中国IDC圈4月8日报道,随着传感器的增多、可穿戴终端技术发展、以及深入生活的各类应用出现,任何设备都将接入互联网,由此带来的安全挑战前所未有。攻击入口无处不在,单纯基于漏洞或者关键资产的防御方式已经力所不及。企业需要更加全面高效的防御方式,在安全的环境中发展壮大。威胁情报的出现为传统防御方式带来了有效补充,它立足于攻击者的视角,帮助我们更好的了解威胁,帮助我们在遇到威胁时能够准确高效的采取活动。
目前,威胁情报无疑是非常火爆的安全防护体系的概念。但是在国内,它还没有很成熟。3月30日,由安全牛主办的“CS 3:威胁情报解决方案峰会”在京举行,来自360、IBM、谷安天下、微步在线、白帽汇五家厂商的专家从不同的视角分别介绍了各自对威胁情报的理解和相应解决方案。
什么是CS3?
据安全牛主编李少鹏 介绍,CS系列论坛是“专注安全解决方案的大会,我们面向的主要是用户,讲的是自己的产品,解决的是甲方面临的安全问题。我们不怕打广告,但我们演讲的产品和方案,都是经过安全牛精心选择过的,值得推荐的优秀产品和方案。”
CS不讲攻防,不讲战略,讲的是安全需求和解决方案,讲的是企业或机构即将面临的问题和急需解决的痛点。CS 3,顾名思义为CS系列的第三场论坛。目前,CS系列参与方包括360、蚂蚁金服、普华永道、乌云、RSA、IBM、谷安天下、网康等业界知名互联网公司和安全公司。
什么是威胁情报?
根据Gartner的定义:“威胁情报是一种基于证据来描述威胁的知识信息,包括威胁相关的上下文环境信息,采用机制、指标、影响与行动建议等。这些用以描述已经存在或正在发生的攻击威胁的信息,可以被受害目标用来进行决策并对威胁进行响应”。简单来说,威胁情报就是可以帮助人们识别安全威胁并做出明确决定的知识,就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。所谓的情报,具体讲,通常可包括hash值,ip地址,域名信息,网络与主机攻击,工具,TTPs等。
威胁情报有何用武之地?
威胁情报可以帮助人们解决如下问题:
如何跟得上包括恶意攻击、攻击方法、安全漏洞、黑客目标等等在内的如潮水般海量的安全威胁信息?
面对未来的安全威胁,如何获取更多的主动?
如何向领导汇报具体安全威胁的危险和影响?
做威胁情报的厂商有哪些?
目前做威胁情报的厂商为数不少,国际上主要有:赛门铁克,iSight Parnters,火眼,CrowdStrike,Lookingglass,IBM,Webroot,Dell Security,Verisign iDefense等。
国内主要有:微步在线,360,谷安天下,白帽汇等。
CS3威胁情报解决方案峰会上,大家都说了什么?
360网络安全研究院院长 宫一鸣 & 天眼实验室负责人 韩永刚
宫一鸣:“直接谈威胁情报是空中楼阁,在某种意义上我认为威胁情报有点像金字塔的塔尖,而基础数据时走向塔尖的基础。在某种意义上有点像是造砖头,我给你造各种各样的砖头、各种尺寸的砖头,有砖头才能盖楼。而且,任何数据都是有价值的,要懂得如何看到数据的价值,并发挥其价值。”
韩永刚表示:“数据是看见安全的基础,所有网络行为都会形成痕迹,有痕迹就有数据,安全大数据是形成看见能力的基础;有了数据还要有数据连接能力、数据分析和挖掘能力,结合安全经验,才能形成看见能力。威胁情报来自于数据,最后还要回到数据中去,威胁情报最终回到客户侧才能发挥它的作用。威胁情报要结合本地各层面数据的采集、还原、分析能力,才能有效发现威胁,而自动化响应则是应对威胁的又一关键点。”此外,韩永刚认为,对安全事件,以前能做到的是发现和响应,现在有了威胁情报,还能够做到取证、拓展、溯源。
IBM中国区安全技术高级工程师刘璐莹
据刘璐莹介绍,IBM做安全应该可以追溯到上世纪80年代,从主机安全开始,IBM进入了安全领域。从那个时候开始,一步一步走到今天。经过不断的整合和收购,现在IBM已经形成了一整套安全体系架构,在整个安全市场里,目前IBM排名第三。所以可以说IBM是一家安全公司,而且还是一家很大的安全公司。
她认为,情报最重要的有三点:第一,要有,要查得到,数据相对来说比较完整。第二,要能够触发到我,因为很大的数据库可能放在某个地方,可能没有办法跟我实际的情况联系起来。第三个是要能够自动化地利用起来这些库,而不只是查询。