今年是網絡安全大年,也是威脅情報的大年。RSA大會上,威脅情報也上升至熱詞榜第七位。國內外多家組織機構已經發布各式威脅情報報告,例如全球權威信息化諮詢研究機構Gartner的《全球威脅情報市場指南》、全球最大信息安全培訓機構SANS的《網絡威脅情報的演變:2019 SANS網絡威脅情報調查》,微步在線發佈《2018威脅情報年報》。通過對這些報告的研讀不難發現,今年將是威脅情報落地應用更加深入的一年。前因後果,下文細表。
一、人人知好,處處賦能
SANS的調查數據顯示,已經有80%的組織認為自己從威脅情報中獲益。威脅情報起到了畫龍點睛一般的作用,無論是Gartner還是SANS的報告中都提到了威脅情報對於傳統安全產品的賦能。Gartner指出, 威脅情報通常是安全產品的差異化因素和能力核心,例如防火牆和統一威脅管理(UTM)系統、入侵檢測和防禦(IDP)、SWG和安全電子郵件網關(SEG)、端點保護(EPP)、Web應用防火牆(WAF)、還有分佈式拒絕服務攻擊防禦產品(DDoS)、安全信息和事件管理(SIEM)、漏洞管理、安全協調、MSS、託管檢測和響應等。SANS的數據也顯示有
82%的企業會把SIEM系統和威脅情報一起用,77%的企業會用情報賦能網絡流量檢測系統。國內比較常見的用法是威脅情報+網絡流量檢測、威脅情報+態勢感知、威脅情報+SOC等。有些非安全廠商也能夠和威脅情報擦出火花,本次入選Gartner市場指南的唯一中國廠商微步在線,近日聯合ZDNS推出了DNS硬件防火牆產品,是一個新的威脅情報賦能DNS設備的案例。
情報處處賦能,意味著無論是做短期安全決策,還是制定長期安全策略,情報的參考權重都在大幅度上升。同時,隨著威脅情報對攻擊者追蹤能力的不斷增強,企業也將對戰略層的、與企業組織相關度高的威脅情報報告產生更多需求。
二、適用行業與客群更加廣泛
我們觀察發現,威脅情報的適用行業變得比之前更加廣泛,除去政府和金融行業仍然是熱門以外,在國內,能源、製造業、航空、媒體和新興科技行業中,大量頭部企業已經展現出對威脅情報的濃厚興趣和強烈需求。Gartner發現威脅情報服務被廣泛用於製造、通信和媒體、IT服務和軟件、零售、金融、醫療保健和公用事業的戰略決策等,同時金融和政府垂直市場是主要消費者。SANS的報告調研了585個組織和企業,其中政府、金融、科技和網絡安全企業是參與調研的主流行業,而醫療保健、製造業和電力行業的參與度有所上升。還有少部分來自媒體,製藥和供水業的企業參與了調研。
同時,使用威脅情報的客群體量也在發生變化。從國外的趨勢看,中型企業組織和小型IT團隊開始展露出對威脅情報的需求,典型例子是威脅情報網關(TIG)和DNS防火牆的技術。因此,Gartner預測,面向中小型客戶的中端情報市場有著客單價低、整體交易量大的特點,因此會呈現最迅猛的增長。
SANS則觀察到,威脅情報的應用案例正在多樣化,抽樣調查中的大小型組織都在廣泛使用威脅情報,自2017年至2019年,生產或消費情報的組織佔比逐年增加,目前完全沒有意願去生產或消費情報的組織只有8%,換言之,92%參與調查的組織已經正在或即將使用、生產威脅情報領域。
行業、客群和組織的變化,意味著網絡安全形勢的全面嚴峻。由於黑客和黑產更加專業化、網絡攻擊軟件SaaS化,上下游鏈條形成,發起一次攻擊的技術成本逐漸降低,投入產出比增加,許多看似不可能受害的行業和組織也無法倖免。因此,威脅情報產品的輕量化、SaaS化也將滿足這一部分快速增長的市場需求。
三、客戶需要什麼樣的威脅情報服務?
在日常安全運維中,客戶對威脅情報的需求往往體現得十分直觀:
某個IP、網址、域名是否危險?危險域名的所有者是否為黑客團伙?這些團伙還註冊了哪些域名?還有其他惡意活動和這些域名相關嗎?這個威脅應該怎麼處置?
現在爆發出了哪些新的威脅?這些威脅會通過哪些端口進行傳播?企業應該如何應急處理?
企業是否正在被撞庫?經常攻擊企業的黑客團伙都有誰?接下來幾個月內他們可能會怎樣行動?
黑客組織對企業及其員工有什麼瞭解?企業的敏感信息是否被洩露?
企業能預測攻擊者的行動嗎?他們可能會在什麼時候以什麼手段攻擊?
直觀的問題背後,是客戶對攻擊者的興趣,在安全運維過程中,客戶不僅希望瞭解具體的威脅,還希望在戰略和戰術層面瞭解攻擊者,正所謂“知己知彼,百戰不殆”。那麼,在威脅檢測和響應的具體案例中,分析師對具體威脅情報信息的重要性排名是怎樣的?
SANS的調查數據顯示,失陷指標(IOC,一種可機讀威脅情報)的排名最高,有40.6%的人選擇;其次是威脅行為和對手TTP,佔到27.3%;第三位是Digital footprint與攻擊面識別,佔到18.0%;最後是對手的戰略分析,13.3%。
具體的威脅情報信息,將會直接影響到企業的安全策略,比如安全支出的側重點、安全架構的改進、供應鏈安全、安全監控功能、事件響應流程等。威脅情報將成為企業可靠的風險依據,讓企業做出更明智的決策。
因此,威脅情報不僅需要回答具體的問題,還需要在企業制定安全策略時,從更高的維度給企業清晰的指導。
Gartner在《市場指南》中總結了威脅情報的10餘種使用場景,如情報賦能、釣魚檢測、暗網監控、威脅檢測與響應、黑客畫像與黑客追蹤、威脅情報共享、高級應急響應(MDR)服務等12個場景,我們篩選了幾個在國內較常見的場景:
賦能已有安全設備。通過訂閱情報和情報API,對已有安全設備進行賦能。由於機讀情報的標準化,已有安全設備如SIEM、防火牆、EDR一般不需要額外部署和開發工作就能夠較為方便地應用威脅情報。
主動檢測響應。威脅檢測其實是一種主動事件響應。通過應用威脅情報,企業可以讓主動響應的工作更加自動化。通常將威脅情報與流量監控和分析技術相結合(如微步在線的TDP威脅監控平臺、TDPS Web攻擊感知平臺等),即可幫助企業發現可疑文件或連接的同時,提供更多信息,比如有相關性的C2、域名,惡意軟件團伙或者家族等其他信息、以及解決方法。這樣企業組織可以全面、快速地捕獲和處置相關的威脅。
黑客畫像與黑客追蹤。通過SIEM等安全系統,企業與組織可以列舉出大量黑IP、域名等,但如果企業組織想知道,正在危害自己網絡安全的前20個攻擊者團伙都有誰,就要倚仗更深層面的威脅情報。威脅情報廠商會追蹤攻擊者在行動時留下的痕跡,從而探查到攻擊者的TTP(戰術、技術和過程)。當TTP檔案建立後,攻擊者的行為就會被追蹤到,而且攻擊者的行為往往是重複的。 威脅情報可用於獲取有關正在出售的漏洞的利用情況,針對終端的惡意軟件,或者用於釣魚攻擊的惡意域名。
高級應急響應(MDR)服務。對於大多數企業組織來說,威脅情報分析師是一個過於專業、較為短缺的職位。因此,一些情報廠商在提供威脅情報數據和產品的同時,還會提供高級應急響應服務,由專業分析師提供應急、處置、溯源等服務。
四、市場對供應商提出新要求
Gartner在本次威脅情報市場指南中仍然強調以往的五個維度:覆蓋度、準確度、可執行性、可擴展性和專業化程度。但是隨著市場對於威脅情報的認識和應用逐漸加深,這幾個維度上的要求也在產生變化,因此,供應商的威脅情報能力無法停滯不前。Gartner提出的要求有:情報的多源化(開源、商業、多國情報)、根據組織的情況定製情報的能力、對威脅參與者的滲透和分析、分析不同數據點並作出結論等。
而SANS的調查中體現了用戶對威脅情報功能的滿意度,根據圖表顯示,用戶對於威脅情報的上下文、覆蓋度、情報與檢測響應系統的集成、基於位置的可見性、威脅情報衰變、機器學習等方面的滿意度仍能夠進一步提升。有60%的用戶對於現有的威脅情報上下文感到比較滿意,而對於機器學習感到比較滿意的用戶只有36.8%。此外,SANS的調查還顯示,用戶在進行惡意軟件樣本的溯源分析時,最依賴人工,半自動和全自動所佔比例非常少,只有37.4%。
用戶不滿意之處,就是供應商需要提升的地方。因此,我們根據目前國內的需求現狀與Gartner和SANS的報告,總結出以下幾點供應商要達到的新要求:
首先是對情報數據的要求。開源的數據和商業化的數據都是必要的,同時,在一些重要行業中,也應當採用可以覆蓋全球的數據或商業情報數據,用以對抗具有政治背景的黑客組織。情報數據應當符合國際標準。此外情報最好以API或平臺的形式被用戶調用或者部署。
其次是對情報產品迭代的倒逼。根據Gartner對用戶群的預測,中型組織和小型IT團隊對情報的需求會成為未來高速增長的一部分市場,而這樣的組織中又會有幾個人專注於應用和處理威脅情報呢?這就引發了一個需求:情報的自動化應用。當安全人員數量少、能力參差不齊時,安全產品需要補齊安全人員的能力,因此情報必然走向自動化應用,檢測和情報一體化的產品將具備快速打開這部分市場的能力。
然後是對情報生產技術的要求。合格的情報不僅應當具備上下文,還應當被納入到生命週期管理中。從數據篩選到情報的產出,到應用、衰變和最終過期,每一個環節都需要分析師和機器學習研發者的共同努力。SANS的調研顯示,目前威脅情報的及時和準確度已經能夠滿足70%以上的用戶,市場對威脅情報的要求只會越來越高,因此,在目前情報產出已經能滿足大部分用戶的前提下,情報處理的內功將成為下個階段的核心競爭點。
此外,威脅情報的共享仍然需要繼續推進。Gartner認為,威脅情報的共享機制對於企業組織的安全計劃具有實際價值,一些國家(美國、澳大利亞)也在倡導政府和企業之間共享威脅數據。國內的威脅情報共享已有一些階段性成果,但企業聯盟之間的情報共享如何進行,仍然是需要探索的課題。對抗黑客和黑產團伙需要更深度的聯合。
閱讀更多 A1d2m3i4n5 的文章
