“信息化时代进程的加快,使得网络安全建设成为国家与企业发展重要支柱。诸如网络入侵、黑客攻击等网络犯罪分子或者敌对势力的非法入侵,严重威胁电信、能源、交通、金融以及国防军事、行政管理等重要领域的基础设施安全。同时,国家也相继出台关于网络安全法律法规,如等保2.0、密码法等,对企业安全建设提出更高要求。”
据腾讯安全《2018 年上半年互联网黑产研究报告》显示,网络攻击从最初的广撒网开始转向政企、组织机构等高价值目标。互联网的无缝渗透以及信息安全保护措施的缺失,使得诸多企业、机构成为重灾区,作为网络攻防第一关卡,威胁情报逐渐被更多政企、机构作为风险预知的“保护伞”。
据Gartner定义,威胁情报是指已出现或新的资产威胁和危险的、基于证据的信息,包括情景、机制、指标、影响和可行建议,可用来通知企业针对相关威胁或危险做出决策。
威胁情报是企业攻防“重要一环”
2019年9月27日,工业和信息化部会同有关部门起草了《关于促进网络安全产业发展的指导意见(征求意见稿)》,意见指出,当下应着力突破网络安全关键技术,大力推动资产识别、漏洞挖掘、病毒查杀、边界防护、入侵防御、源码检测、数据保护、追踪溯源等网络安全产品演进升级。支持专业机构和企业开展网络安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务。
从情报的收集、处理、分析、传递,到反馈应对策略,每一个环节都需要海量数据以及强大技术“后盾”支撑。作为深耕网络安全20余年的腾讯安全,通过腾讯安全威胁情报中心,结合多年黑灰产对抗经验,对海量安全数据进行过滤和自动识别,形成威胁情报库,再从攻击意图、策略以及方法等进行行为模式分析,归入到不同事件等级,进而对外预警和响应,帮助各组织在庞大网络体系中快速反应,以应对不同层级的网络风险。
威胁情报的落地价值
识别高危病毒和APT攻击:腾讯安全威胁情报中心,通过海量安全数据处理,已实现24小时自动监测,可对病毒进行全方位扫描,自动加入威胁情报库、打上威胁标签、并丰富威胁情报上下文信息,并及时同步给相应组织和对应产品,避免机构在高危病毒或APT侵入下,网络系统陷入瘫痪。
2018年12月14日,腾讯安全威胁情报中心监测到一款永恒之蓝木马下载器,劫持“驱动人生”软件升级通道传播病毒,仅2个小时受攻击用户就高达10万。该病毒通过云控下发恶意代码,包括收集用户信息、挖矿等,同时利用“永恒之蓝”高危漏洞进行扩散。当天,腾讯安全威胁情报中心通过对数据收集、分析、处理,及时向全国首发预警,防止病毒进行全网扩散。根据腾讯安全威胁情报中心监测,该病毒仅2019年上半年就变种十余次,是影响范围最大的病毒团伙之一。近日,腾讯安全威胁情报中心还披露了一项在节假日祝福邮件中携带APT攻击组织的攻击活动,详情可以参阅“APT攻击组织‘黑格莎(Higaisa)’攻击活动披露”。
风险预估评测与未知威胁防御:腾讯安全通过对海量数据进行AI智能分析,能够识别、监测出具有高风险数据清单,进而对风险预测评估,形成反馈意见报告,帮助机构在危机出现之前,提前预知风险。
根据深圳市金融监管的实际需求,腾讯安全采用AI智能分析以及交叉对比的方式,充分利用大数据和金融“黑产”的技术积累,建立多维度的监测预警模型,将风险企业信息报告及时输出,提高金融风险网络化排查效率,实现非法金融“早识别、早预警、早发现”。
攻击溯源分析:腾讯安全通过机器学习,构建了一张巨大的安全知识图谱,自动识别黑灰产家族,无须人工干预,系统可自动将存在关联关系的病毒家族聚类到一起,从而实现溯源分析,为政府、企业、机构提供精准威胁情报参考数据,从而做出正确、快速的应对策略,还可以进行封堵预防。
2019年5月,腾讯安全协助警方侦破一项重大网络犯罪事件,该黑产团伙通过植入木马控制上千万台电脑,进行黑色产业变现牟利。腾讯安全威胁情报中心通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点,进行病毒代码的同源性分析、C2服务器注册、托管等线索综合分析,最终判断这5个影响恶劣的病毒团伙背后是由同一个犯罪组织操控,成功协助警方破案。
数据 智能 定制化 构建“军工级”防护网
根据《IDC MarketScape:中国威胁情报安全服务(TISS)市场,2018厂商评估》显示,腾讯凭借产品和服务成熟度、行业影响力和持续投入等维度上的优势,在入选的11家中国厂商中被评为行业“leader”(领导者),获此殊荣,离不开腾讯安全20年来积累的海量数据以及技术沉淀。
海量数据基础:腾讯安全覆盖全球PC、移动、云相关场景的数据触点,拥有全球最大的URL安全库、全国最大的样本库、和近20年网络安全基础设施能力。在情报生产运营上,拥有全国最大的安全大数据平台。
智能分析系统:腾讯安全在网络监测上,有着强大的安全运作体系,拥有全面覆盖攻击链的关联分析引擎,对内置关联规则持续积累并持续运营迭代。收集各类风险项目,从多种攻击方式建立围栏,对弱点探测,侦察跟踪、武器投递、漏洞利用、安装植入、通信控制进行检测,实施全方位保护。
定制化防御系统:威胁情报服务会对客户的网络环境、业务环境、所处行业、运用技术,针对性作出精准分析。在这点上,腾讯安全威胁情报依托海量数据库,针对不同行业提供定制化的服务方案,一方面,给企业提供充足的上下文信息,企业可依据自身的特定需求和风险状况,来设定优先级,做出最佳决策;另一方面,威胁情报中心和企业已经采购的安全系统相结合,在各设备之间形成联动效应,一旦检测到威胁,及时将威胁从网络中隔离。
在一次大型网络攻防演练活动中,为配合某大型企业输出攻防能力,腾讯安全依托威胁情报中心,成功阻断主动攻击3万余次,分析上报安全事件上千次,检测到新型网络武器攻击数十次,帮助客户成功抵御住攻方的网络攻击。
腾讯安全威胁情报提供的三大服务 腾讯安全通过大数据、人工智能等技术加持,依托海量安全数据,结合多年在黑灰产对抗经验,建立了一个强大的威胁情报生产平台,实时地产生各类情报,为各类用户提供最及时、准确、覆盖面全的威胁情报服务。
基础威胁情报服务:为了给企业提供高质量威胁情报信息查询服务,腾讯安全推出了为在线环境客户使用的腾讯安知威胁情报云查服务,并且也为专网、内网等非互联网环境客户准备了可私有化部署的腾讯安知威胁情报平台,两款产品通过腾讯威胁情报来检测不同类型的攻击事件,并可从中识别出高危的APT类型事件,确保客户及时有效地应对威胁,让损失最低化。
威胁情报云查服务:依托腾讯安全近二十年在网络安全工作中积累的安全经验和大数据情报,为客户提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务。
威胁情报平台:将腾讯安全威胁情报能力变成一套可私有化部署的威胁情报平台。目的是帮助客户在内网/专网/私有云等环境,实现威胁情报管理和能力应用的一套专业化威胁情报管理系统。
业务安全威胁情报服务:威胁情报作为业务安全重要支撑,腾讯安全天御团队从攻击者视角出发,发现和量化企业自身的风险问题,实时预警账号安全、接口安全、流量欺诈、暗网数据买卖等风险。从资源、接口、交易、工具四个维度监控黑产动向,提供详细完备的黑产洞察情报。
恶意资源:监测数十亿级别的黑产手机号、IP等资源。
攻击接口:蜜罐能力监测黑产业务场景攻击流量。
交易变化:从攻击成本评估风控策略有效性。
黑产工具:监测分析黑产利用的业务漏洞。
漏洞扫描与检测服务:漏洞扫描与检测服务是腾讯安全能力的延伸,不仅包含常见的SQL注入漏洞、跨站脚本攻击漏洞(XXS)、跨站请求伪造漏洞(CSRF)、弱密码漏洞等多种漏洞,腾讯安全团队还将威胁情报服务、安全大数据、安全应急响应中心等紧密结合,当网络上有新的风险时,腾讯安全团队能够第一时间掌握威胁情报,快速响应,提供专业处置建议,大大缩减风险潜伏时间,有效预防大规模入侵,降低企业安全风险。腾讯安全威胁情报中心通过高精度威胁情报,对网络安全和风险实时检测,帮助企业更快、更及时发现各种已知和未知的安全威胁,并根据企业面临威胁的不同阶段,快速做出响应措施,协助企业在内网、专网、私有云等环境下,构建一套完整防御体系,完善企业现有安全机制。
定制化解决方案 为客户提供贴身威胁情报服务
作为腾讯安全的底层核心能力之一,腾讯安全威胁情报为全线安全产品及各行各业解决方案提供基础能力支持,以直播、零售、金融、出行四大行业为例,腾讯安全的威胁情报能力协助政企客户打造定制化解决方案,为政企客户解决各类安全问题。
直播行业:依托腾讯安全防护系统,协助虎牙直播实现未攻先防、近源防护,通过威胁情报提前预知DDoS黑客攻击,一方面,有效解决了用户访问延迟以及网络攻击问题;另一方面,对于高危业务,进行威胁情报溯源分析,防止网络病毒恶意攻击,做到防范于未然。
零售行业:依托腾讯安全系统定制方案,为东鹏特饮公司提供威胁情报服务,通过调用天御风控API,给出用户评级,对营销风险提前作出预判,识别恶意行为并进行拦截,帮助企业过滤虚假流量,对抗羊毛党,打击黑产牟利, 每年帮助企业节省3000万营销成本。
金融监管行业:借助腾讯安全大数据平台,协助深圳市金融办对威胁情报分析、处理,识别了900余家风险企业,上半年向公安部门移交22家线索,先后预警10多个省市高风险企业,有效对潜在的金融风险进行防范和控制。
智慧出行行业:依托腾讯安全解决策略,利用弹性滤波技术自由组合异构特征,借助神经网络深度学习技术搭建智慧大脑,智能化分析、处理威胁情报,帮助同程艺龙自动、高效、精确识别黑产流量,节约百万级运营费用。
随着网络安全事故频频发生,企业级安全防范已成为企业生存发展重大保障,而威胁情报在一定程度上能赋予企业“未攻先防”先机策略,降低被攻击风险,为企业布下一道坚固的网络“防火墙”。