解读|网络安全态势感知-威胁情报技术
2022-5-19 0:00:00浏览量:2575编辑:管理员来源:天畅
网络空间的安全对抗日趋激烈,传统的安全技术不能全面满足安全防护的需要。仅仅防御是不够的,更需要持续地检测与响应,这是安全业界普遍认同的一个理念。然而要做到持续有效的检测与快速的响应,威胁情报必不可少。
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
实际上从安全从业者的角度,我们所理解的狭义的威胁情报,就是一些安全威胁指标,针对于不同的安全产品,会有不同的威胁指标,一般的威胁指标,比如文件HASH、IP地址、域名URL、漏洞规则、邮箱地址等等,这些威胁指标就是安全产品所需要的威胁情报,安全产品的核心就是这些威胁情报,如果没有这些威胁情报,安全产品就没法体现它的安全能力了。威胁情报颠覆了传统的安全防御思路,它以威胁情报为核心,通过多维度、全方位的情报感知,安全合作、协同处理的情报共享,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,从而将传统的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。
以威胁情报为中心的信息安全保障框架对于生活和生产关键基础设施的稳定运行、军事作战指挥能力保障及国际社会的和平稳定具有重大意义,它受到了来自各国政府、学术界以及全球大型互联网企业的高度重视。近几年,威胁情报行业增长迅速,如 CrowdStrike、Flashpoint、iSight Partners等威胁情报厂商通过建立的威胁情报中心可从网络犯罪、信誉库、漏洞、恶意软件等多个角度满足不同用户的特定需求。
随着网络安全态势日趋复杂化,威胁情报的研究越显重要。参与威胁情报感知、共享和分析的各方结合自身业务流程与安全需求,针对核心资产增强威胁情报感知能力,积极融合云计算、大数据等前沿技术,建立威胁情报深度分析系统,在深度挖掘与关联融合的基础上做好安全态势评估及风险预警,动态调整安全策略,部署快速可行的安全响应战术,确保关键资产的信息安全。
一类是安全产品类公司需要一些基础的威胁情报数据,就会找另一些安全公司购买威胁情报数据或采取合作的方式进行数据交换,然后将获取到这些威胁情报数据进行分析处理,集成到自己的安全产品中,从而提高自身安全产品的安全能力。还有一类是非安全公司由于业务需要,也会向一些安全公司购买威胁情报数据,应用于企业业务保障系统中,防止企业务受到损失。
一些安全公司的运维人员,会从各种不同的开源威胁情报平台或网站收集各种开源的威胁情服,将这些开源的威胁情报数据,加入到自己的产品中。
一家安全公司的核心资产就是这些安全数据,这些安全数据也就是我们现在说的威胁情报,然而原始安全数据积累是需要一个长期的过程的,一些老牌的安全公司都会有自己的安全数据库,比方:样本库、URL库等。
威胁情报要发挥价值,一个关键问题在于实现情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报有效流通,才能真正建立起威胁情报的生态系统。因此,一个先进的防御系统应本着“和平利用、利益均衡”的原则开展安全协同共享。共享数据有不同的方法,共享的数据也有不同的类型,因此也产生了不同类型的用于共享和传播威胁情报的安全组织,常见的有以下三种:
计算机应急响应机构:这类机构通过寻找大面积影响其用户的广泛安全事件来协调和传播网络安全信息,具有较高的权威性,它是影响大批个人和组织很好的安全信息来源,其受众可以是一个国家、一个省、一个公司甚至全世界。
信息共享和分析中心:不同于计算机应急响应机构的受众往往是大面积的,信息共享和分析中心更多聚焦于某个行业,成员们可以共享网络安全信息。而且,信息共享和分析中心不只专注于网络安全威胁,它还会监控行业内实际的和其他潜在的威胁,因为它是为增强围绕关键基础设施的威胁态势感知而建立的。该类机构的主要目的是作为成员的信息交换中心,提供与威胁及漏洞相关的行业特定警报和情报。
情报共享社区:不同于计算机应急响应机构的广泛影响力,也不同于信息共享和分析中心用于特定行业和专业,情报共享社区更为聚焦,其共享范围更小,最典型的如在组织、行业或者互信的分析师群体通过一个共同的安全平台实现安全信息共享。
国内的威胁情报技术发展,从开始萌芽到现在也走过了第一个五年,在数字风险管理的新挑战下,威胁情报会有怎样的新变化,又能够为客户解决什么样的新问题和带来什么样的新价值呢?
威胁情报将有效提升威胁检测和响应的能力
威胁检测和响应,是安全防御的重要环节。良好的威胁情报体系可以帮助组织实现基于威胁情报的威胁检测、响应和处置,包括从终端到服务器,从网络到用户行为分析系统。随着威胁情报的应用,威胁检测和响应在安全防御环节中的重要性和能力进一步提高。
威胁情报的广泛应用带来互联网“群体免疫“的效应
Gatner从第三方组织的角度提出了TIG(威胁情报网关)的概念,指出TIG应当具有内置几百万甚至是亿以上单位的指示器的能力,并且能够基于威胁情报进行网络检测和阻断,这使得安全团队能够轻松配置安全规则集,由于TIG(威胁情报网关)解决了海量威胁情报应用以及对安全团队能力和规模的依赖,使得中小企业也能够利用威胁情报进行安全防御,由此可以切断更多的传播途径,从而改善互联网恶意威胁的环境,形成“群体免疫“的效应。
开源威胁情报收集、整理和分析能力将迎来快速增长
由于开源情报存在着分布广、形式多、噪音大的特点,因此收集、整理和分析开源威胁情报需要使用到机器学习等具有挑战的技术能力和庞大的计算、存储资源,其困难度及成本要远远高于采购商业情报。正是这一特点,使得开源情报收集、整理、分析成为未来抢占威胁情报领先地位的重要“滩头阵地”,掌握了开源情报收集、整理和分析技术,就是掌握了未来威胁情报技术的制高点。因此,开源威胁情报收集、整理和分析能力将迎来快速增长。
威胁情报对网络安全的意义,就像商业情报对销售、财务、市场营销的意义一样。如何快速有效地运转,掌握问题域的态势感知,如何结合情报分析、武器库等能力追踪和防御威胁,实现情报运营闭环的最后一公里,我们还有很长的路要走。