网络空间的安全对抗日趋激烈,仅仅防御是不够的,更需要持续地检测与响应。要做到持续有效的检测与快速的响应,安全漏洞、安全情报必不可少。如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。
明确提出测评需应用“威胁情报检测系统”。
二级、三级、四级要求:
企业需要部署“威胁情报检测系统”
三级、四级要求:
引入威胁情报库,并需要升级到最新版本
《网络安全法》
对于能源等重要行业和领域在等保的基础上进行重点保护,构建监测分析平台,加强对威胁的监测能力。
2013年,Gartner 首次提出关于威胁情报的定义:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括了场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。
Forrester 认为威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。从以上定义来看,威胁情报需要围绕决策这个核心点回答两个问题:现存的知识与未来即将出现的风险。从这两个问题可以看出,虽然是基于证据的知识,情报仍然具有不确定性。而对于威胁情报研究而言,关键就是降低其不确定性。因此,现存的知识对于未来的预测至关重要。
情报,对于客户的核心价值最重要的就是“烽火”效应。网络攻防始终处在博弈的过程中,双方的能力交错上升,对于防守一方来说,当攻击方发明了新的方法时,如果某一个体遭受攻击后,在处理过程中把获得的关键信息(即现存知识)共享出来,例如:IP等攻击者的资源类信息,hash所指向的攻击工具,则看到“烽火”的其它防守者可以进行防御策略调整,避免潜在的损失风险(未来的风险)。从防御者整体上来看,通过分享形成了群体损失减小的效应。
再者,有效地进行威胁情报的内循环,可以使得企业/组织避免收到同样攻击的二次伤害或多次伤害。可见,威胁情报所形成的知识可以为企业/组织重复使用。在此之上,通过对威胁的分析,形成威胁情报并加以利用,不仅仅可以加强主动防御实现降低或避免伤害,还可以针对对手方进行策略应对,从而形成主动防御、震摄性防御,甚至可以是有效混淆、还击的战略。
当前情报的主要应用方式
情报订阅
威胁情报厂商以明文方式呈现给客户,可应用于主动防御模式,主要包括了威胁相关的IP、域名、URL、邮件以及HASH信息以及漏洞信息。通过研究全球主要威胁情报厂商可以看到,情报订阅模式下,威胁情报厂商提供的信息至少包括威胁类型、指示器、信誉值,其日更新数量在千万级。随着威胁情报厂商提供的上下文信息增加,使用者可以采用更加丰富的筛选逻辑来根据应用场景选择威胁情报子集。但威胁情报厂商提供的情报订阅越接近其原始数据,使用者才具有越高的使用自主权。
情报查询服务
情报查询的主要目的是获取其上下文信息,用于溯源或者根据IOC的历史信息判断其未来的威胁性,可查询的数据索引往往是数十亿以上的量级。情报查询,具有隐私数据外泄的风险,因此企业应当尽量避免唯一指向性查询,采用具有信息混淆的方式向服务商提出查询请求。
情报即服务
情报即服务,要求客户和威胁情报厂商建立长期的、互信的服务机制。由威胁情报厂商利用其威胁情报源、威胁情报应用能力,结合客户的实际情况,进行数据整理、分析,形成自有情报和决策信息。情报即服务的市场随着战略威胁情报的需求,将会持续增长。
情报网关
在情报订阅服务中,我们可以知晓威胁情报日更新量在千万级,而传统的信息安全解决方案是无法实时应用千万级威胁情报的,需要有一种新的应用形态即情报网关。根据Gartner的定义,威胁情报网关是利用大量箱内威胁指标数据集(支持数百万甚至数十亿个威胁指标)的网络安全设备。
威胁情报服务开放平台
1.IBM-X-Force
X-Force Exchange能够为全球提供对IBM及第三方威胁数据资源的访问,包括实时的攻击数据。它整合了IBM的威胁研究数据和技术,包括了Qradar安全情报平台、IBM客户安全管理服务分析平台。IBM声称该平台集聚了超过700 TB的原始数据,并在不断更新。X-Force Exchange的用户可以共享利用多种数据资源,包括:世界上最大的漏洞目录之一、基于每天150亿起安全事件监控的威胁情报、来自2700万终端网络的恶意威胁情报、基于250亿网页和图片的威胁信息、超过 800万封垃圾邮件和钓鱼攻击的深度情报、接近 100万恶意 IP地址的信誉数据等。
2.微步在线
国内做的最好的应该是微步在线,微步不仅仅只有一个搜索功能,还建立了相应的社区进行情报共享,并实现了威胁情报的产品化。
3.360威胁情报中心
360威胁情报基础信息查询平台向业界开放免费查询服务,这是国内首个向公众开放的威胁情报数据查询服务平台。360威胁情报基础信息查询平台的上线标志着国内安全威胁情报共享进入新阶段,所有安全厂商、政企用户的安全研究与分析人员在经过线上注册审核后,都可以免费进行查询。
4.阿里云盾态势感知
阿里云盾态势感知是全球唯一能感知“渗透测试”的安全威胁服务平台,如可以区分脚本小子和高级黑客、识别零日应用攻击、捕捉高隐蔽性的入侵行为、溯源追踪黑客身份等。云盾平台利用大数据,可对高级攻击者使用的零日漏洞攻击进行动态防御,如可以采用新型病毒查杀,并通过爬取互联网泄露的员工信息,实时告警、杜绝黑客“社工”;能够对各种潜在威胁及时识别和汇总分析;能够实现基于行为特征的Webshell检测、基于沙箱的恶意病毒精确查杀等。
威胁情报未来的发展
威胁情报未来的一个重要发展领域是DRP(数字风险防护),DRP是与企业数字化转型配套的安全解决方案。企业的数字足迹、数字资产甚至管理者的个人形象,随着现代企业数字化进程,都有可能成为下一个攻击目标。DRP作为一种新趋势,国际上知名的威胁情报服务商,例如:Digital Shadows、Risk IQ、ZeroFox等,都在向着这个方向前进。
研究和咨询领域的”奥斯卡“ - Gartner报告
Gartner是个有着40年历史的上市公司,位列美国最大的500家公司(S&P500)之中。它提供研究和咨询服务,业务范围涵盖信息系统、财务、人力资源、客户服务、法务合规、市场、销售和供应链等,作为世界上最为知名的IT咨询和研究公司的Gartner,它的魔力象限可谓既简洁明了,非常真实、权威。谷歌、微软、甲骨文、IBM等科技巨头都非常在意Gartner魔力象限的评价,并以上榜为荣;同时,世界五百强的CIO们在采购技术产品时,也大多将Gartner魔力象限作为一个重要评价依据。