一、汪列军 奇虎360公司企业安全部高级研究员
奇虎360公司企业安全部高级研究员 汪列军
汪列军,2000年涉足网络安全领域,曾任绿盟科技核心技术部漏洞规则组首席研究员,负责公司最主要的两个安全产品入侵防护系统与远程安全评估系统的检测规则和扫描插件的维护。现任奇虎360公司企业安全部高级研究员,目前关注APT攻击事件的分析与挖掘,负责相关威胁情报的生成与维护。
点评:
安全威胁情报(Threat Intelligence)是2015年信息安全产业中的一个热词,不管是传统的产业巨头还是新兴的初创公司都在宣称可以提供某种形式和类型的威胁情报,发布自己的威胁情报交换方案或技术平台,相应的共享和交换标准也在推进中。其实在国外的安全业,对威胁情报已经有比较明确的定义,如Gartner的定义:“威胁情报是一种基于证据来描述威胁的知识信息,包括威胁相关的上下文环境信息,采用机制、指标、影响与行动建议等。这些用以描述已经存在或正在发生的攻击威胁的信息,可以被受害目标用来进行决策并对威胁进行响应”。同时,可机读威胁情报(MRTI)是威胁情报的特殊格式,已经被转化为可机读的格式,从而可以更容易、更快的被传递到云端或客户端的系统中发挥作用。威胁情报在高级威胁的发现,以及安全态势感知中,都发挥着关键作用。
从当前的业务成熟度来看,2015年各家厂商对威胁情报的商业模式还处于探索阶段,老厂商只是提供些基于原有业务的衍生数据,新厂商则在尝试提供何种情报服务及如何提供服务。在威胁情报的消费端,高端的战略威胁情报(可以从攻击组织与攻击者角度出发的综合情报)仅限于政府及某些大组织机构,而战术威胁情报(威胁指示器IOC)的主要消费设备SOC、SIEM、NGFW等还未大批量地提供可机读威胁情报的支持,真正的消费群体还未形成。威胁情报的共享和交换标准方面,以STIX为代表的开放标准正在获得越来越多的厂商支持从而非常有可能成为主流,但是也不排除一些轻量级的标准在一定范围内流行。360企业安全是国内威胁情报领域的先行者,2015年,360建立了国内第一个商用的威胁情报中心,一是通过360在互联网云端多年积累的安全大数据平台,持续产生可机读威胁情报,并在360天眼威胁感知系统中进行落地。二是360也发布了威胁情报基础数据查询平台,面向安全业内人员开发威胁情报相关的数据查询。更进一步,新的威胁情报服务模式,也逐步在关键客户处落地。
威胁情报要发挥预期的作用,关键在于建立一个可操作的高效的情报交换网络,这里的技术限制不大,阻碍可能更在于商业模式的可行性及组织间的非技术壁垒,2016年会是威胁情报真正开始落地之年。
二、胡珀 腾讯T4安全专家,应用运维安全总监
腾讯T4安全专家,应用运维安全总监 胡珀
胡珀,网名“lake2”,07年加入腾讯,一直从事安全攻防对抗方面的工作,目前负责腾讯的应用运维安全体系建设。
点评:
安全威胁情报是近期安全领域比较热门的话题。狭义的看就是传统的攻击黑名单(域名、IP、MD5等)加上新兴的云计算和大数据分析演进出来的一个新兴分支。即通过对捕获的大量信息进行分析,提炼出攻击信息并在一定范围内共享。国内一些企业已经在探索了:提供安全威胁情报服务的创业公司微步在线(ThreatBook);360也推出了威胁情报基础信息查询平台;行业内几个公司组成的烽火台安全威胁情报联盟……
广义来讲,“情报”本身也可以理解为信息,如漏洞信息/黑产攻击线报,针对这部分情报,腾讯、携程、阿里等企业各自推出了“安全威胁情报奖励计划”,对这部分情报提供现金奖励,消除企业自身安全风险。
当然,不管是狭义还是广义的安全威胁情报,这些都还在起步摸索阶段,到真正应用还有一段时间。不管如何,未来安全威胁情报肯定是安全领域的一大分支。
三、杨冀龙 知道创宇创始人兼CTO
知道创宇创始人兼CTO 杨冀龙
杨冀龙,国内原创信息安全经典畅销书《网络渗透技术》的作者之一,著名安全组织XFOCUS的核心成员,擅长漏洞发掘和安全软件研发,发现过大量AIX、Solaris、HP-UX漏洞。北京知道创宇信息技术有限公司创始人之一,目前担任公司COO兼CTO,负责公司技术路线、核心技术团队建设及产品线规划。
点评:
威胁情报在网络安全行业将变得越来越重要,“不知攻,焉知防”,安全最重要的不是事后救火,而是在事前将可能发生的事故化解,“威胁情报”就是帮我们做到防患于未然。
短期内,我们会通过传统的漏洞、威胁通告方式提供给企业政府单位,从长远来看会形成一个新的细分领域市场。针对单个客户形成有效的针对性情报,手段包括:监测整个互联网、DPI/DFI分析技术,还是SIEM技术、蜜网技术、沙箱技术。这个市场预计会达到数十亿的规模。
威胁情报在未来的安全行业一定会得到大规模的应用,原因有两点:
(1) 用户需求角度看,由于CyberSpace的快速发展,安全越来越成为限制其发展的瓶颈。而且安全威胁也从低级别的“菜鸟黑客”逐渐向“组织黑客”、“国家黑客”进化。为应对不同级别的安全威胁,必然要使用不同的安全技术,所以安全防御思路会逐渐从“漏洞为中心”进化为“情报为中心”;
(2) 从厂商能力角度看,云计算、大数据技术已经逐渐成熟,在安全上也产生了很多成功案例,如:Splunk、Palantir、FireEye等公司,都是通过大数据技术提供威胁情报服务。
四、51CTO编辑
51CTO安全频道编辑 杜美洁
被评为2015年最好的电视剧《琅琊榜》爆火后,几乎人人都知道“琅琊榜首,江左梅郎”——“梅长苏”,那个成功帮助靖王在“三王夺嫡之战”中一举成功的才子。而“梅长苏”之所以能够成功,少不了其精心构建的情报网,及时的情报传递可以先敌人一步,棋快一招制敌于绝地。同样,在网络攻防这场战争中,要想成功对抗安全威胁,如果知道安全威胁来自哪里,来自于谁,防守方将占尽先机,提升防御能力。因此,安全威胁情报是必不可少的。
目前,随着态势感知的热度攀升,安全威胁情报显得更加重要。以前对威胁情报的利用更多的是作为攻击者在进攻目标时进行一些资料信息整理,而现在,威胁情报正逐渐被用于企业安全防护。但安全威胁情报还属于混沌状态,处于探索阶段。
威胁情报的技术核心思想是从海量碎片信息中挖掘异常数据,提炼、关联形成会话,再提炼、归并安全事件,再提炼、归并形成情报的过程。其中有两个重点:一个是数据,一个是分析。每一家情报威胁厂商除了不同的分析能力之外,数据能力也至关重要。数据并不只是量大就行,还得看质量。数据的多样性,全面性,针对行业性也是考察数据好坏的标准。威胁情报不仅需要从外部收集,企业内部的数据收集也非常重要。而且,内部数据的收集比外部情报收集更难。
虽然目前的威胁情报共享存在一定的难题,但是随着人们对威胁情报的进一步探索,相信会慢慢解决这个问题,将威胁情报更好的应用于网络攻防战中。在2016年,威胁情报必将持续升温。