壹.当前信息安全攻防现状分析
情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报。威胁情报的工作让我们从知己走到知彼。在网络攻防中,知己知彼,才能百战不殆。
当前违规操作中,97%的违规行为在一天或更短时间内造成损害;同时,60%的违规行为在数小时内造成数据泄露;85%的违规行为需要“数周”或更长时间才能发现;90%的违规行为需要“数天”才能修复。
贰.传统信息安全防护体系面临困境
传统信息安全防护往往通过收集日志数据,并将安全事件与多类安全设备如入侵检测设备、Web应用防火墙等日志相关联,指导安全人员进行风险处置。然而,传统的信息安全防护体系有如下弊端:
• 难以从海量的安全事件发现真正的攻击行为;
• 某一点确认的安全事件不能及时在组织内及时有效地进行共享,组织内部难以有效协同;
• 不同类型、不同厂商的安全设备之间的漏洞、威胁信息不通用,不利于大型网络的维护管理;
• 斯诺登事件等揭示的国际攻击手段,通过目前的手段难以有效识别发现,亟需对现有安全体系进行升级。
叁.基于威胁情报的信息安全防护优势
Gartner,这家全球最早也最权威的信息化咨询研究机构在2014年首次发布了《威胁情报市场指南》,全球近50家公司榜上有名。在这份报告中,Gartner首次公开了对于威胁情报市场的预测:
By 2020, 15% of large enterprises will use
commercial threatintelligence (TI) services to
inform their security strategies, which is anincrease from today's less than 1%。
近1/5的应用率意味着有足够多的供应商、从业者成长为市场中的中坚力量。
完美的安全性既不可能实现也不切实际。我们的终极目标不是不出事,而是能力提升,通过快速检测和补救网络攻击,避免业务损失。准确全面的威胁情报能够极大扩展威胁防御的时空边界,是实施积极主动防御策略的关键,同时,也是攻防角色转变的需要网络攻击者和安全防护团队是一对矛盾体,特别是随着供攻防对抗技术的提升,往往此消彼长。攻击者发动攻击后,守方防护体系可能出现三种情况:
A——视而不见;
B——发现踪迹;
C——准确检测。
利用威胁情报,守方可从 A 情形转化 到 C 情形,实现从被动到主动、从无数据到有数据的攻防角色转换。
肆.基于威胁情报的安全体系建设与应用
1
威胁情报的技术体系
在技术层面,威胁情报中心分层架构分为情报收集,情报分析存储以及情报输出。
威胁情报原始收集
• 公共免费或付费的威胁情报中心接入;
• 通过蜜网系统收集互联网情报信息;
• 通过购买、情报交换,人工获取等方式获取。
不同威胁情报处理存储
为了将多源异构的威胁情报统一转换为标准格式情报以进行后续利用,使用数据转换程序将不同工具/语言的情报数据进行自动化的格式转换形成统一存储格式(可以参考STIX标准),减少各个来源情报中模糊不清以及冲突的问题。并通过静态映射代码处理,发现转换错误。
威胁情报输出
• Portal界面
用户按条件查询不同类型的威胁情报;
• API接口
将可机读情报数据通过API接口输出到安全平台上进行情报消费。
基于威胁情报的网络安全信息要素提取
针对收集的威胁情报应该包含以下要点:
图1 威胁情报要点
有了威胁情报数据,可以有助于评估当前面临的安全威胁的严重程度,并以可视化的方式呈现。
基于威胁情报的网络安全信息要素分析与展现
如下图所示,为通过态势感知平台以一定维度(如时间、IP地址,类型等)聚合安全事件,对聚合的时间做基于IP地址的威胁情报查询,随后套用特定的模型并呈现。
图2 信息要素查询与呈现
伍.未来展望
虽然目前威胁情报的应用只是发挥了其中的一小部分的能力,但是毫无疑问,从“威胁情报”获得的洞察力,为新的应用模式打开了大门。如果能够有效全面地利用威胁情报的各个技术要点,可以为安全从业者门提供全新的安全视角、更广的安全视野。随着各行业对于信息技术的依赖逐步加深,信息风险越来越突出,对于个人信息、商业信息和竞争信息的保护需求也越来越高。在新形势下,可以基于威胁情报建立一个全面的、符合自身特点的威胁情报分析模型,客观真实反映出存在的安全问题及其态势走向,这将会对我们的工作方式、工具产生革命性的提升。
