开发者俱乐部

标题: 威胁情报与安全防护新思维 [打印本页]

作者: jack 时间: 2016-3-8 14:52
标题: 威胁情报与安全防护新思维
威胁情报的概念去年突然在国内火了起来，2015年更被定义为威胁情报在中国的元年。

威胁情报是什么，它与现有安全防护体系有何不同。笔者有幸参与了一些相关的工作，并对国际上的一些动态有所了解，因此想在这里抛砖引玉，让更多的人去关注威胁情报如何更好的为客户服务，而不单单是如何建立一套威胁情报系统平台。

威胁情报的概念

对于威胁情报，不同的团队对其有多种不同的定义，下面列出了一些经常被引用的定义：

Gartner

威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为的，基于证据知识的，包含情景、机制、影响和应对建议的，用于帮助解决威胁或危害进行决策的知识。

SANS研究院

针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标，所收集的用于评估和应用的数据集。

ISIGHT

网络威胁情报是关于已经收集、分析和分发的，针对攻击者和其动机、目的和手段的，用于帮助所有级别安全的和业务员工用于保护其企业核心资产的知识。

从这几句话可以看出来，他们定义的威胁情报本质都是针对攻击者的危害行为进行分析，通过各种技术手段将这些行为呈现出来并沉淀为某种知识，而这些知识将用来更好的保护可能受到威胁的重要资产。

对情报的重视古已有之，《孙子兵法》中所说“知己知彼，百战不殆”，其中的知彼讲的就是情报的重要性。这句古话同样适用于目前的信息系统的安全对抗。

知己：防守者自己组织的场景数据，包括组织的资产/业务、脆弱性、已采取的防护措施，通过“知己”，我们可以快速排查薄弱环节，加强防护，这里不再多言。漏洞信息的及时获取，本质上就是知己的一部分。（很多人把漏洞信息也看做是威胁情报的一部分，这是不够准确的。）

知彼：关于攻击者自身、使用的工具及相关技术的信息，即威胁情报，可以应用这些数据来发现恶意活动，以至于定位到具体的组织或个人。

只知己不知彼，即使进行了大量的安全建设投入，这些措施对新型攻击手段是否有效，也是无从判定的；只知彼不知己，如果不知道哪些情报与自己相关，获取再多的情报也难以发挥价值。只有共同加强这两个方面，并有机进行结合和联动，才有可能让我们有机会再对抗中赢得先机。

信息安全防护面临挑战

为什么业界目前如此关注威胁情报？越来越多的安全事件的爆发，已经让大家对信息系统的安全性不那么乐观了：

安全威胁通用化：“心脏出血”、“破壳”等漏洞反映了打击面更为广泛的基础应用和通用软硬件面临的高危风险。一个通用化漏洞出现后，大量的基础设施往往并没有及时进行补救，这给了很多不法分子可乘之机。

安全威胁广泛化：安全威胁无孔不入，随着工业4.0的发展，以及智能设备大规模推广，安全威胁随着信息化的演进而同步演进，而防御体系如果反应不够迅速则很容易出现空当。

安全威胁潜伏化：APT类攻击日益频繁且危害重大。根据第三方监测，在中国境内活跃的APT事件与组织有数十个，多有明确的政治、经济相关的目的。这类攻击使用专用的攻击样本和手段，在潜伏的时候多采用低慢频度的模式，难以察觉；而一旦发起实质性攻击时，过程十分快，且攻击目标的指向性特别明确。以“震网”“火焰”病毒为例，它们被发现时，已经在受害系统中潜伏了几年的时间。

业界已经基本认同，“没有攻不破的系统”这一说法。那么当信息系统被攻破之后，损失以什么来度量呢，一个主要指标就是攻击成功与防御生效之间的时间窗。Verizon报告中曾指出，攻击者从发起攻击到窃取数据的耗时基本上在数分钟到数天之内，而防御者从发现攻击到修补问题的耗时则基本上在数天到数月之间。如果能够有效的缩短这个时间窗，从几年缩短到几天、几个小时甚至几分钟，那么系统的防护力自然而然随之加强了。威胁情报目前是防御方有可能达成这一目标的唯一技术手段。

威胁情报主要分为战术情报和战略情报。

目前的战术情报主要集中在IoC（indicator of compromise）方面，多为结构化信息，包括IP地址、邮件地址、URLs、文件哈希、行为规则等等，这些情报通常用可机读的格式发布，可通过STIX/TAXII 和OpenIOC等标准格式进行共享，更容易直接整合进入防御系统中，快速发挥作用。

战略指标主要提供给用户关于攻击者/机构的组织方式、攻击目标等情报。

威胁情报从其来源来划分，又可以分为开源情报、商业情报和内部情报。其中内部情报最为难得，也是可信度和吻合度最高的。

新形势下的安全新思路、新观念、新技术

首先，经典的基于资产/业务、威胁、防护措施三要素（AST）的安全思路作为安全的根本规律，并未发生大的变化；

其次，在各种新的技术背景下，产生了一些新的安全视角，除了传统的系统视角，还应该关注操作视角，以及人的视角；

第三，新的安全观，就是要铭记没有绝对的安全。在持续攻击时代，企业需要完成对安全思维的改变，从“应急响应”到“持续响应”，前者认为攻击是偶发的，一次性的事故，而后者则认为攻击是不间断的，黑客渗透系统获取信息的努力是不可能完全拦截的，系统应承认自己时刻处于被攻击中。

第四，持续监控和分析是安全防护体系的核心，企业监控应转为主动式，应覆盖尽可能多的IT栈层，包括网络活动层、端点层、系统交互层、应用事务层和用户行为层，这将产生大量的数据，配合多种分析手段来处理这些数据，包括启发性方法、统计方法、推理建模、机器学习、聚类分析、贝叶斯建模等，并由此产生企业侧的威胁情报。

随着技术发展，这些思路、技术、观念将逐渐变得主流，我们相信，改良过的防护架构也将变成主流，并作为供应平台集成大量的组件，提供可以方便使用的嵌入式分析引擎。为客户提供更有效的安全防护。

欢迎光临开发者俱乐部 (http://xodn.com/)