威胁情报重塑安全边界.docxVIP

Threat Intelligence已经成为安全业界的最新热词，IDC在今年的企业安全报告中就不止一次的提到了Threat Intelligence，在赛门铁克的报告里则把它翻译成“互联网疫情”，当作互联网领域流行的病毒。而其实在今天的环境里，我们面对的已不仅是病毒木马，还有各种形式的网络供给，如ATP攻击等。因此我姑且把Threat Intelligence称为“威胁情报”。 我们说安全是强调背景的。当你遭到攻击，首先要搞清楚攻击的背景：谁在攻击，为何攻击，何时攻击，如何攻击，是否成功，攻击造成的损失，是否存在关联攻击，以及除你之外是否还有别的攻击对象。如果你不掌握这些信息，就说明你对威胁的评估还远远不够，您只看到了冰山一角，还有十分之九在水面之下。 从这个角度来讲，如果你已经成为了攻击目标，Threat Intelligence（威胁情报）对防御来说就是非常重要的。不知攻击，一切无从谈起。只有掌握足够的资料才能对攻击进行有效分析、做出准确快速响应并从别人过去的响应和响应效果中来得到有效的应对方案。“攻击情报”可以帮助你掌握全局的状况从而节省成本。如果没有外部情报的获取，所有的东西都要自己做的时候，防御的成本势必会比较高。 IDC在讲Threat Intelligence的时候，讲到2015年的第三平台发展趋势，这个趋势是大数据驱动的Threat Intelligence，这一点非常重要。目前全世界对于新型的攻击的防卫手段都是基于大数据的。而过去的防火墙则是基于一部分数据，因为过去用户对误报的容忍度非常低，在产品建造过程中要防止出现太多误报，所以报警信息是宁可漏报，而不误报。这样就会造成日志分析系统漏掉大量的攻击信息。而在当今的攻防时代，这是难以接受的。 从去年开始，全世界范围内出现的新型防御产品，基本上都是基于大数据全流量的分析，大数据已经变成了现代防御的基础。其他安全公司的安全软件和安全设备都可以作为信息源，360的天眼也是这样的产品，将所有的流量都听下来。 但有了大数据，不见得就有了智能。2015年还有一个趋势，就是分析。分析是真正的智能——即攻与防的智能，知道别人用什么样的攻击手段，我们才能知道用什么样的检测手段。所谓的Threat Intelligence，我的理解就是攻防支持。有这种计算能力，才能从大数据的分析中知道谁在攻击、攻击方法、是否已获取信息，这就回到了Threat Intelligence。大数据的分析和攻防支持都是基本能力，二者叠加才能产生Threat Intelligence。 “威胁情报”的落地之道 Threat Intelligence对于一个企业或者是一个机构是否能有效运作？很不幸，它不能非常有效的运作，除非你的组织足够大，可以养很多人，并且能获得的信息量也很大，只有这样才能让威胁攻击分析真正有效。我们可以为数千家企业搭建了一个很大的网络，将攻击的结果送到公有的云中心。在用户的边界上采集一些流量，进行初步处理之后，将可疑的信息送到云中心，云中心做集中化处理。当发现一些攻击之后，再把这些攻击的特征共享给这个网络中的其他企业。在主流的防御里面，Threat Intelligence非常重要的一点就是情报分享。它并不是试图在某一个小企业里做这件事情，而是更大的范围。 早在五年前，360年在中国互联网用户中做的云查杀就是这样一种功能。有一个用户被木马攻击，360抓到了这个木马的样本，就会提取特征，在云查杀引擎里标注，全网的所有用户都可以拦截这个目标，这本身就是情报分享。 企业市场和个人市场有很大的不同。在个人市场，用户被一个木马攻击了，影响有限，企业如果被攻击了，首先是不希望这件事情被别人知道，如果被知晓就会引起对攻击结果的关注，攻击如果造成了损失就会直接影响到相关负责人的业绩甚至是职业生涯，所以企业的真实情况倾向于不做分享。 但如果不做分享，情况就像传染病埃博拉病毒的流行一样不断恶化：封闭交流，这个国家会受影响，隐瞒不报，将使事态愈加危险。所以情报分析要解决的问题，关键的一点是“匿名化分享”，这是解决方案之一。 当你发现了一个情报，知道被攻击以后，如何进行应对，这也是安全领域非常热门的话题。在今年年初的RSA大会上，我曾见到一个公司的创业产品告诉你应该做什么，但它没有辅助你自动化或者是半自动化的进行应对。而在Threat Intelligence这个领域之内，还包含了可以帮助用户快速的、自动化的或半自动化的进行反应。相信未来这个领域一定会有产品脱颖而出，这也是一个新的商业机会。 美国的FireEye公司已经在Threat Intelligence方面进行了尝试，他们已有三个级别的产品。第一个级别的产品就是检测和拦截攻击。在匿名的情况下会交换Web攻击、邮件、文件数据攻击的数据。这是最便宜的一级服务