今年五月,全国信息安全标准化技术委员会按照GB/T 1.1-2009规则起草的国家标准《信息安全技术 网络安全威胁信息表达模型》开始进入征求意见阶段,北京启明星辰信息安全技术有限公司应邀成为模型起草单位。此项标准的制定意味着网络安全威胁情报将打破现有环境束缚,走向有国家标准的正轨,形成适合威胁情报发展的最佳秩序。
打破先手优势的超人——威胁情报
棋盘上的黑白子之争,先手自带优势,后手难免受掣肘,安全攻防之战也是如此。不法攻击方不单可以在暗中观察、旁敲侧击,更有突发先手进攻的优势,防守方事前无法察觉,唯有在事中、事后才能对进攻行为进行阻拦、修护,也正是因为长期的被动阻止让防守方开始将安全防守的角度放在了事前阶段。
四年前,也就是2013年,一个叫做“威胁情报”的技术在国内信息安全行业崭露头角,近两年威胁情报开始大火,但如何快速理解威胁情报是什么,先给大家举个形象的例子:
我们假设路人将从A点走向C点,而劫匪在B点提前准备抢劫。
这样就会发生两种情况:
第一种,路人毫无防备的在B点被劫匪抢劫走钱物,造成不可避免的损失。
第二种,有预知能力的“超人”在A点的时候提前告知路人,在他走到B点时,会被劫匪用刀具威胁等方式抢劫,路人可选择其他道路等合理的应对方式避免损失。
这第二种情况中提到的“预知能力的超人”就是——威胁情报
而威胁情报的种类很多,钓鱼网站情报、僵尸网络情报、C&C远程控制服务器情报等等数不胜数。
听说威胁情报被误解了
然而想要理解威胁情报,要从消除误解开始。
【漏洞情报是威胁情报的一种】——这句话揭示了大多数人对威胁情报的一个误区,那么正确的理解是什么呢?
1、漏洞情报与威胁情报是平行关系,两者不存在从属关系,两者都属于安全情报。而安全情报包括安全威胁情报、安全漏洞情报、安全事件情报、资产情报等多个类型的情报。安全情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。
2、那威胁情报和漏洞情报又有什么不一样呢?笔者非常认同启明星辰泰合产品部SOC产品总监叶蓬说法,企业敏感信息历来是一块“黑白”必争之地,守方需处于常年的警戒状态中,然而想要在这场持久战中保持上风,还是要熟知你我的优缺点的,就如同《孙子·谋攻篇》提到的知己知彼者,方能百战不殆。漏洞情报是知己,是一个了解内部情况、排查内部问题的过程;而威胁情报是知彼,为企业提供对方可能的攻击地址、方法等手段,提前帮助企业做好威胁防范。
威胁情报的出现
消除了对威胁情报的误解后,我们来看看威胁情报在国内的情况。
古希腊哲学家赫拉克利特曾说过——“世界上唯一不变的就是变化。”网络安全的战场上敌暗我明,对手的攻击手段一直在变换、升级,而企业在防御过程中因为没有前瞻性,一直处于太过被动的状态。如何从突发的出现问题到应急解决问题,改变为预见问题从而提前防范成了重点行业的迫切需求之一,这个时候一个叫做“威胁情报”的词就出现在了众人眼前。
关于威胁情报当初是怎么出现在国内的,有人说是来自民间力量的推动,有人说是大环境的需求,但实际上不论是哪一种,都离不开历史发展的必然性。命运先推动了一群人进步,这群人又推动了历史的发展,烽火台安全威胁情报联盟的创始人金湘宇(江湖人称:NUKE)就是先被推动的这群人中的一位。
2013年,金湘宇在寻找网络安全发展方向时,将目光转向了行业发展相对比较成熟的国外,在研究大数据安全、云安全、物联网安全等安全新领域研究时,一个叫做“威胁情报(Threat intelligence)”的概念走入了他的视线。正所谓英雄所见略同,在与当时国内的安全圈同行交流中,金湘宇发现他并不是唯一关注研究威胁情报的人,也发现国外安全政府和产业早已对相关领域进行了探索和实践。
威胁情报在美国
2001年美国9·11恐怖袭击事件的发生震惊了全世界,也让美国政府认识到保护国家安全、公民安全要依靠前沿的信息技术分析能力,2009年美国网络政策评估报告《确保信息通信基础设施的安全性和恢复力》提出建立有效的信息共享和事故响应机制,要求联邦政府、州政府、地方政府应与业界合作,预先改进现有计划并加强现有资源,以有效检测、预防及应对重大网络安全事故。
其后,美国政府于2011年发布了《国土安全网络和物理基础设施保护法案》,2013年发布了白宫行政命令EO-13636《提升关键基础设施的网络安全》,2013年美国第21号总统令PDD-21《关键基础设施的安全性和恢复力》,2015年《网络安全情报分享法案》等不断提出信息共享和威胁情报要求。美国安全产业也逐步的在产品中直接或间接的添加了威胁情报的属性,形成了威胁情报相关的系列标准,并在其国家级安全防护系统,如爱因斯坦中逐步开始了对威胁情报技术的应用。
可以说在美国,威胁情报的推行是自上而下的,从国家政府内部开始建立的完整威胁情报体系到抓住先机的网络安全公司,已经形成了较为成熟、完整的威胁情报产业链。其中像FireEye、SecureWorks、CrowdStrike、Lancope、Lookingglass这样的主营威胁情报的公司已经得到了政府、金融、能源、电信等行业广泛的认可,同时也意味着现有网络安全防御手段即将改变。
美国威胁情报的成长之路:政治推动- -技术成熟- -产品落地- -企业认可
威胁情报在中国
如果说9·11恐怖袭击事件是美国决定推行威胁情报的重要原因之一,那么《中华人民共和国网络安全法》就是中国推行威胁情报的重要原因。
合作中有它的身影——“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。”网络安全法第二十九条对信息收集、合作与建立相关行业标准和和协作机制做出了积极的指导意见。
监测预警与应急处置又见它来——网络安全法第五章监测预警与应急处置中的第五十一条至第五十四条,明确体现出了国家信息安全战略中对信息共享与态势感知的重视。从国家建立网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息,到关键信息基础设施安全保护的部门建立网络安全监测预警信息通报制度,再到要求省级以上人民政府及时收集、报告有关信息,加强对网络安全风险的监测,这一系列政策强有力的推动了威胁情报中最重要的部分——本源数据的共享。
最终到网络安全产品中去——网络安全法第三十一条中提到“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”目前网络安全法中提到的重要行业已经开始部署全面的网络安全产品,而大型安全厂商从2015年就开始对在安全产品中应用威胁情报技术进行了积极的探索。
中国威胁情报的成长之路:技术成熟- -政治推动- -产品落地- -企业认可
生产者与消费者
虽然美国使用威胁情报的时间较早,但国内外的威胁情报生态体系是相同的,都分为生产者和消费者。
生产者通过蜜罐、沙箱、终端等不同手段收集大量信息,经过初级或专业技术分析后提供给消费者,满足互联网、金融等行业提供持续安全运行的需求。
威胁情报的生产者可分为两种,第一种,拥有庞大的数据基础,可提供相对全面的初始数据与初级分析的情报,如腾讯等拥有先天优势的大生产者。第二种,多渠道收集数据,数据量虽小,但因目标性强,经过对数据的加工、处理、筛选等二次分析得到更贴近真相的威胁情报,如天际友盟、微步在线等精专的小生产者。因为国内外开放环境不同,国内数据收集成为小生产者的第一难题,但这一难题却在圈内产生了“筷子效应”,催生了以安全威胁情报为核心,打造平等互惠的新生态圈模式,共谋共策,推进威胁情报的标准制定及应用推广为宗旨的行业间协作组织-烽火台安全威胁情报联盟。
有生产者自然有消费者。威胁情报的消费就是消费者将威胁情报与其自身内部数据进行比对分析的过程也是威胁情报价值体现的过程。威胁情报最终有没有价值,有多大价值,取决于消费者这个环节。
企业级安全厂商的尝试
企业级安全厂商作为威胁情报的众多消费者之一,也在做新的尝试——将集生产者与消费者角色合二为一。启明星辰作为国内顶尖安全厂商对安全行业有着专业的敏感度,因此很早就认识到威胁情报的意义和价值,积极投入到包括威胁情报在内的各类安全情报的收集、分析、输出和应用之中。
启明星辰的生产者身份:启明星辰积极防御实验室(ADLab),成立了专门的威胁情报小组,通过多种途径、建立了广泛的合作联盟,能够持续地进行威胁情报信息的产生。ADLab尤其注重高价值威胁情报的产生,输出给国家和政府相关机构、客户,并及时输出给启明星辰的全线产品。
启明星辰的消费者身份:除了接入ADLab的自产威胁情报,启明星辰在2015年发布了基于SOC3.0理念的泰合新一代安管平台,平台能够自动同步/导入/抓取来自内外部的威胁情报和漏洞情报并予以利用,提高威胁分析的实效性和准确性。通过“泰合计划”,启明星辰的新一代安管平台已经能够与天际友盟、微步在线这样的专业威胁情报服务提供商对接。去年5月,启明星辰达成与腾讯安全云端的安全战略合作,其中就包括将腾讯的威胁情报能力整合到启明星辰的全线产品中,从网关到入侵检测再到大数据安全分析和安管平台。推出了基于威胁情报的持续性入侵检测解决方案通过与腾讯这类拥有庞大情报数据的厂商合作,使得启明星辰产品除了具备为用户网络提供在本地千万级的威胁检测、攻击识别能力之外,还可以实现云端百亿级威胁情报的云查。
启明星辰威胁检测产品部产品总监马骏表示,“信息安全是各个行业共同的需求,以企业为例,近几年全球各大企业被非法入侵,损失的数据资产难以估量,我国政府也出台了多项安全管理规定以适应新形势下安全工作的开展,进一步提高信息系统基础设施和业务系统的安全管理水平。2017年启明星辰与腾讯安全再次联手,对天阗系列、天清系列产品进行了升级改造,提高了产品利用威胁情报的检测能力,增强了对恶意行为的全面检测和阻断,同时可复用这些产品来支撑企业网内部的威胁情报生产和情报共享消费。”目前,启明星辰入侵检测及防护系统(IDS/IPS)、高级持续性威胁检测系统(APT)、入侵分析系统(DAC)等产品均融入了威胁情报能力。
不革新就要被“革命”的安全厂商
根据国外权威咨询组织预测,威胁信息共享市场需求强劲,预计至2018将每年将维持60%以上的市场增长率。与此同时,美国网络安全市场也掀起了一次以威胁信息共享利用为核心的全线产品升级,防火墙、入侵防御、安全日志分析等产品纷纷将对外部威胁信息的支持作为新的下一代安全产品必备特征。
然而对于安全行业来说,外来的和尚有的时候也不好念经。威胁情报有其特有的地域针对性,不同国家的攻击手段、类型、时间都有着极大的区别,因此威胁情报在中国还是要适应中国国情,走本土化路线。近几年来,像启明星辰等一些国内优秀安全厂商已经敏锐地认识到这一点,抓住时机将威胁情报与产品结合起来。
2015年,美国制定并启用了结构化威胁信息表达格式标准STIX和可信自动交换指示信息标准TAXII。去年,我国也开始制定威胁情报相关标准,对威胁的流程与信息交换做出标准解释。未来威胁情报必定会在国内掀起一波热潮,而各类安全厂商们如果不能做到跟进潮流的变换,及时对现有安全产品进行革新,则很容易在大浪淘沙中淘汰出局,反被革命。
威胁情报企业的路在何方
在采访的过程过,笔者发现三位大咖对威胁情报质量的衡量标准惊人的一致——质量越高的情报,可执行方案越精准。通俗来说,就像文章开头举的例子一样,我知道有人想在街转角打劫我,我知道我要防御或者规避。然而当前能做到产出如此高质量的威胁情报的企业都是中小企业,数据来源有限、产出情报成本较高,那做专业威胁情报的中小企业出路在何方?难道组成联盟才是必须的生存法则?
烽火台安全威胁情报联盟的创始人金湘宇说:收集、分析、汇集、分发、利用是威胁情报的生态链,烽火台安全威胁情报联盟中的企业都在这条生态链上,而联盟的成立也是想做事、做好事的公司们的一次尝试。一方面会有更多的公司推出利用威胁情报技术的新产品,另一方面也会加大公司间、产品间的协作和联动,逐步形成完整的威胁情报生态。”
未来安全行业会进一步融合,最终会变成什么样子,现在还很难下定论,烽火台安全威胁情报联盟作为一个探索者,确实为更多有想法的企业提供了一条新路。
原文发布时间为:2017年6月23日
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
