1月17日,威脅情報生態峰會在北京舉行,這是威脅情報領域首個聚焦生態的行業會議。
來自公安部網絡安全保衛局、國家保密局科學技術司、中科院信息工程研究所CNTIC工作組、國家互聯網應急中心以及360企業安全集團、華為、中國人民銀行金融信息中心、中國華電集團、天際友盟等多家機構和企業的領導、專家出席了大會,從威脅情報生態的不同角色,分享了威脅情報在安全信息通報、安全能力建設、安全體系建設、威脅捕獵等多個領域的應用,以及基於威脅情報生態的合作模式和實踐探索。
360企業安全集團總裁吳雲坤發表了題為“情報驅動的安全體系建設”的主題演講,他認為威脅情報的應用不單單是數據和技術問題,還是防禦體系和生態的問題。威脅情報生態就是需要幫助生產者生產更優質的情報,幫助消費者更好地利用情報。
在數字化轉型的大背景下,面對越來越多樣化和未知性的安全威脅和新的網絡安全形勢,網絡安全建設必須從被動的威脅應對和標準合規的規劃模式,走向面向能力的體系化同步建設模式,在演講中,吳雲坤提出了面向能力的體系化建設的三個關鍵點:
關鍵點1:關口前移,與信息化同步規劃與建設綜合防禦能力體系。
能力導向的安全體系建設,首先要改變過去“創可貼”式的安全模式,信息化與安全同步,尤其是在以雲計算和大數據為核心的新一代信息化系統建設中,安全從“零”開始,與信息化和安全同步規劃、同步建設防禦能力體系。
參照SANS的網絡安全滑動標尺基礎模型,在規劃與建設中分五個階段組織安全能力,進而從能力的角度構建防禦體系。
第一階段的基礎架構安全中把內設安全放進去,利用信息化系統自身的能力,縮小攻擊面,在信息化的早期就可以做到;在第二階段的縱深防禦,是在信息化的基礎設施之上附著安全,通過設備、軟件、配置策略等進一步縮小攻擊面,消耗進攻者的資源,這兩階段偏靜態的防禦能力體系,有大量的噪聲攻擊可能會被過掉,為之後的積極防禦做更多可以辨識的工作,降低積極防禦的工作量。這兩個階段能夠共同實現偏靜態的綜合防禦能力。強調 “深度結合,全面覆蓋”,覆蓋信息化的每一個點,實現與信息化的深入結合。
第三階段是積極防禦,更多采用監測、識別、溯源、獵殺,還有可能通過指揮調度來做應急處置;第四階段的情報體系,對於積極防禦有非常大的作用,這兩個階段是偏動態的積極防禦能力體系。強調“掌握敵情、協同響應”,實現對安全事件的快速應急處置。靜態綜合防禦能力體系和動態積極防禦能力體系的結合,構成了能力導向的安全體系。
關口前移,描述的是偏靜態的綜合防禦體系,強調安全措施應該覆蓋所有體系中不同層次的信息化系統,通過安全與信息化的深度結合,實現內生安全。比如做數據安全,規劃必須回到雲信息化的技術化層次描述各個層次的控制點,回到雲信息化本身做內生安全。
關鍵點2:威脅情報是構建積極防禦能力體系的關鍵,同時也將在縱深防禦乃至基礎結構安全發揮作用。
在演講中,吳雲坤分析了威脅情報在檢測與響應、安全狩獵、報警分析、事件響應與處置等積極防禦體系中典型場景下的價值,同時提出對於威脅情報的消化理解不單單是用於檢測和響應,更大的價值是在於對綜合防禦體系,基礎結構安全和縱深防禦體系有很大的指導作用。
在綜合防禦體系中,將情報消化理解到安全措施,安全措施既包含相對靜態的防禦措施又包含動態的防禦措施,情報的利用是整體的完善的體系。用一句話描述就是“從IOC轉化成為監測特徵,從TTP轉化成為態勢感知的心智模型,從漏洞情報轉化成為資產匹配篩選模板以及從覆蓋全環境/情報發現者環境的威脅情報,做減法匹配到實際的具體信息化環境(資產、配置、拓撲等)。”
簡單說就是威脅情報可以通過積極防禦當中的態勢感知消化威脅情報後在積極防禦、縱深防禦乃至基礎結構安全中發揮作用。
關鍵點3:威脅情報能力構建,需要從生態開始。
從生產高質量威脅情報,到使用威脅情報完善安全體系,充滿各種挑戰,難以依賴單方面的力量,需要構建完整的生態。
從威脅情報的典型應用場景我們發現單單的威脅情報不會發揮作用,只有融入到總體的防禦體系中才能體現價值,所以威脅情報能力的構建必須要從生態開始,如何有效利用威脅情報不是一個在實驗室研究數據的過程,它是一個綜合的防禦體系如何有效把態勢感知消化威脅情報的結果應用於防禦體系的過程,這個過程當中涉及到非常多的生態角色,有網絡安全監管機構、信息化服務商、行業用戶、研究機構,也有安全廠商,這些生態角色相互協作,構建形成威脅情報生態。
吳雲坤認為,威脅情報生態就是需要幫助生產者生產更優質的情報,幫助消費者更好地利用情報,有效的形成這樣的安全防禦體系。
他介紹,早在2017年的ISC互聯網安全大會上多家機構就發起成立了威脅情報交換聯盟,推動威脅情報生態建設,作為該聯盟成員,360威脅情報中心向生態夥伴開放雲端ALpha情報分析平臺、開放情報API等多種平臺和工具,為推動威脅情報生態建設做務實探索。
閱讀更多 科技讀觀 的文章
