网络安全 频道

安全牛发力 威胁情报再成行业焦点

  【IT168 资讯】自从今年RSA之后,在过去一年吵得如火如荼的威胁情报终于开始落地,在今年的风向标会议上威胁情报已经不再是陌生的概念,对于行业的价值逐渐凸现出来,一直致力于探索安全行业的安全牛此前举行威胁情报解决方案峰会。

安全牛发力 威胁情报再成行业焦点

  五家安全公司分别介绍了各自对威胁情报的理解和相应解决方案,其中包括了势头正猛的互联网安全企业、国外老牌IT企业、资深安全咨询企业、专注威胁情报的初创企业、知名白帽子创立的安全企业,介绍了这么多企业的背景,是想说明,出于不同企业的视角,对威胁情报有着各自不同的理解和应用。

  安全牛主编李少鹏在开场白中表示,威胁情报是目前最为火爆的安全防护技术,但它的落地和应用在国内并未全面成熟,为此安全牛定向邀请了在威胁情报的技术、落地及应用方面非常优秀的几家公司来作演讲。

  带拐上阵的主持人

  从基础数据到威胁情报

  首先登场的是360的宫一鸣和韩永刚组合。宫一鸣认为,数据都是有价值的,关键是如何看到价值,如何发挥价值,而他们做的主要工作就是从海量数据中挖掘整理有用的基础数据,他将此戏称为“搬砖”,威胁情报正是建立在这样一块块砖头似的基础数据之上。他通过几个实际案例,介绍了基础数据在分析攻击者中的作用,主要是针对域名以及域名算法的数据研究分析,可以看到攻击的来龙去脉和蛛丝马迹,甚至可以预测攻击者的下一步动作。

  360 网络安全研究院院长 宫一鸣

  如果说宫一鸣所做的工作是在“搬砖”,韩永刚所介绍的就是基础数据落地的过程,就是如何将这些基础数据汇集、处理,产生有用的威胁情报,真正地应用到客户那里。如帮助执法部门进行一些网络案件的侦破,对APT攻击的追踪和发现。韩永刚认为,对安全事件,以前能做到的是发现和响应,现在有了威胁情报,还能够做到取证、拓展、溯源。做到这些,依靠的还是对基础情报的处理能力,情报是从数据中来,最后还要回到数据中去,威胁情报最终回到客户侧才能发挥它的作用。

  360天眼实验室负责人 韩永刚

  威胁情报共用和协同防御

  来自IBM的刘璐莹重点介绍IBM在威胁情报方面的工作。她首先介绍了IBM安全团队的建设,从80年代开始,IBM就进入主机安全领域,在2006年以后,通过一系列收购,正式组建了X-Force安全团队,这也是IBM的主要来源。作为一个专业的安全研究机构,X-Force的主要工作是监控和评估瞬息万变的威胁形势、研究新的攻击技术和的保护方案、培训客户和公众。

  IBM中国区安全技术高级工程师刘璐莹

  刘璐莹介绍,通过IBM全球12家SOC中心托管的4000多个客户,IBM每天可以收到多达150亿个事件。通过这些事件所收集的真实数据,整理、提炼、发现最新的安全动态。不仅有超过9万个漏洞的数据库,还有86万个恶意的IP,以及大量关于域名分析,共计分析超过 250 亿个网页和图像。

  X-Force Exchange平台

  而这些数据可以通过X-Force Exchange平台来获得分享,刘璐莹表示,IBM在威胁情报的重要的思路就是分享,X-Force Exchange是一个开放的、可操作的、社交的情报平台,它把X-Force多年的积累开放给公众。同时这也是一个可操作的平台,支持业界通用的模式,可以进行信息交换和产品集成。

  用威胁情报数字化评估安全

  谷安天下的赵毅在会上介绍基于威胁情报的新应用——“安全值”产品,用五分钟即可量化企业安全风险。赵毅表示,虽然在数据的技术上不是很擅长,但谷安天下是做风险管理出身的,所以用威胁情报来做风险管理是强项。威胁情报体现在安全值上,就是一种整合资源的能力,通过专业的视角,发现未知风险,对风险进行量化。

  赵毅表示,谷安关注威胁情报领域已经有两年的时间,行业内有很多优秀的数据资源,而威胁情报的本质就是数据。如何把数据用好,产生价值,是安全值想要解决的问题。安全值一共整合了100多个威胁情报数据资源,利用大数据挖掘分析方法,对实时情报数据进行风险分析,量化计算风险,提升用户的风险管理能力。

  安全值的差距分析

  通过具体案例,赵毅演示了安全值在行业中的应用,通过安全值的评估,用户可以看到自身的问题,行业的安全基线,自己与行业的差距。

  攻陷指标不等于威胁情报

  微步在线的CEO薛峰介绍,微步在线2015年6月成立,当时国内对威胁情报的具体实践还处于起步阶段,微步在线应该是国内第一家专门做威胁情报的公司。目前对威胁情报业界还是处于一种百家争鸣、百花齐放的状态,这是个很好的环境。

  薛峰表示,微步在线是一个专注于做数据的公司,对威胁情报来说,最核心的就是数据和数据分析,分析之后从中提炼出有价值的信息。

  微步在线对Xcode事件的分析

  通过对Xcode事件的全新分析展示,以及对一个境外攻击的溯源分析,薛峰展示了公司在威胁情报上的能力。薛峰认为,威胁情报离不开数据,单纯数据量的多少并没有意义,数据的多样性和时效性,以及分析能力才是更重要的。把数据进行有效的关联和展示,慢慢形成一个故事是非常有意思的事,它能体现出威胁情报的真正价值,对应急响应来说,仅仅看病毒和代码价值非常有限。

  薛峰还展示了微步在线的IOC、威胁分析平台和高级入侵事件检测服务,同时他认为“威胁情报+”会是将来的一种形态,安全厂商、安全产品之间应该是互相促进、互相结合的关系,例如当扫描器、防火墙对接了某种类型的威胁情报,可以变得更好、更智能。

  白帽汇视角的威胁情报

  知名“白帽子”赵武分享了他对威胁情报的思考。他认为,众人皆知的不能叫威胁情报,因为信息安全本质就是信息不对称。真正的威胁情报一定是你不知道的,或者你之前没听说过的。比如白帽汇确实掌握了很多情报,但是从目前来看根本不敢对外宣称,可能引起行业的轩然大波。但不能说不代表没有遭受攻击。

  白帽汇视角的威胁情报

  赵武介绍,白帽汇去年8月份成立,团队主要来自于360和华为,专注于做安全大数据和企业威胁情报,发布了《Redis crackit 报告》和《fortinet 后门报告》。之所以成立白帽汇,是因为尽管安全公司越来越努力,但是网络攻击却越来越多,受害者每天都在增加。这是一个很尴尬的境地。实验室里设想的攻击并不适用于现实,攻击者绕开你的安全边界进行攻击。

  赵武认为目前的主要安全威胁有:企业未知的隐形资产、Nday攻击(黑客买白帽账号批量攻击)、外部数据威胁。面对这些威胁,安全公司在和黑客的对抗中经常落后,因为安全公司至今很难进行友好的联动,但是黑产的互动非常紧密,有着很好的分工合作。

  白帽汇创始人赵武

  所以,赵武强调,要放弃防护的思维,主动出击,通过对黑产的情报监控、对黑产的打击、对黑客画像、对黑产的反制,把战火烧到敌人的阵营。

0
相关文章