谷安天下安全值产品总监 赵毅
谷安天下关注威胁情报这个领域已经有两年的时间,赵毅表示通过调研发现,国内国外有非常优秀的数据资源,威胁情报的本质就是数据。但数据的纬度是不同的,因此如何把数据用好,是我们想要解决的问题。数据分析和处理或者是机器学习,不是谷安的长项,但我们可以基于威胁情报生成一些信息,并形成产品。另外,谷安天下是做风险管理出身的,所以用威胁情报来做风险管理是强项。
微步在线创始人兼CEO 薛锋
微步在线创始人兼CEO 薛锋表示:“大家至今对威胁情报的理解还有很多不同,但这种百家争鸣、百花齐放的环境是非常好的。我们做威胁情报最核心的是数据和对数据的分析,分析之后提炼出来有价值的东西。”
他认为:“威胁情报还是离不开数据的。“数据来源多种多样,数据的变化也是瞬息万变。如何对这样数据进行关联分析,提炼有价值的内容非常的重要。所以威胁情报最重要的是分析师,尤其是对甲方,如果没有很好的分析师的话,其实买再多的设备、雇再多的人也没有什么用。威胁情报公司应该是严谨的,一百次的威胁分析成功了九十九次不叫成功,只要误判一次就是失败。
白帽汇创始人兼CEO 赵武
白帽汇于2015年8月成立,团队主要来自于360和华为,有着深刻的,专注于做安全大数据和企业威胁情报的基因。谈到威胁情报,白帽汇创始人兼CEO 赵武是这样理解的:“我们认为的威胁情报,如果大家都在说这个东西,那一定不是威胁情报,因为你知道,别人也知道。所以我认为众人皆知的不能叫威胁情报,因为信息安全最核心的本质就是信息不对称。我们跟踪的一定是你不知道的,或者你之前没听说过的,我才把它叫威胁情报。”
目前的主要安全威胁有:企业未知的隐形资产、Nday攻击(黑客买白帽账号批量攻击)、外部数据威胁。面对这些威胁,为什么企业跟安全公司对抗的时候,落后的一定是安全公司,而不是黑客。赵武认为因为我们跟踪黑客的情报的时候会发现,安全公司至今很难进行友好的联动,但是黑产至今互相的联动非常之紧密,分工合作得非常好。那我们为什么老去防护,而不能去攻击?我们能不能做一个攻防的转换,把战火烧到敌人的阵营?
他表示,我们需要对黑产进行情报监控,打击黑产,对黑客进行画像,最后实现黑产反制。并强调:“安全的环境一定不是等来的,而是通过打击黑色产业得到的。把攻击者进行抓获也好,进行惩罚也好,反正安全的环境等是等不到的。”
CS3威胁情报解决方案峰会上,各家厂商都展示了哪些产品和解决方案?
360威胁情报中心
360威胁情报基础信息查询平台TI.360.com具有关联分析和海量数据两大特色。安全研究人员在360威胁情报基础信息查询平台提交域名、IP、样本信息等进行搜索,将得到360威胁情报中心所提供的云端数据查询结果。这些信息结合对应的分析,对帮助研究人员定位安全威胁可以发挥关键作用。
目前360威胁情报基础信息查询平台拥有全球独有的样本库,总样本超过95亿;互联网域名信息库则有高达50亿条DNS解析记录;此外,还有众多第三方数据源。基于海量数据,平台帮助用户进行分析,可以拓展关联信息,挖掘出在企业或组织内部分析中无法发现的更多线索。
共用威胁情报的协作平台:IBM X-Force Exchange
这是一个使用,分享,并依情报来行动的新平台,以IBM X-Force的积累和规模为后盾,拥有丰富的威胁情报资料。刘璐莹表示,基于十几年的积累,IBM目前记录的完全独立的、真实的漏洞,超过9万,是全球最大的漏洞库之一。目前恶意IP数量86万,URL和域名分析数据库的量在250亿以上。基于这些数据能够监控到全球高发的、严重影响的安全事件。这些数据通过IBM X-Force Exchange这个开放的、可操作的、社交的情报平台,把X-Force多年的积累开放给公众。目前这个平台支持一些业界通用的威胁情报交互格式。你可以通过标准格式和自己现有的产品方案、学习工具来进行集成。同时,它还是一个社交平台,可以进行思路上的分享,多向沟通。
威胁情报的新应用:安全值
谷安天下现场发布威胁情报应用产品——安全值,仅用5分钟即可量化企业安全风险。谷安天下将威胁情报体现在安全值上,就是一种整合资源的能力,通过专业的视角,发现未知风险,对风险进行量化。安全值一共整合了100多个威胁情报数据资源,利用大数据挖掘分析方法,对实时情报数据进行风险分析,量化计算风险,提升用户的风险管理能力。