正值美国旧金山的RSA火热开幕时,作为连续参展方的微步在线响应大会2017年的安全发展新趋势,发布重量级产品-微步威胁情报平台。该软件平台产品解决了企业在威胁情报落地中存在的挑战,作为国内威胁情报领军品牌继续引领威胁情报发展方向。
一直以来,安全厂商和企业安全人员都在致力于预测和预防威胁,经历多年的发展,虽然各种安全产品与解决方案琳琅满目,但事实一次又一次地证明了这样的目标虽好,却是一个无法兑现的诺言。企业无法完全杜绝或者预防威胁的发生,因此,企业逐渐转为如何缩短威胁检测时间这一问题的探讨上,更重视检测与响应的作用。安全检测技术得到了更多的重视,其中为代表就是以威胁情报驱动的威胁检测与响应机制(Detection and Response)。威胁情报在有效地帮助企业提高威胁检测和响应能力的同时,也面临了诸多的挑战,微步在线围绕这些国内外企业面临的痛点,在其发布的威胁情报平台中逐一给出了解决方案,真正实现了威胁情报在组织内的落地。
一、 威胁情报落地的挑战:
1. 威胁情报比较复杂。需要能指导行动,并用于提升安全运营能力
国外70%的受访者表示威胁情报通常比较复杂, 因此,52%的受访者认为他们的公司需要一个合格的威胁分析师来最大限度地发挥威胁情报的价值。 另有小于46%的受访者表示,正在使用威胁情报数据来指导事件应急响应行动。而国内企业希望通过及时准确的威胁情报来帮助企业提升安全运营能力。
2. 将威胁情报平台与现有的安全工具和产品相集成具有挑战性
64%的受访者认为威胁情报平台与其他安全技术或工具的集成是一项艰巨而耗时的任务。62%的受访者表示,与SIEM/SOC集成是必要的,可以最大限度地提高威胁情报数据的价值。有49%受访者还选择了IDS / IPS,有46%的受访者还选择了下一代防火墙。
3. 在没有平台的情况下,难以确定威胁情报的优先级
70%的受访者表示,在没有相应平台的情况下定义威胁情报优先级别非常困难。如果他们没有威胁情报平台,71%受访者的安全团队不能及时传递相关的领导层。79%的受访者认为,威胁情报平台被认为是最大化威胁情报数据价值所必需的。威胁情报平台能够精确对攻陷指标(IOC)进行优先级定位。
4. 威胁情报的价值要能量化。
目前只有27%的安全从业人员认为他们的公司在利用威胁数据来识别网络威胁方面做的很出色。 31%的董事会或者CXO会接收与公司面临的重要安全问题相关的威胁信息。可见国内外企业都能认识到威胁情报的重要性。但国内用户更直接关心其价值如何量化。
二、解决方法与建议:
威胁情报平台是一个解决方案,有79%的受访者认为通过威胁情报平台来最大化威胁数据的价值是很有必要的,并有三分之二的企业已经拥有或者准备开发威胁情报平台。微步在线是国内网络安全威胁情报领军品牌。由来自亚马逊、阿里巴巴、微软等安全专家组成,提供以威胁情报为核心的安全服务,致力于帮助企业检测与响应正在发生和即将发生的威胁。微步在线自成立以来,凭借通过威胁情报驱动的安全能力,多次在重大社会性和行业性网络安全事件上的出色表现,得到了业内的充分认可,客户已经遍布于金融及世界500强企业。针对企业用户所遇到的问题和痛点,微步在线正式推出的威胁情报平台就是针对当前问题的一个综合性的解决方案,与企业现有安全产品进行结合,可获取实时威胁情报,并应用威胁情报进行威胁检测,准确发现内部威胁和失陷主机,同时结合威胁情报提供丰富的上下文信息以及强大的基础数据支撑,帮助组织挖掘攻击特点、更快地采取安全防范措施。
微步展位RSA大会北展厅N5003欢迎亲临现场。
微步威胁情报平台具备以下特点:
1. 覆盖全球高价值情报:威胁情报是威胁情报平台的基础支撑,微步在线具备独有的情报挖掘能力,为威胁情报平台提供稳定的情报输出。ThreatBook Labs长期跟踪和分析与各行业相关攻击事件和团伙,其产出的高级情报得到金融和能源等行业多个大型企业高度认可。基于ThreatBook Labs对高级情报的跟踪与分析处理能力,同时整合200+不同数据源,采用多种检测分析机制,整合沙箱的动态分析能力、大数据的安全狩猎能力,确保了威胁情报平台可实时获取大量高质量的可机读威胁情报。
2. 检测精度高,提供可指导响应活动的上下文:微步在线利用白名单、分析规则、机器学习、分析师人工判定等多层次的研判机制,保障检测能力的高精准度,其准确率可达到99.99%。对于命中的威胁,威胁情报平台可提供包含攻击者团伙信息、攻击目的、攻击方式、传播路径、行为特点,影响范围以及相关的行动建议等丰富的内容,帮助企业安全响应团队更有效率的工作。
3. 可展现企业整体安全态势,并全面定位分析内部威胁:基于检测结果,威胁情报平台提供高可视化方案,对企业内的整体安全态势进行集中展现,包括整体安全状态、威胁检测结果、内部失陷主机、风险等级等。帮助用户感知和了解当前企业内的威胁状态。对于接下来的安全响应工作,相较于传统人工排查,威胁情报平台运用人工智能实现了内外数据的关联分析,可以更快速定位内部机器及操作。对内来说,威胁情报平台关联了企业内部的各类设备和记录数据,包括DNS日志、HTTP日志、DHCP日志等,能够全面追踪与相应事件关联的内部数据,更多发现关联内部主机,对回溯攻击位置、攻击途径与确定损失具有重要意义;对外来说,威胁情报平台运用微步在线的黑客资产模型,可对攻击者身份、团伙、资产等进行追踪溯源。
4. 部署灵活简单,可与企业现有安全产品和方案结合:部署过程可缩短至2小时! 该平台可安装在虚拟机或者硬件服务器上,对机器配置要求较低,部署简单且维护成本低。可选择流量镜像,或者运用DNS或DPI设备上的日志配置功能,实现该平台的快速部署,无需串联、无需修改网络拓扑结构。微步威胁情报平台即可独立部署,也可与现有安全产品(如SIEM、SOC、大数据平台等)快速集成。,运用威胁情报产生的威胁警告,既可独立呈现,也可通过Syslog或API的方式与企业现有其它产品进行互动,方便集中处置和响应,同时提高原有设备利用率。
5. 制定可以量化的安全检测与响应管理目标:国内外企业都能认识到威胁情报的重要性,国内用户更直接关心这个价值如何量化?其实两个关键指标可以用来衡量一个企业检测响应能力的有效性,即平均威胁检测时间(MTTD)和平均响应时间(MTTR)。MTTD指是一个组织发现和识别那些安全事件所需要的平均时间。MTTR是指企业充分分析并采取有效手段应对和处理安全事件所需要的平均时间。根据企业规模和安全团队的投入不同,全球来看MTTD平均值大约在146天,MTTR平均值为1周到30天。所以从管理到执行确定响应与检测的重要性和考核方式是效率的基础。
写在最后,2017RSA大会以 “Power of OPPORTUNITY”寓意我们正处于一个安全盛世,但也是一个安全乱世,期待本次盛会能够带来更多的安全创新!而作为国内威胁情报领军品牌,微步期待与更多安全厂商携手合作,通过威胁信息和情报的共享机制,保护我们的共同用户,打造安全的互联网!