威胁情报如何在企业安全市场合纵连横?

本文讲的是 :  威胁情报如何在企业安全市场合纵连横?  ,  【IT168 评论】每年的RSA都会为网络安全行业带来新的风向标和新的热门词汇,今年的RSA所提出的威胁情报和大数据安全即风靡整个行业,传统安全市场也受到云计算、大数据技术的影响,行业联动已经成为必然。越来越多的安全厂商开始推动产业联盟的成立,各大互联网巨头在积极开拓市场的同时也将众多传统安全企业收罗旗下。基于感知的安全系统和解决方案层出不穷,安全的感知能力和数据挖掘能力逐渐引起行业重视。本文将就威胁情报采各家安全厂商之言,看威胁情报如何打破传统安全界限,为用户提供“可以看见和感知的安全。”

  360企业安全集团总裁吴云坤谈及威胁情报对在未来安全行业的应用时指出:安全行业面临着前所未有的挑战,新的攻击手段层出不穷,定向攻击,未知威胁,使得被攻击目标,尤其是拥有高价值数据资产的企业与组织疲于应对。传统的安全防护手段也捉襟见肘,已经被事实证明无法有效应对高级持续定向攻击。这种情况下,安全行业自身也在进行变革,试图找出一系列更有有效的方法,而威胁情报的应用是这些方法中比较有效且非常关键的一种。威胁情报将特定的威胁进行“画像”,对于相关的各类信息进行基于证据的描述,并且给出对于威胁可采取的对策,以帮助被攻击者及提供防护者进行决策。这其中,对与威胁的相关联上下文信息的描述非常重要,尤其是的我们对于高级威胁可以摸清来龙去脉。且威胁情报的分享与交换,也给了行业客户,政府机构,安全从业的厂商与服务商有可能协作应对高级威胁的机会,形成了一种纽带。进而一步,对于很多应对高级威胁时已经乏力的传统的安全产品来说,新的威胁情报方法结合,形成基于威胁情报感知的能力,也给了这些产品一次自我救赎的机会。

  一个成熟的威胁情报平台,应该包括情报的采集,情报的生产,情报的应用与行动,以及情报的分享与交换四个方面。360所成立的威胁情报中心,也是致力于在建立一个完整成熟的威胁情报平台,为企业客户所服务。并且在威胁情报生态环境建立中,起到积极的作用。

  互联网企业与传统安全行业对于威胁情报的理解差异

  我想对于威胁情报的整体定义,以及在安全防护体系所产生的意义,传统的安全行业与互联网企业应该没有太大的异议。如果说有差异,可能更多的是对于威胁情报的掌握度与侧重点的不同。应该说传统的安全行业,往往专于某一个领域或产品,更擅长对于某个事件,或是某次攻击的分析。而互联网企业由于涉及的服务与客户范围较广,往往能够接触到更全局的信息与数据。如360作为互联网安全企业,安全大数据是360能力的核心,在威胁情报的数据收集阶段,具有天生的优势。这些安全大数据也可以被用来在威胁情报的生产过程中,产生价值更高,针对性更强的高质量威胁情报。

  基于威胁情报解决方案

  威胁情报是可以形成有效成熟的安全解决方案的,360对于威胁情报的应用,已经产生了实际的方案,产品及服务,并且在众多客户处得到了落地应用,为客户成功抵御了高级定向攻击。威胁情报的解决方案中,可机读威胁情报(MRTI)起到了关键的作用。这种可以被安全防护产品,安全防护系统所自动解读与执行的威胁情报,使得应对高级威胁时的自动相应与快速执行成为可能。更重要的是,如果方案中处于不同防线,不同位置角色上的防御手段,能够协同应用可机读威胁情报,则整体对高级威胁的发现,响应,甚至预测的能力就会大大提升。360目前在企业安全的纵深防御体系中,在多个系统上,都已经或计划将威胁情报有所应用,从而形成可基于威胁情报感知的防护体系(IASC, Intelligence-Aware Security Control)。如360的未知威胁感知系统 天眼,以及下一代防护墙,下一代SOC系统中,可机读威胁情报都将被直接应用。从而协助客户形成以威胁情报与数据为纽带的纵深防护体系。

  实现联动,威胁情报的价值如何最大化

  威胁情报的联动可以从两个层面来说,一是在比较广义的层面,即在威胁情报的生态环境中,体现在情报的分享与交换上。不同的机构,如政府,威胁情报提供商,安全厂商,安全服务商,第三方组织间,形成威胁情报的有效交换机制,从而使得针对某种攻击的威胁情报,能够快速传递到足够多的防护者手中,形成作用。

  二是比较具体的技术层面,就是前面提到的可机读威胁情报的应用,从而在安全解决方案中实现快速,自动化的应用与联动,发挥持续检测与防护体系的最大效能。360在联动方面的应用,已经成功帮助众多企业客户应对如“海莲花”的高级持续攻击,以及大规模DDoS与Web攻击。

  威胁情报利用

  应该说威胁情报在国内安全市场上的应用事件还较短,整体的威胁情报生态的建立还在初始的阶段。如之前说的一个完整的威胁情报平台,应该包括情报的采集,情报的生产(这其中要包括大量的数据的处理,关联分析,安全攻防方面的工作),情报应用行动,以及情报的交换四个方面。近期威胁情报的议题是比较受关注的,但往往集中在威胁情报如何交换与使用上,而如何高质量的生产威胁情报,在国内则没有太多的威胁情报提供商,或是厂商能够做到。因为生产过程中,持续收集情报,预处理各类数据,结合安全与数据挖掘处理技术产出高质量的可机读IOC,需要威胁情报提供商的综合能力,并不容易。360的威胁情报中心,也是将360的各项核心能力所整合,建立起从国际视野来看,也是能力一流的威胁情报平台。

  从具体案例看攻击者对于威胁情报的应对策略

  威胁情报对于掌握先机攻击技术的攻击者是个挑战,因为从攻击者的角度,往往他们只要抓到受害者防护体系中的一个短板,就能够成功拿下目标。在这个过程中,比较强的攻击者会利用多种手段,多种隐蔽的攻击途径来实施攻击。而一个高质量的威胁情报,使得我们有机会在找到一个线索的情况下,使得攻击这的这些攻击资源都暴露出来。从而在攻防过程中使得天平向防护一方发生倾斜。

  当然这个过程中,攻击者也一定会想方设法进行应对,甚至可以想象,如果攻击者在威胁情报的分享与交换过程中,也得到的威胁情报,他们也能够加以应用,从而改进或隐蔽自己已经暴露的信息。其实安全就是这样一个人与人对抗的过程。

原文发布时间为:2015年7月6日

本文作者:李蓬阁

原文标题 :威胁情报如何在企业安全市场合纵连横?

时间: 2025-01-01 12:41:03

威胁情报如何在企业安全市场合纵连横?的相关文章

怎样让威胁情报真正为企业服务

实用网络威胁情报应受到重视.数据那么多,市场那么乱,情报的实用性难道不是更加重要吗? 让威胁情报实用化的重要方面之一,是确保情报受到评估.什么意思呢?对威胁情报的错误理解,有很多都落在了自动化和速度上.提供数据或威胁指示器(IOC)的威胁情报反馈或平台,迈出的是通向情报的第一步,但其实用性却是成问题的.比如说,如果数据是"实时"出现的,那绝对不能称之为"情报",仅仅未经评估的已发生事件的数据/信息. 什么是经评估的威胁情报? 经评估的威胁情报,就是所有威胁数据都经过

外媒:六项提示帮你运用威胁情报技术

一家企业该如何对自身风险及安全规程进行实施?更具体地讲,将着眼点集中在大数据技术领域,一家企业该如何实施其威胁情报流程? 不少企业认为自身已经非常了解疆域之内的安全关键点以及入门点的具体位置.然而遗憾的是,他们会很快发现最为严重的安全问题往往出现在其始料未及的区域. "企业会高度关注自身ATM运作状态,但却往往忽视了大型机所提供的细节警告提示,"Securonix公司首席营销官Sharon Vardi指出."如果无法掌握这方面信息,企业相当于把皇冠上的明珠拱手让人,这显然是种

“威胁情报能预测哪里要发起攻击?说这话的一定是骗子!”

   有一个不幸的消息. 小王在某公司安全运营部上班,因为想钱少.事多.离家远,最近他想离职了. 换工作本身并没有什么不幸,但可怕的是,他的小秘密被老板发现了-- 悲剧是这样发生的-- 小绿:张主任,您好,今天公布了一个Web应用漏洞,编号是CVE-2017-XXX,如果被利用,将会被远程执行任意代码,后果非常严重.您公司的安全运维接口人王工已经在今天早晨7点55分,漏洞公布后的5分钟内,收到了我们的安全通告邮件和短信.我们有下列安全建议和配置:blablabla-- 张主任:我让小王立刻进行配

【2016阿里安全峰会】风声与暗算,无中又生有:威胁情报应用的那些事儿【附PDF下载】

一年一度的阿里安全峰会创立于 2014 年,每年在7月举办,今年已是第三届,今年于7月13-14日在北京国家会议中心举办.阿里安全峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织.信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践.热点议题.信息安全人才培养.新 兴技术与发展趋势等,会议聚焦云安全产业.电商金融支付安全创新,关注互联网移动安全应用,共同建设互联网安全生态圈,以推进网络空间安全建设,为网络世界蓬勃发展做出贡献力量.2016 阿里安全峰会设立12个分

如何用大数据做威胁情报 | 硬创公开课

       大数据.威胁情报,这两个词汇听起来非常性感.在我们的想象中,掌握大数据的人就像先知和上帝,俯视我们所不能完全理解的事态,精准地预言我们将要面临的危机.然而,对于大数据的利用是非常考验功力和技巧的.很多学艺不精的团队稍不留神就可能把威胁情报搞成"摆摊算卦".  本期硬创公开课我们请来了白帽汇的创始人刘宇,白帽汇拥有一样独门武器,那就是NOSEC大数据平台,可以汇总诸多白帽子网罗的独特情报.像黑客一样去思考,就是他们的自我要求,今天就请刘宇来聊聊白帽汇在真枪实弹的对抗中,究竟

微步在线与启明星辰就威胁情报达成战略合作

2016年4月29日,微步在线和启明星辰正式签署了战略合作备忘录,就威胁情报达成合作.微步在线是国内首家专业的威胁情报厂商,拥有国际水平的安全威胁情报及基础数据能力,启明星辰则是国内领先的SOC厂商,推出有"泰和安全分析合作计划".此次双方强强合作,协同创新,必将能够为客户提供具有国际水平的安全解决方案. 索尼事件.暗黑客栈事件.孟加拉银行事件等一系列层出不穷的安全事件,使人们认识到过去单纯基于漏洞的防御机制已经无法应对当前的黑客威胁,理想的安全架构应该是采用自适应架构的动态安全过程,

快速识别重要威胁:威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者.ThreatConnect近期发布了一份报告,讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力,以便更全面的理解威胁.消除误报,形成主动.智能的防御体系.小编带您一起具体了解下这份报告的内容. 1. 从SIEM的本质出发,它是用来做什么的?有哪些局限? 安全信息与事件管理系统(SIEM)在国内我们通常更倾向于称之为安全运营中心(以下简称SOC),主要用于发现整个企业中的趋势和态势,从多种事件和具有上下文信息

安全狗CEO陈奋:威胁情报共享机制困难,需统一标准约定

近年,层出不穷的安全事件让大家意识到传统的单纯的防御方式已经难以抵抗关键风险,特别是随着新型攻击方式的出现.在严峻的安全威胁形势面前,安全检测和应急响应的重要性越来越受重视.于是威胁分析成为当下热点,新形式下的威胁情报变得十分重要. 安全狗CEO陈奋 威胁情报到底有多重要呢?在网络安全.数据安全方面有着深入研究的安全狗CEO陈奋表示,企业如果想清楚攻击者的信息,比如:攻击者是谁,出于什么目的,做了什么,针对企业的哪些业务,这些内容无疑都是威胁情报提供的.威胁情报可以说是企业知己知彼的一个重要途径

浅读Gartner威胁情报市场指南:谁在同台竞技?

自2014年Gartner首次提出"自适应安全"概念以来,这家全球最早也最权威的信息化咨询研究机构已经是第四年在发布的报告中强调以预测.防护.检测.响应四个阶段组成的自适应安全体系.而在第四年,Gartner终于首次发布了<威胁情报市场指南>,全球近50家公司榜上有名. 对于IT信息化较为成熟的领域,Gartner会发布魔力象限报告,而对于尚处蓝海.潜力较大.产品和市场都处于快速发展中的细分领域,Gartner则会发布相应的市场指南报告.此次威胁情报市场指南发布,或许意味着