近日主題為“情報內生,聚合應變”的奇智威脅情報峰會在北京舉行,奇安信總裁吳雲坤發表了題為《
內生安全與威脅情報體系構建》的主題演講,基於奇安信內生安全和威脅情報體系構建的大量實踐,提出情報內生是內生安全的最佳實踐。
信息化系統需要內生安全保障
隨著雲計算、大數據、物聯網等新一代信息技術的加速發展和普及應用,國家、經濟、社會與網絡空間深度融合,伴隨著政企機構的信息化環境的改變,網絡安全威脅也發生了很大變化,外部攻擊與內部威脅相互交織,組織化的網絡攻擊成為常態化。
由於沒有規劃、缺少運行、投入不足等原因,過去的安全防護和運行體系留下了很多的坑,奇安信在2019年參與的超百場實網攻防演習中發現,面對組織化的網絡攻擊手段,沒有打不透的“牆”。吳雲坤認為,信息化系統需要內生安全體系保障,在三同步(同步規劃、同步建設和同步運行)機制保障下,通過技術聚合、人員聚合和數據聚合,建立信息化系統的內生安全體系。
內生安全和威脅情報體系構建
吳雲坤稱,內生安全的實現首先要“關口前移,規劃先行”,從信息化視角,與信息化系統同步規劃安全體系。
信息化與安全的同步規劃正在逐步形成行業共識,從2018年開始,奇安信已經參與了數十個部委、重要行業、大型企業、金融機構和區域政府的信息化系統的改造和建設中的安全規劃。通過規劃,首先實現安全組件與信息化層次的深度結合和全面覆蓋;其次將安全架構思想融入組織戰略,解決各層級、各業務口對網絡安全理解不一致的問題。
“要把規劃落地到建設實現”,吳雲坤稱,需要基於數據驅動安全理念,按照疊加演進原則,建立起能力導向的網絡安全體系,作為積極防禦的關鍵,威脅情報在網絡安全體系的建設中發揮著重要作用。”
數據驅動安全的初期是利用互聯網數據生成威脅情報,提升威脅檢測和響應效率;而在內生安全時代,數據驅動安全需要全面利用內部信息化和業務數據,與信息化系統深度結合、全面覆蓋,而威脅情報從生產、應用到運行的全流程都要與信息化結合。
吳雲坤認為,威脅情報驅動的威脅運營是一個運行閉環,威脅情報從生產、應用到運行要在政企機構落地,不能僅依賴於外部的IOC情報數據,更需要“嵌入”內部的信息化和業務系統和流程中,並作用於積極防禦,建立自身的情報生產和消費能力,挖掘出潛在和未知威脅,並及時有效的彌補防禦弱點,這個過程就是情報內生。
情報內生一定是內生安全的最佳實現,尤其關鍵基礎設施單位和組織,針對他們的高級威脅攻擊目標選擇有高度的定向性,互聯網上能看到攻擊載荷的概率很低,更需要通過在內部信息化和業務系統上構建威脅情報能力來生產與自身密切相關的情報,安全企業可以向這些單位和組織輸出平臺、流程、人和數據能力。
閱讀更多 奇安信 的文章
