威胁情报已经很火了,那它的现状和发展如何?——首届安全分析与情报大会纪实(上)

2017-12-01 435805人围观 ,发现 2 个不明物体 活动

“威胁情报”这个词,对于很多人而言早已不算新鲜。近几年来,国内外不论是安全厂商还是甲方企业还是国家政府,都越来越重视威胁情报的发展。今年五月,全国信息安全标准化技术委员会按照GB/T 1.1-2009规则起草的国家标准《信息安全技术网络安全威胁信息表达模型》开始进入征求意见阶段,这项标准的制定意味着网络安全威胁情报将打破现有环境束缚,走向有国家标准的正轨,形成适合威胁情报发展的最佳秩序。

在安全从业者眼中,及时的情报共享是高效威胁响应的重要因素。在企业眼中,威胁情报是越来越多同行所采用的安全手段,对于安全而言似乎很有用,但很多情况下,企业并没有真正了解威胁情报的定义,在接入威胁情报业务后,也并不能充分、高效地利用。有调查显示,84% 的受访者都认为威胁情报应该是安全建设体系中必备的一环,但有59%的人都认为自己所在企业和机构并没有有效利用威胁情报。原因是“威胁情报数据太庞大、太复杂且不够智能”,无法直接提供指导性内容。

那么在专家学者和安全厂商眼中,威胁情报的现状与发展是什么样的?现在有怎样的应用实例?安全厂商与企业应当如何沟通合作,才能共同推进威胁情报的发展,让其真正有效的为安全服务?关于这些问题,威胁情报分析专家、威胁情报践行者和威胁情报所面向的行业客户,都各有思考。11 月 29 日,由微步在线主办的首届网络安全分析与情报大会为这些思考者提供了一个交流的平台。

封面.jpg

本篇属于大报道上篇,主要记录了大会上关于威胁情报现状与发展的探讨,下篇将重点关注威胁情报的应用

CNCERT 严寒冰:国家网络安全与威胁情报共享

说起威胁情报,我们要参考一下威胁情报发展较好的美国。最早在美国,威胁情报更广的是信息共享,在克林顿时代就出现了。最后又通过爱因斯坦计划、ECS 计划等落实。在战略层面,美国对威胁情报有完整的规划和体系,不仅做实事,也抽象到文字层面来指导网络空间防护工作,这一点值得我们借鉴。而在中国,要想建立起网络空间的纵深防御系统,需要有核心的技术体系和信息共享的体系。

首先,各个行业都建立起各自的安全防护体系,最后综合行程覆盖互联网、大型专网,跨区域、跨行业纵横交织的综合网络防御体系其次,以技术体系为核心,把政府教育科研机构、各行各业包括安全企业连接起来,形成一整套威胁情报体系。目前,政府在威胁情报体系建设方面也采取了一些举措,不仅有 CNCERT、CNNVD 等官方网络信息共享平台,在立法上也有了进步。在刚刚实施的《网络安全法》里首次明确提出了网络安全信息共享这个词,并且明确涵概有关部门、关键信息基础设施运营着以及网络安全服务机构、有关机构等等之间的网络安全信息共享方面的要求,应该说我们国家在法律方面已经迈出了的第一步,但是后面需要实施的东西还非常的多。

总体而言,威胁情报的工作让我们从知己走到知彼。在网络攻防中,知己知彼,才能百战不殆

微步在线薛锋:从攻守不对等到情报驱动的安全智能

作为微步在线的 CEO、此次大会的主要筹划者,薛锋从情报的发展以及智能化的角度分享了自己的观点。 

网络攻防其实很不对等

首先在时间上,坏人(攻击者)的时间往往比好人(防御者)的时间充裕。现实生活当中坏人可能在各个时间攻击,平时大家工作忙碌,一旦出现应急响应事件,就已经处于时间上的不利位置了。就像拆弹一样,往往一开始拆弹,炸弹上的时间表已经哒哒作响;

其次在工具、资源上,坏人的装备比好人厉害得多。二十年前从事安全行业时,防御装备是防火墙、IPS/IDS,到后来有了 WAF,到现在我们用的还是这些装备。但攻击者的工具却一直在变化增长。原因也有迹可循,防御者买工具时,企业往往会考虑成本问题;而坏人买了工具就可以收获高额利润,投入产出比高,所以他们很舍得花钱买工具。此外,攻击者可以利用其它坏人的工具或资源来进行攻击,以 WannaCry 为例,据说是朝鲜人利用俄罗斯人盗窃到的美国 NSA 的代码来发起攻击,结果中国却成了最大受害者。这就是资源上的不对等;

最后在人数上也不对等:安全团队规模一般都很小,但企业可能遭受的攻击却来自四面八方。而且安全团队往往专注于自家公司,有些个人自扫门前雪的意味,但攻击者却往往会针对多个目标发起攻击。

此外,更需要注意的一点是,攻击者的自动化程度很高、数量很多。很多时候企业甚至不知道自己对抗的是人还是机器,也不了解对方的情况和意图,攻防的状态大多是敌众我寡敌暗我明。这才是最大的挑战。所幸人们逐渐认识到安全的重要性,在探索中,我们也发现,在这种攻防不对等的情况下,自动化和共享其实是未来的一个大方向。

薛锋

情报的演变

安全的问题归根到底可以说是大数据的问题,而应对方式就是利用一个小数据来解决,那就是云计算技术,这可以说是对我们有利的一点了。在攻防中我们可以利用云计算大量采集流量,采集日志,做分析,最后发现攻击者的信息。就像我们在街上装了很多摄像头,拍到很多人。小偷偷东西被拍了,他也没办法擦除摄像头里的信息,他经过的每条路都会被记录下来。这是网络攻防双方第一次的非对称,也是我做威胁情报的原因。

2015 年,我们尝试做了 Virusbook 的产品,主要是想对安全事件、黑客数据进行分析,对所有信息做关联分析,这是最早想解决问题的出发点。因为我们发现大家在面对攻击事件的时候没地方去找线索,在百度上也不可能查到一个木马的信息。大家需要一个专业的平台,所以这是我们的起点。

从 2016 年到今年,我们看到威胁情报有很多不同的落地方法,最显著的一个是跟 SOC (Security Operations Center,安全运营中心)的结合。但现在,SOC 出现了很多问题,因为大部分 SOC 都是输出导向而不是结果导向的。有人建了 SOC 之后,就疯狂收集成百上千种数据,结果发现根本没用。SOC 的正确利用方法其实是,在收集前先想一下为什么收集这些日志,收集完对自己有什么帮助,这样一来就省钱又省时间。其他的利用方式包括:利用威胁情报把整个网络安全的状况监控起来,也有基于端上的叫 EDR 的监控。我们后来出了两个产品就是为了解决这些问题(只给用户数据但用户却用不了的问题、用户方没有专业人员就不能使用的问题),这都是威胁情报和安全企业在产品化上需要解决的问题。

基于情报的安全智能化

首先打个比方,最近互联网公司都争先恐后地发布智能音箱,原因是音箱已经今非昔比。过去他只是个播放器,而现在则成了人机交互的界面,可以用于控制台灯、空调等各种设备,大大提升用户体验。在以前,这些设备都是一个个遥控器控制的,不仅麻烦,人机交互体验也很不好。类似的,安全场景也很乱,且安全状况更糟糕。每家企业都有十几、几十个厂家的几百台设备,比如有20台A厂商的防火墙,20台B厂商的防火墙,如果要做操作得上每一个操作界面做修改配置,其实是一个非常烦琐冗余的过程。但这一点肯定会改变,可能目前一个产品不能支持这种联动和互动,但是未来的趋势一定会支持,因为这是用户需求,也是大势所趋。

智能音箱.jpg

在家庭场景下,这种控制性的“情报”来源于人类的需求和大脑,想到要开灯,就是一条情报,然后通过语音形式告诉智能音箱开灯。未来在安全场景中,威胁情报就是安全智能化中的智能音箱,联动着各种安全产品。

在过去,一个应急响应流程很慢、很复杂且容易出错:

客户安全人员看到威胁报警——找厂商帮忙——厂商拉群,要求客户给某工程师发邮件——客户发邮件但因为邮件中包含木马病毒样本,被邮箱拦截——客户加密邮件重发——工程师收到邮件,花一到几小时分析再返回给客户——客户看到报告后安排安全人员做防护措施——工作人员花费几十分钟操作防护设备

但在理想情况下,可以简化成三步:

在客户端部署相应的设备或者安全分析平台或者其他情报平台;

客户看见报警能够自动在情报平台里点击发起服务传到情报厂商平台;

平台可以自动调用 WAF 的接口或者防火墙的接口

整个过程可能在一个小时之内或者30分钟之内就可以完成,不需要像前面一样各种群来来回回讨论这个事情。之前那样费时费力,哪怕 IP 的复制粘结也非常容易出错。所以整个过程一是实现了自动化,二是对原来你买了很多设备的利用率和他的使用效果都其实起到了很强的提升作用。这并不是来替代你现在买的防火墙、SOC或者其他产品,而是提升它的效率。

威胁情报.jpg 

情报在企业中的使用与生产

在情报的具体使用中,可以用到三种工具:主动防御模型、情报积累、钻石模型。

主动防御讲的是一个企业怎么用情报主动发现一些对我们造成危害的攻击。过程就是,获取情报、理解情报,把情报用在安全监控的措施里,比如说网络流量的监控、日志的监控、终端的监控,通过这些流量的分析和情报应用过程。这里面包括了简单的IOC,包括了基于异常行为关联分析各种各样的结果。在发现问题之后就触发了第三个阶段叫应急响应,在处理过程中情报应该给你提供一些比较有价值的信息,不应该只是告诉你这是一个黑名单,或者说这台机器有问题,而是应该告诉客户有什么问题。这样的话客户确认这个事情他要不要去处理。最后一个阶段就是系统加固和调整的阶段,有一些是木马清掉就好了,但是还是有很大攻击不是木马的问题,有可能是系统有漏洞或者是配置问题,所以根据情报从应用情报、消化情报、响应,到最后调整这个系统,其实是一个很好的主动去发现企业的被攻击的状况,然后调整的极一个机会。

情报积累,除了买第三方安全公司的情报,或者其他单位的情报之外,大家应该非常关注跟自身直接相关的情报,因为这些情报跟我们相关性最强可能也最有价值。有一些模型可以实现从扫描侦查做武器、投递武器到最后数据窃取。

DSC04716.JPG

钻石模型,是指在每一次攻击里面其实都可以分析敌人是谁,然后敌人有什么能力,敌人手里有什么基础设施和工具。通过钻石模型可以发现有木马攻击你了、发现黑客制作恶意文档、在运营的解析日志里面、IP 里面会发现你曾经访问过黑客的服务器、或者企业里面其他的笔记本服务器其实连过这个黑客,然后通过黑客的域名看到别人发送的信息。当然这是一个非常简化的理想的模型,但是这个钻石模型能够帮助我们去梳理发起攻击的敌人是什么、敌人有什么能力、敌人想干什么,这些都非常重要。如果你只是简单把它当一个病毒或者木马,那么这次分析对的价值就不明显了。

利用威胁情报,发现自己被黑反而是个机会。敌人能打进来一定是发现你的缺陷或者是漏洞,如果你能快速的响应别人不仅没有偷走你的信息,你能够快速堵上这个门,而且还有机会了解这个敌人是谁,他想干什么?可能很多企业到今天为止并不一定非常了解那几个或者几十个想攻你的人到底都是什么人?到底都想干什么事情?他在哪里?他是什么组织?我们大部分时间并没有机会跟他们过手。

当然这个过程中其实也带来一些挑战,比如你怎么管理你想积累的情报,这些情报我们会积累在什么地方。另外与黑客 交手之后,能够发现他的一些工具、IP、木马、身份,但是这些都会不断地变化,会有新的工具、新的IP、新的木马、新的身份,所以长期跟踪就变得非常重要,也有其他手段来实现跟踪。

威胁情报业务的进展

2015 年成立至今,微步入选了 Gartner 的威胁情报市场指南,服务行业涵盖金融、能源、互联网、政府等行业,主要是因为产品和服务能够真正有效。例如黑客画像系统,可以同时追踪国内和国外大概一两百个各种各样的黑客攻击的团伙。我们对这些团伙进行了画像,有点像“黑客版”的百度百科或者维基百科,里面可以看到大量对各种黑客团伙的描述。更重要的是,我们能自动跟踪这些团伙的信息,因为我们有大量的模型找到这些黑客,比如说曾经黑过你的一个黑客明天又搞了一个新木马,后天又搞了一个新IP,这个很大程度上都离不开我们的监控。有消息就能自动推送给用户,并告诉用户怎么处理。

小结

事实上,在中国,情报公司的产品化的能力其实是非常重要的,光是提供一些数据,并不能解决客户的最大问题。而诸如威胁情报社区从查询平台到威胁情报共享平台、免费沙箱系统、基于人工智能和大数据关联数据的追踪溯源平台等,都是智能化的体现。以威胁情报驱动的设备之间联动以及情报驱动的适应性来纵深防御体系,这将是”威胁情报的安全智能化之路。

威胁情报专家金湘宇:威胁情报的发展展望

据国外某项调研显示,威胁情报的排名前三的用户分别是 CISO/CSO、应急响应团队、合规,这在一定程度上指明了威胁情报的重要客户。但是,很多用户都表示威胁情报并不好用,因为数据杂乱、员工缺乏经验、责任不清楚、合适的技术装备少等因素,造成用户有数据也无法利用好。因此,如果威胁情报想要卖的好、用的好,它一定得跟体系或者产品很好的结合。目前,许多企业对威胁情报还处在在观察阶段,但是这个观察的过程中已经有很多用户决心要用。从当前广泛的与 SIEM 结合到未来逐渐用在入侵检测、入侵防御、防火墙、WAF、终端安全技术中,威胁情报其实在逐渐从战略、概念发展到落地。

金湘宇.jpg

最早的威胁情报是结构化的文档,属于偏战略的情报,可以分为目前主流的以及未来会升级的。此外还有战术情报,包括溯源分析(人机之间)、回溯展现(界面交互)。随后的发展越来越偏向设备落地,如 FEED 方式(钓鱼域名、IP、扫描IP、DDoS IP,或者常见的代理或者逆命化网络的出口的IP、样本的 Hash 等),往往是热名单,命中率较小。但 FEED 会发展演进,除了 IP 域名之外也可能会提供一些 Snort 规则、YARA 规则、SCAP/OVAL 规则、PoC、工具 Hash 等。未来,威胁情报更多会集中于 API 的提供方式。事实上,不论是甲方还是公司,都很难把所有东西放在一起,未来还是分布式存在,以 API 的方式提供情报的查询,这样有助于保护知识产权,也能防止黑产利用威胁情报。

此外,威胁情报自身在未来也需要有演进,首先要可执行,即实现自动化,利用机器输入代替人工输入,让用户能在最短的时间内利用情报进行快速响应;其次要降低门槛,尽量减少人工参与,而是让设备或方案自身就能合理利用,此外,由于自动化需求变高,未来以 API 或其他标准化的方式提供威胁情报将是个发展趋势。具体说来,威胁情报的价值并不在于发现 APT,它真正的价值实际上是让大家把所有的跨厂商,跨品类的安全设备,安全体系连起来,甚至把跨体系的安全组织也利用起来,大大提升应急响应能力和分析能力。美国的 IACD (集成的自适应网络安全防护框架)就是在做这种体系化的事情。

可以说,自动化、标准化、体系化将是威胁情报发展的必由之路。

(更多精彩请看下篇报道)

*本文作者:AngelaY,FreeBuf 官方报道,转载请注明来自 FreeBuf.COM。

更多精彩
相关推荐
发表评论

已有 2 条评论

  • baixuege  (1级)  2017-12-05 回复 1楼

    从 2016 年到今年,我们看到威胁情报有很多不同的落地方法,最显著的一个是跟 SOC (Security Operations Center,安全运营中心)的结合。但现在,SOC 出现了很多问题,因为大部分 SOC 都是输出导向而不是结果导向的。有人建了 SOC 之后,就疯狂收集成百上千种数据,结果发现根本没用。SOC 的正确利用方法其实是,在收集前先想一下为什么手机这些日志,收集完对自己有什么帮助,这样一来就省钱又省时间。其他的利用方式包括:利用威胁情报把整个网络安全的状况监控起来,也有基于端上的叫 EDR 的监控。我们后来出了两个产品就是为了解决这些问题(只给用户数据但用户却用不了的问题、用户方没有专业人员就不能使用的问题),这都是威胁情报和安全企业在产品化上需要解决的问题。

    第四句明显的错别字啊,收集打成手机。

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php