案例通过威胁情报分析行业风险.PDF

威胁情报正在和企业安全架构全面融合 赵毅 谷安天下高级经理 安全牛高级分析师 威胁情报正在和企业安全架构全面融合 • 一、概述－ 《威胁情报技术和市场指南报告》 • 二、应用场景及主要价值 • 三、案例：通过威胁情报分析行业风险 • 四、市场现状 • 五、局限性、挑战和趋势 • 六、资源 Summary 概 述 《威胁情报技术指南报告》介绍 • 近年来，“威胁情报”一词迅速出现在信息安全领域，许多安全企业 都在向客户提供“威胁情报”服务。但对于威胁情报一直以来并未有 标准行业定义，以致于“威胁情报所到底指何物？我们如何利用威胁 情报更好地完成工作？我们如何参考并建立威胁情报体系？”之类的 问题，十分常见。 • 本报告对这些问题一一进行了分析和解答。文中描述了威胁情报的基 本要素，介绍了威胁情报的技术实现原理，探讨了如何完成威胁情报 的收集，分析、交付、使用工作，使得在不同场景不同层面上，协助 包括基础作业层、专业技术层和管理决策层用户等人员更好地完成安 全工作，并此基础上结合整体防御体系在探讨了威胁情报的未来发展 趋势。 • 本报告由安全牛顾问团队，通过调查国内在威胁情报相关技术产品上 作的较为突出的公司，并结合当前最新的相关资料撰写。 关键发现 • 1. 威胁情报是根据企业不同业务特征和需求，提供有关信息安全威胁，漏洞，事件和其他安全相关问题 的信息。同时提供关于攻击者的身份、动机、特征和方法的信息。而这些特性可以一一从本文介绍的威胁 它又是怎样发挥作用的。 • 2. 威胁情报可以为不同层面的用户提供价值。不仅仅为运维团队、安全应急团队等提供技术参考，还有 一个非常重要的价值是协助用户决策层如何分配好合适的安全预算，评估企业第三方供应商的安全级别， 来降低企业所面临的风险。 • 3. 威胁情报的技术应用需融入从威胁检测到应急响应的整个生命周期，全面减少安全风险暴露的时间 ， 而这个时间窗口是由企业防护者最为关心的、也是衡量企业安全能力的两条重要指标共同构成的，即平均 威胁检测时间和平均威胁响应时间。 • 4. 行业标准及规范是建设威胁情报体系最好的参考 ，STIX、 CybOX 、TAXII、OpenIOC、NIST 800- 150、OpenDXL等都是威胁情报行业最具参考意义的标准规范。 • 5. 威胁情报在未来有望推动安全产品及服务模式的升级，使未来服务及产品的模式从“事件驱动安全” 转向围绕“情报线索来驱动安全”的思路来进行。同时，为催化新一代安全产品的产生起到指导性作用。 威胁情报的三个关键特征 Gartner定义： “威胁情报是一种基于证据的知识，包括上下文、机制、指标、影响、操作建议等等，用来发 现资产已经存在的问题或可能面临的威胁。” • 我们从甲方的角度进行下解释： • 威胁情报是以数据形式存在，由第三方专业机构提供的网络安全威胁信息，可进行传输交换、 关联分析、挖掘应用，可以反映出组织存在的网络威胁和安全影响，不限于设备日志、报警 或描述威胁事件的情报消息。并具备以下三个关键特征：自身相关性、威胁源描述、多层面 技术实现 情报分析： 信息与情报、正确性与优先级；噪声-数据-信息-情报-可执行情报。 Application Scenarios and Value 应用场景和主要价值 基于用户角色的不同场景和价值 核心价值 对企业自身来说威胁情报作 用于威胁检测到应急响应的 生命周期，缩短了检测和响 应的时间 ； 对于监管部门和风险控制部 门来说提供了对监管对象和 供应商网络安全状况评价的 客观依据。 为日常安全运维提供技术支撑 日常安全运维是基础设施安全保 障的重要环节，参与该层面的人 员包括日常运维人员、安全运维 人员、基础的安全服务人员等； 组织信息中心的日常安全运维人 员在事前、事中、事后的安全事 件处理过程中，利用威胁情报所 提供的恶意软件签名、黑名单等 数据对事件进行辅助判断，决定 防火墙、网关、IDS / IPS系统和 其他安全产品是否采取阻断控制。 为专业安全分析提供有利资源 在情报领域常被提起 “战术情报”， 主要指导了专业的执行层面