在安全圈提起“威胁情报”,可谓无人不知无人不晓。什么是威胁情报?威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
那么,什么是具有中国特色的安全威胁情报呢?在2015年11月29日由51CTO主办的WOT2015"互联网+"时代大数据技术峰会上,国内首个专以安全威胁情报(Threat Intelligence)为中心的创业公司,北京微步在线科技有限公司合伙人的李秋石给51CTO记者做了以下解答。
在WOT2015大会现场,李秋石带来了题为《中国特色的安全威胁情报》的精彩演讲。他表示,所谓“中国特色”主要体现在:第一,其实古时候在《孙子兵法》里面就已经提出了“知己知彼”,我们今天把它叫做“知彼知己”,这是情报最有用而且流传最广的一个概念,其实在我们中国的历史文化当中就已经突出了它的重要性。第二,我们需要有自己的威胁情报处理能力,因为毕竟我们需要有自己自主可控的情报平台,来帮助我们中国的企业去及时的获取和及时的响应。
如何从海量的数据中去挖掘威胁情报?
在海量的数据面前,我们该如何挖掘真正有价值的威胁情报呢?李秋石表示,其实这也是具有“中国特色”的一部分,现在很多中国的互联网公司都在谈大数据,数据对于很多企业来说真的不愁,他们有很多大量的原始数据。包括:IP,以及用户的设备信息等各种各样的信息。那么,该如何从这些信息中及时发现线索?这其实是威胁情报所具备的一个特性,基于情报的分析和分析师关联的判断。它是基于证据可执行的一个线索,那么这些信息其实是基于海量数据,从中发现的。企业及时发现威胁是非常重要的一个行动点。
其实,威胁情报的作用不是代替现有的安全措施,企业应该有必须具备应该具备的安全防御措施,比如:日常检测等。而情报就是让企业知道该怎么利用这些信息,在摸清楚攻击来源,攻击者身份时,通过安全工具进行防御,甚至反击。大家普遍关注的是漏洞,但是漏洞很难被百分之百杜绝和避免。对于漏洞最好的办法就是,在事中及时地发现这种攻击行为在事中。安全分为三个部分事前、事中、事后,而威胁情报发挥的最大作用就是在事中。企业第一时间发现威胁,并知道这个威胁源自于哪里、做了什么,或者是在产业链的某一个环节当中出现了安全问题。那么,此时作为产业链整个流程当中的企业,其如何在第一时间防范信息的威胁和泄漏的情况,这是很重要的工作。
怎么样才能使威胁情报价值最大化?
李秋石认为,首先要看威胁情报的客户,其实情报有两种应用方式:
一种应用方式是给机器。比如:企业中现有的设备、算法,或者企业的SRC团队,或者有IDS这种设备,那么情报可以作为可机读的信息,让机器立刻具备防御能力。
另一种应用方式是给人读。比如:企业安全管理者,企业决策层,让他们能及时看到相关的报告。
此外,它还有一个非常重要的作用,就是让企业能够提早准备和采取应对措施。因为,往往信息泄漏对于企业造成的威胁是不可估量的,特别是在美国,很多企业可能会因为信息泄漏,或者是企业信息被攻破而导致企业的破产。虽然在“中国特色”的互联网环境当中,因为大家都是在起步阶段,很多时候都是先有了业务来发展,安全才会跟上的。在这种情况下,其实企业需要具备一定的感知能力和发现能力,以便即时修补漏洞。哪怕企业安全人员手头发现了一打漏洞,那肯定要排优先级去修复它,当然最好的方式是全部修复。如果发现外面的攻击者盯上我某一个漏洞,或者尝试用某一种工具攻破系统的话,那首先要把这一块威胁给解决。
目前攻击者对于威胁情报的应对策略有哪些?
安全圈一直流传着一句话:“未知攻,焉知防。”
李秋石表示,安全永远是一个攻防对抗的过程,攻击者对情报的掌握比在明处的企业可能会更多。在工作中,我们可以看到很多有组织、有规模、成产业链的攻击机制的攻击者群体,其实他们内部就已有非常丰富的情报发掘和共享的机制,包括:攻击对象、主要防御措施、工作人员上班时间,还有企业处理威胁的方式。比如:企业的安全系统,或者风险防控系统的技术细节,他们都有共享的机制。攻击者们对于这个体系已经运用得比较完善。所以作为防守方其实也应该去进行相应的反制措施,能够及时的发现这些行为,并采取相应的应对措施。威胁情报的作用就是一种平衡和对抗,就像现实中情报也是类似的,就是信息的感知能力。
写在最后
李秋石表示,在国际上,威胁情报已经是非常火热的话题了,围绕威胁情报的企业也非常受关注。在国内,由于刚刚兴起不久,威胁情报利用方面仍存在不足和亟待改善的地方。企业主要都是出于摸索和尝试的阶段,但是声势越来越浩大。现在,讨论最多的是企业安全和信息安全领域,而情报能够验证它的价值和方法,并且能够有非常好的一套机制,与企业的业务进行更深入的结合。未来,威胁情报还需要进行更快速的共享,这有助于各个企业,以及做情报的公司能够一起去有效的防范威胁,其实最主要目的是为了能保证企业与用户免受威胁。