随着传感器的增多、可穿戴终端技术发展、以及深入生活的各类应用出现,任何设备都将接入互联网,由此带来的安全挑战前所未有。攻击入口无处不在,单纯基于漏洞或者关键资产的防御方式已经力所不及。企业需要更加全面高效的防御方式,在安全的环境中发展壮大。威胁情报的出现为传统防御方式带来了有效补充,它立足于攻击者的视角,帮助我们更好的了解威胁,帮助我们在遇到威胁时能够准确高效的采取活动。
目前,威胁情报无疑是非常火爆的安全防护体系的概念。但是在国内,它还没有很成熟。3月30日,由安全牛主办的“CS 3:威胁情报解决方案峰会”在京举行,来自360、IBM、谷安天下、微步在线、白帽汇五家厂商的专家从不同的视角分别介绍了各自对威胁情报的理解和相应解决方案。
什么是CS3?
据安全牛主编李少鹏 介绍,CS系列论坛是“专注安全解决方案的大会,我们面向的主要是用户,讲的是自己的产品,解决的是甲方面临的安全问题。我们不怕打广告,但我们演讲的产品和方案,都是经过安全牛精心选择过的,值得推荐的优秀产品和方案。”
CS不讲攻防,不讲战略,讲的是安全需求和解决方案,讲的是企业或机构即将面临的问题和急需解决的痛点。CS 3,顾名思义为CS系列的第三场论坛。目前,CS系列参与方包括360、蚂蚁金服、普华永道、乌云、RSA、IBM、谷安天下、网康等业界知名互联网公司和安全公司。
什么是威胁情报?
根据Gartner的定义:“威胁情报是一种基于证据来描述威胁的知识信息,包括威胁相关的上下文环境信息,采用机制、指标、影响与行动建议等。这些用以描述已经存在或正在发生的攻击威胁的信息,可以被受害目标用来进行决策并对威胁进行响应”。简单来说,威胁情报就是可以帮助人们识别安全威胁并做出明确决定的知识,就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。所谓的情报,具体讲,通常可包括hash值,ip地址,域名信息,网络与主机攻击,工具,TTPs等。
威胁情报有何用武之地?
威胁情报可以帮助人们解决如下问题:
如何跟得上包括恶意攻击、攻击方法、安全漏洞、黑客目标等等在内的如潮水般海量的安全威胁信息?
面对未来的安全威胁,如何获取更多的主动?
如何向领导汇报具体安全威胁的危险和影响?
做威胁情报的厂商有哪些?
目前做威胁情报的厂商为数不少,国际上主要有:赛门铁克,iSight Parnters,火眼,CrowdStrike,Lookingglass,IBM,Webroot,Dell Security,Verisign iDefense等。
国内主要有:微步在线,360,谷安天下,白帽汇等。
CS3威胁情报解决方案峰会上,大家都说了什么?
360网络安全研究院院长 宫一鸣 & 天眼实验室负责人 韩永刚
宫一鸣:“直接谈威胁情报是空中楼阁,在某种意义上我认为威胁情报有点像金字塔的塔尖,而基础数据时走向塔尖的基础。在某种意义上有点像是造砖头,我给你造各种各样的砖头、各种尺寸的砖头,有砖头才能盖楼。而且,任何数据都是有价值的,要懂得如何看到数据的价值,并发挥其价值。”
韩永刚表示:“数据是看见安全的基础,所有网络行为都会形成痕迹,有痕迹就有数据,安全大数据是形成看见能力的基础;有了数据还要有数据连接能力、数据分析和挖掘能力,结合安全经验,才能形成看见能力。威胁情报来自于数据,最后还要回到数据中去,威胁情报最终回到客户侧才能发挥它的作用。威胁情报要结合本地各层面数据的采集、还原、分析能力,才能有效发现威胁,而自动化响应则是应对威胁的又一关键点。”此外,韩永刚认为,对安全事件,以前能做到的是发现和响应,现在有了威胁情报,还能够做到取证、拓展、溯源。
IBM中国区安全技术高级工程师刘璐莹
据刘璐莹介绍,IBM做安全应该可以追溯到上世纪80年代,从主机安全开始,IBM进入了安全领域。从那个时候开始,一步一步走到今天。经过不断的整合和收购,现在IBM已经形成了一整套安全体系架构,在整个安全市场里,目前IBM排名第三。所以可以说IBM是一家安全公司,而且还是一家很大的安全公司。
她认为,情报最重要的有三点:第一,要有,要查得到,数据相对来说比较完整。第二,要能够触发到我,因为很大的数据库可能放在某个地方,可能没有办法跟我实际的情况联系起来。第三个是要能够自动化地利用起来这些库,而不只是查询。
谷安天下安全值产品总监 赵毅
谷安天下关注威胁情报这个领域已经有两年的时间,赵毅表示通过调研发现,国内国外有非常优秀的数据资源,威胁情报的本质就是数据。但数据的纬度是不同的,因此如何把数据用好,是我们想要解决的问题。数据分析和处理或者是机器学习,不是谷安的长项,但我们可以基于威胁情报生成一些信息,并形成产品。另外,谷安天下是做风险管理出身的,所以用威胁情报来做风险管理是强项。
微步在线创始人兼CEO 薛锋
微步在线创始人兼CEO 薛锋表示:“大家至今对威胁情报的理解还有很多不同,但这种百家争鸣、百花齐放的环境是非常好的。我们做威胁情报最核心的是数据和对数据的分析,分析之后提炼出来有价值的东西。”
他认为:“威胁情报还是离不开数据的。“数据来源多种多样,数据的变化也是瞬息万变。如何对这样数据进行关联分析,提炼有价值的内容非常的重要。所以威胁情报最重要的是分析师,尤其是对甲方,如果没有很好的分析师的话,其实买再多的设备、雇再多的人也没有什么用。威胁情报公司应该是严谨的,一百次的威胁分析成功了九十九次不叫成功,只要误判一次就是失败。
白帽汇创始人兼CEO 赵武
白帽汇于2015年8月成立,团队主要来自于360和华为,有着深刻的,专注于做安全大数据和企业威胁情报的基因。谈到威胁情报,白帽汇创始人兼CEO 赵武是这样理解的:“我们认为的威胁情报,如果大家都在说这个东西,那一定不是威胁情报,因为你知道,别人也知道。所以我认为众人皆知的不能叫威胁情报,因为信息安全最核心的本质就是信息不对称。我们跟踪的一定是你不知道的,或者你之前没听说过的,我才把它叫威胁情报。”
目前的主要安全威胁有:企业未知的隐形资产、Nday攻击(黑客买白帽账号批量攻击)、外部数据威胁。面对这些威胁,为什么企业跟安全公司对抗的时候,落后的一定是安全公司,而不是黑客。赵武认为因为我们跟踪黑客的情报的时候会发现,安全公司至今很难进行友好的联动,但是黑产至今互相的联动非常之紧密,分工合作得非常好。那我们为什么老去防护,而不能去攻击?我们能不能做一个攻防的转换,把战火烧到敌人的阵营?
他表示,我们需要对黑产进行情报监控,打击黑产,对黑客进行画像,最后实现黑产反制。并强调:“安全的环境一定不是等来的,而是通过打击黑色产业得到的。把攻击者进行抓获也好,进行惩罚也好,反正安全的环境等是等不到的。”
CS3威胁情报解决方案峰会上,各家厂商都展示了哪些产品和解决方案?
360威胁情报中心
360威胁情报基础信息查询平台TI.360.com具有关联分析和海量数据两大特色。安全研究人员在360威胁情报基础信息查询平台提交域名、IP、样本信息等进行搜索,将得到360威胁情报中心所提供的云端数据查询结果。这些信息结合对应的分析,对帮助研究人员定位安全威胁可以发挥关键作用。
目前360威胁情报基础信息查询平台拥有全球独有的样本库,总样本超过95亿;互联网域名信息库则有高达50亿条DNS解析记录;此外,还有众多第三方数据源。基于海量数据,平台帮助用户进行分析,可以拓展关联信息,挖掘出在企业或组织内部分析中无法发现的更多线索。
共用威胁情报的协作平台:IBM X-Force Exchange
这是一个使用,分享,并依情报来行动的新平台,以IBM X-Force的积累和规模为后盾,拥有丰富的威胁情报资料。刘璐莹表示,基于十几年的积累,IBM目前记录的完全独立的、真实的漏洞,超过9万,是全球最大的漏洞库之一。目前恶意IP数量86万,URL和域名分析数据库的量在250亿以上。基于这些数据能够监控到全球高发的、严重影响的安全事件。这些数据通过IBM X-Force Exchange这个开放的、可操作的、社交的情报平台,把X-Force多年的积累开放给公众。目前这个平台支持一些业界通用的威胁情报交互格式。你可以通过标准格式和自己现有的产品方案、学习工具来进行集成。同时,它还是一个社交平台,可以进行思路上的分享,多向沟通。
威胁情报的新应用:安全值
谷安天下现场发布威胁情报应用产品——安全值,仅用5分钟即可量化企业安全风险。谷安天下将威胁情报体现在安全值上,就是一种整合资源的能力,通过专业的视角,发现未知风险,对风险进行量化。安全值一共整合了100多个威胁情报数据资源,利用大数据挖掘分析方法,对实时情报数据进行风险分析,量化计算风险,提升用户的风险管理能力。
通过安全值可以看自己、看行业,也可以看差距。谷安天下希望通过安全值这样的产品,能给大家带来专业的数据服务,并且利用其整合资源的能力,帮助用把多个资源进行整合起来,发现未知风险,对风险进行量化,并且跟行业还可以做差距的分析。这就是谷安全天下把风险管理通过数据这个桥梁带给大家的思路。
微步在线提供多种在线服务
微步在线的定位是做一个专注于数据的公司,致力于整合数据、机器与人的力量,提供具有可操作性的威胁情报,用来阻截攻击、发现威胁、溯源追踪和消除风险。目前微步在线提供的服务第一个是IOC,第二个是威胁分析平台,第三个是高级入侵事件检测,这也是一项免费的服务。微步在线的主要产品VB(VirusBook.cn),是中国首个综合性的威胁分析平台, 免费为全球安全人员提供了一个便利的一站式分析平台。另一款产品TIC(威胁情报中心)的威胁应用解决方案,使客户在面对关键威胁时可以快速发现并采取有效的行动。