管单位、技术支撑单位联系起来的通道,使得情报数据能有效及时的流转和反馈;所谓业务平台主要是需要政府的调控和指挥,通过行政管理能把无数次纷乱的网络空间行为分析和预测、防御、汇总;所谓数据源就包括所有厂商的能力,无论是互联网和传统企业,他们现有的技术机制均能产生数据源。
威胁情报的最大价值在于:预测未知威胁。
传统安全企业提供的“三大件”(防火墙、IDS、IPS)是以漏洞为中心,对已知威胁的防护;威胁情报技术是以情报为中心,对未知威胁的预测及防护。
要想达成预测的准确性,基础安全性数据的质和量必须上去,这就要求不同情报源的数据需要进行高效汇总、联动。而联动的前提便是建立不同情报源间的共享标准和协议,这方面需要政府相关部门(TC260)来发力推动。
举个联动的例子,创宇盾防御了几十万的网站,有一种威胁情报的联动模式是协同防御,具体表现是,在创宇盾防御边界内,当一个网站被攻击,我们的云端系统确认攻击行为并屏蔽这个攻击源后,如果这个攻击转向其他网站时,其他网站可以立即屏蔽这个攻击源。这个协同防御模式效果是非常明显的,一个点受打击立即整个面进行联动防御。
威胁情报未来面临的瓶颈问题
威胁情报各自都有各自的来源,希望能建立一个共享平台,做到成员间信息共享,比如,恶意的攻击者IP,一些新型的攻击手段、防范等,能在网络安全防御者间共享,更多地保护网络安全。
在相当长一段时间内,所谓的数据源包含了大量的数据噪音,需要鉴别和提取相对底层的信息,这些信息从攻防角度看包括5元组,即来源、目标、事件、地点、方式。而企业政府的决策者需要更高层次的情报判断,比如阅兵期间我们的威胁有什么变化、我们新上的一组业务单位会有什么风险并是否可抑制。威胁情报需要忠实的作为信息元给决策提供科学可靠支撑。目前从技术分析到业务机制还没完善到这个程度。
我国目前还没有成熟的威胁情报利用案例(这里我们指的是利用威胁情报产品,来进行威胁预测的案例)。考察美国威胁情报产业,主要分为商用情报和军用情报。商用情报这块由于商业机密等问题,还很难实现威胁情报源数据的最大化共享、交换、分析。
从攻击者角度看应对策略
(1)快,网络安全几乎每段时间都会爆出0day,攻击者可以利用防护者打上补丁之前的时间差来进行攻击;
(2)新,利用新的攻击手法有可能攻击成功;
(3)净,利用没有发起过攻击的“干净”IP,有可能会突破防线;(4)久,就是我们常说的APT攻击,持续地关注目标,持久关注,找准机会,就可能成功。
从攻击者角度来看,会催生高级的攻击手段,比如APT攻击从攻击源和时间分裂成数个低速、单一的手段,隐蔽混淆在浩瀚的数据流中,干扰和破坏安全捕捉系统的触发。从防御角度来看单一的行为数据不可靠,需要从自身的业务分析入手,整理出"情境感知"的多个触发机制,比如非财务人员账号访问了财物数据、管理后台有超出预期的动作等。
威胁情报的技术核心思想是从海量碎片信息中挖掘异常数据,提炼、关联形成会话,再提炼、归并安全事件,再提炼、归并形成情报的过程。
即:Big Data 到 Session 到 Event 到 Intelligence,这也正是SIM、SEM等系统的工作流程。
应对威胁情报技术,就必须要将攻击行为打散到不同的攻击流当中去,最终在合并成为一条攻击力链(Kill Chain)。如利用僵尸网络进行DDoS攻击,便是将异常流量隐藏于海量正常流量中,很难应用威胁情报技术进行预测防御。
采访启明星辰积极防御实验室(ADLab)APS产品研发总监获悉,目前针对威胁情报已经有组织者推进相关产业联盟成立。维系情报作为一个行业热门词汇已经在安全行业出现多年,很多厂商在很久之前提出的概念的就是威胁情报的雏形。从常规的理解,漏洞都可以认为是情报、最基础的漏洞,现在如今所提的威胁情报多用于设备的联动。
从广义上讲有利于阻止个人攻击的信息的集合都可以称之为威胁情报。从已经是不是被攻击,谁正在攻击,将要进行的攻击几个方面收集到的相关信息都可以官方的定义为威胁情报。攻击相关联的人、攻击取得到得成果乃至特征都可以归类于威胁情报。
“落地的威胁情报”
各大厂商对威胁情报的认知和研究机构有一定差异。脆弱性的警报,机制环境的漏洞,基础软件漏洞都是早期的威胁情报。举例来讲,英国安全大会演讲人题目virusworks重大漏洞,对于使用相关软件的行业来说就是情报。Nday漏洞等可以重复利用的漏洞也能够形成情报的基础组成部分。
从特殊事件来看,0DAY必定针对更重要的目标,有更高的代价,和更强的业务针对性。启明星辰在此方面一直持续进行漏洞挖掘等相关工作。也在将漏洞通报及时传递给客户形成安全企业内部的威胁情报。FireyeAPT报告中提到针对不同手段要有针对性的进行防御,这一类的情报并不是很多,需要慢慢收集跟踪。由此看来威胁情报本身的应用往往留存于安全企业体系内部。现在提到威胁情报,主要是信域库问题。同时相关的还有IP分类,可疑IP,以及比较典型的恶意代码泄露。
在安全企业内部循环的情报
时下的网络数据被动检测依赖签名,对安全从业人员来说是可以依赖的规则,同时安全企业也依赖情报收集的结果。威胁情报厂商在做的事情使得情报用于内部攻防,进而提升自身产品。威胁情报的自我循环是当前安全厂商普遍做法,而反观专门做威胁情报的公司则是是对外输出情报的。其中包括提交样本分析结果,大量的样本提交给大客户和会员并形成样本集。
启明星辰通过大量部署蜜罐,URL威胁情报(比如钓鱼挂马)恶意域名、恶意代码、单一性钓鱼邮件都可以形成事件情报,攻击溯源也会涉及到IP,攻击路径描绘出攻击者的轨迹,从中挖掘的共通性也是威胁情报所必须依赖的素材。
时下需要明确的是所有的相关服务是基于何种情报,大体可以分成以下几种:1情报订阅(免费或者收费模式)2.事件报告(报告一个安全事件,用于防护检测)3,集成到防火墙,IP报警或者威胁情报平台,形成可视化产品。
内部情报的共享会成为未来必然趋势,启明星辰内部研究信息可能会反映到防火墙产品中,而现有的模式是产品自身在固定时间更新策略,其中包括IDS特征库更新,防火墙更新。在未来截获的攻击事件(比如IP)可能通过云的途径共享情报。
可以明确的是威胁情报在取代大数据形成新的生态,初创企业会找到一个技术和商业需求的焦点让威胁情报实现落地形成切实有效的解决方案。
Fortinet岑义涛观点:Q:您如何看待威胁情报对在未来安全行业的应用?
A:威胁情报其实现在已经被很多企业及厂商在应用了。APT的泛滥带来的现状就是系统被攻击和攻陷已经是常态,在这种新常态下,我们必须要提升检测和应急响应能力,而这个能力就是要由威胁情报来驱动的。我们知道APT的高级和隐蔽性使得可以轻易穿越传统安全防线,因此对高级威胁,我们使用的检测手段也不能只是签名,必须要依靠行为检测进行分析,交付给用户可执行的分析结果,由此可见在持续的攻防较量中这个能力是很重要的。因此在威胁情报在未来安全保护方面肯定要起到越来越重要的作用。
Q: 互联网企业与传统安全行业对于威胁情报的理解有哪些差异?
互联网公司确实做了一些比较好的安全产品,所以现在有一种风气,就是认为传统安全企业解决不了的问题互联网安全能解决,事实上,大家只是解决方法的思路不太相同,并无本质的优劣。不论是互联网安全公司还是传统安全公司,都是为客户提供安全服务的。大家擅长的领域各不相同,比如擅长Web攻防的,擅长系统加固的,擅长网络安全的等等。但是想对客户做好服务,必须要有一个对安全的全局认知,否则只是能够帮客户增强一部分的安全能力。毕竟攻易防难,为客户做好安全服务就要帮助客户做好各方面的安全咨询建议。至于威胁情报,其实根据大家所擅长的方向,遵循威胁情报方法论进行专业的研究,就能够出产威胁情报了。难点不在于技术,在于人。
Q:根据威胁情报未来是否会推出成熟的解决方案?
A:现在的安全已经是动态安全了,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者。在整个防御过程中,威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环。而这个过程中很关键的一点其实是人而不是产品。或者说威胁情报可能会演化成一个安全服务,因为一旦形成有形态的产品就会把自己固化住,就是静态的,而我们要的是动态的防御能力。刚才说的这个人要能够在系统(或产品)的帮助下同时理解企业业务(应用),基础设施(网络),还有安全防御体系(安全),以及大数据(分析),必须要把网络、应用、安全、分析这四个方面融合到一起,才能做到真正的有价值的威胁情报。
Q: 威胁情报的应用如何实现联动,威胁情报的价值如何最大化?
A:威胁情报的应用要能够和业务系统进行联动,从业务角度了解整网安全态势。
威胁情报的价值在于两点:要能够在攻防对抗中为用户起到指导作用,也能驱动安全防御体系的建设和完善。
1. 指导作用是指要能够帮助用户“take action”。我们都知道目前企业内部每天都会产生大量的日志和告警,而这些日志和告警却不能有效地帮助用户,必须要经过去重,归集,分析等等步骤,才能转化成能够为安全防御提供指导性建议的“情报”。
2. 驱动安全建设,通过结合业务场景分析多来源数据,可以了解整个网络内外的安全态势,再结合业务工作流,可以在业务视角发现每个流节点的安全情况,以此为标准进行安全体系建设的完善。
Q:威胁情报利用方面还有哪些不足和亟待改善的地方?
A:威胁情报利用方面的不足在于与企业业务结合的不够紧密,关联分析的规则不够细致。但是国内情况是距离威胁情报的路还太远,因为安全基础设施的建设还远未达到能够使用好威胁情报的水平。
如果脱离了业务只看基础设施,那威胁情报的意义就不大了。另外,越往上层走,需要设计的业务场景越多,牵扯的应用也就越多,关联分析的复杂度越高,这些都是需要高水平且经验丰富的安全专家来与客户一同编写规则,才能进行很好的分析和情报输出。
Q:从具体案例上讲,攻击者对于威胁情报的应对策略有哪些?
A:攻防是一场对抗,因此双方都可以采取对自身有利的方式。威胁情报并不是防守方的专用术语。所以防守方和攻击方都可以针对自身的需要来使用或收集威胁情报。
