Threatbook合伙人李秋石:具有中国特色的安全威胁情报


 WOT2015"互联网+"时代大数据技术峰会于2015年11月28日于深圳前海华侨城JW万豪酒店盛大揭幕,42位业内重量级嘉宾汇聚,重磅解析大数据技术的点睛应用。秉承专注技术、服务技术人员的理念。DBA+社群作为本次大会合作方,将通过图文直播为大家全程跟踪报道这场技术盛宴。   

在安全圈提起“威胁情报”,可谓无人不知无人不晓。什么是威胁情报?威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。

那么,什么是具有中国特色的安全威胁情报呢?在大会现场,李秋石带来了题为《中国特色的安全威胁情报》的精彩演讲。

他表示,所谓“中国特色”主要体现在:

第一,其实古时候在《孙子兵法》里面就已经提出了“知己知彼”,我们今天把它叫做“知彼知己”,这是情报最有用而且流传最广的一个概念,其实在我们中国的历史文化当中就已经突出了它的重要性。

第二,我们需要有自己的威胁情报处理能力,因为毕竟我们需要有自己自主可控的情报平台,来帮助我们中国的企业去及时的获取和及时的响应。

>>>>
如何从海量的数据中去挖掘威胁情报

 

在海量的数据面前,我们该如何挖掘真正有价值的威胁情报呢?李秋石表示,其实这也是具有“中国特色”的一部分,现在很多中国的互联网公司都在谈大数据,数据对于很多企业来说真的不愁,他们有很多大量的原始数据。包括:IP,以及用户的设备信息等各种各样的信息。

那么,该如何从这些信息中及时发现线索?这其实是威胁情报所具备的一个特性,基于情报的分析和分析师关联的判断。它是基于证据可执行的一个线索,那么这些信息其实是基于海量数据,从中发现的。企业及时发现威胁是非常重要的一个行动点。

其实,威胁情报的作用不是代替现有的安全措施,企业应该有必须具备应该具备的安全防御措施,比如:日常检测等。而情报就是让企业知道该怎么利用这些信息,在摸清楚攻击来源,攻击者身份时,通过安全工具进行防御,甚至反击。大家普遍关注的是漏洞,但是漏洞很难被百分之百杜绝和避免。对于漏洞最好的办法就是,在事中及时地发现这种攻击行为在事中。安全分为三个部分事前、事中、事后,而威胁情报发挥的最大作用就是在事中。企业第一时间发现威胁,并知道这个威胁源自于哪里、做了什么,或者是在产业链的某一个环节当中出现了安全问题。那么,此时作为产业链整个流程当中的企业,其如何在第一时间防范信息的威胁和泄漏的情况,这是很重要的工作。

>>>>
怎么样才能使威胁情报价值最大化

 

李秋石认为,首先要看威胁情报的客户,其实情报有两种应用方式:

一种应用方式是给机器。比如:企业中现有的设备、算法,或者企业的SRC团队,或者有IDS这种设备,那么情报可以作为可机读的信息,让机器立刻具备防御能力。

另一种应用方式是给人读。比如:企业安全管理者,企业决策层,让他们能及时看到相关的报告。

此外,它还有一个非常重要的作用,就是让企业能够提早准备和采取应对措施。因为,往往信息泄漏对于企业造成的威胁是不可估量的,特别是在美国,很多企业可能会因为信息泄漏,或者是企业信息被攻破而导致企业的破产。虽然在“中国特色”的互联网环境当中,因为大家都是在起步阶段,很多时候都是先有了业务来发展,安全才会跟上的。在这种情况下,其实企业需要具备一定的感知能力和发现能力,以便即时修补漏洞。哪怕企业安全人员手头发现了一打漏洞,那肯定要排优先级去修复它,当然最好的方式是全部修复。如果发现外面的攻击者盯上我某一个漏洞,或者尝试用某一种工具攻破系统的话,那首先要把这一块威胁给解决。

>>>>
目前攻击者对于威胁情报的应对策略有哪些

 

安全圈一直流传着一句话:“未知攻,焉知防。”

李秋石表示,安全永远是一个攻防对抗的过程,攻击者对情报的掌握比在明处的企业可能会更多。在工作中,我们可以看到很多有组织、有规模、成产业链的攻击机制的攻击者群体,其实他们内部就已有非常丰富的情报发掘和共享的机制,包括:攻击对象、主要防御措施、工作人员上班时间,还有企业处理威胁的方式。比如:企业的安全系统,或者风险防控系统的技术细节,他们都有共享的机制。攻击者们对于这个体系已经运用得比较完善。所以作为防守方其实也应该去进行相应的反制措施,能够及时的发现这些行为,并采取相应的应对措施。威胁情报的作用就是一种平衡和对抗,就像现实中情报也是类似的,就是信息的感知能力。

>>>>
写在最后

 

李秋石表示,在国际上,威胁情报已经是非常火热的话题了,围绕威胁情报的企业也非常受关注。在国内,由于刚刚兴起不久,威胁情报利用方面仍存在不足和亟待改善的地方。企业主要都是出于摸索和尝试的阶段,但是声势越来越浩大。现在,讨论最多的是企业安全和信息安全领域,而情报能够验证它的价值和方法,并且能够有非常好的一套机制,与企业的业务进行更深入的结合。未来,威胁情报还需要进行更快速的共享,这有助于各个企业,以及做情报的公司能够一起去有效的防范威胁,其实最主要目的是为了能保证企业与用户免受威胁。


时间: 2024-10-29 13:18:23

Threatbook合伙人李秋石:具有中国特色的安全威胁情报的相关文章

凯鹏华盈合伙人李立伟:我的投资理念为16个字

凯鹏华盈合伙人李立伟昨日接受网易科技专访时分享了他的投资理念,他将其概况为16个字,"立足现实,放眼未来,诚信坚持,互惠互利". 以下为访谈实录: 网易科技:各位网易的 网友大家好,我是网易科技的牛立雄,今天是KPCB创投基金进入中国3周年,我们现在请到的是KPCB创投基金的合伙人李立伟先生. 李立伟先生,你好. 李立伟:你好.非常感谢,首先感谢网易给我们一个机会,能够讲一讲KPCB这几年在中国做的一些事情. 首先,我想讲一讲我们过去三年内:在中国设立基金已经三年了,这方面有很多感想.

纪源资本管理合伙人李宏玮:追求完美投资法

李宏玮,美国康奈尔大学工程学硕士.西北大学凯洛格学院MBA.有超过12年风险投资从业经验.2005年,加入GGV并负责中国地区的投资业务及公司运营管理.在加入GGV之前,任职集富亚洲投资副总裁,领导该公司中国及香港地区半导体.互联网及服务行业科技企业的投资业务,曾投资大连海辉.兆日科技.新进半导体.葵和精密电子.北京博动等公司. 以工作为导向是李宏玮的生活原则,每天除工作之外,几乎再无其它. "结婚多年,由于这丈夫长年在美国工作,我们一直处于长期两地分居的状态.最大好处是自由安排时间,出差时不必

前迅雷技术合伙人李金波离职创业做亲子相册

摘要: 李金波此前曾是迅雷技术合伙人,主抓过迅雷.狗狗搜索等项目.2009年底,李金波离开迅雷创办了第三方MSN软件MSNLite.该项目运作两年,后被小米收购. 2013年初,李金波重新组建5人 李金波此前曾是迅雷技术合伙人,主抓过迅雷.狗狗搜索等项目.2009年底,李金波离开迅雷创办了第三方MSN软件MSNLite.该项目运作两年,后被小米收购. 2013年初,李金波重新组建5人团队,准备在移动互联网上探索LBS+垂直领域的方向,曾试水过基于位置的租房.订餐等O2O项目.最终团队在2013年

纪源资本合伙人李宏玮:投资要跟就跟到底

● 专注于研究行业,持续跟踪企业,使得纪源资本从众多机构中脱颖而出● "今天要做风险投资,已经不能够坐在那里等待事情发生,你一定要自己创造机会.""去年就上市了两家公司,今年能够上两三家就已经很好了."坐在位于上海陆家嘴国金中心35层的办公室里,李宏玮俯瞰窗外的繁华,却并不感到乐观.作为纪源资本的合伙人,李宏玮深知如果下游的 IPO市场不乐观,上游的风险投资行业也不会好到哪里去.前不久她在北京参加了一个投资者大会,参会的都是GP(一般合伙人)和LP(有限合伙人),这

GGV合伙人李宏玮:风险投资的外包情结

计划2008年上市的海辉软件可能是李宏玮加入GGV后的第一个退出案例. 还在集富亚洲的时候,干练.精力旺盛的李宏玮就开始到处寻找中国软件外包的隐形冠军.她跑过大连.北京.上海.深圳.杭州,只要和外包扯上关系的城市,李宏玮都去看了.她找人要了一个目录,把这些城市中的前三名,都一一访遍. 李宏玮在大连高新园区管理处坐着聊天时,不远处便是海辉和华信软件.而当时国内最大的巨头--东软也在这座城市里. 不过,东软不是李宏玮的目标.2004年的东软还是国内架构,并且在国内上市,留给集富亚洲的想象空间接近于零

纪源资本合伙人李宏玮:奏响工作狂想曲

和李宏玮聊工作,丝毫不会有跑题的顾虑.一个小时的采访时间,无论话题游离到哪一个角落,最终都会凭借她对创投事业的热情,被带回到"风险投资"这个重音上.长达十多年的风险投资经验,让她在面对任何专业性的问题时,都表现得游刃有余.她可以笃定地告诉你,她看好什么样的行业和企业,可惟独在回答"喜欢什么花"时,她沉吟半天说,"我对花真没有研究,说不上来喜欢什么花." 这就是李宏玮,留着齐肩短发,理工科出身,有着清晰冷静.善于分析的头脑,但是对于生活的细枝末节,

李易称收到水军死亡威胁短信

腾讯科技率先报道"魅族M9元旦上市引发排队狂潮系水军所为",引发多家网络.平面媒体跟进.(腾讯科技配图)腾讯科技讯(王晖)1月4日消息,昨日上午,腾讯科技率先报道"魅族M9元旦上市引发排队狂潮系水军所为",引发多家网络.平面媒体跟进报道,今日凌晨李易(微博)微博上称,"收到水军死亡威胁短信,短信均已保存完好,将报案."魅族论坛版主网上发帖称,对李易这样行为见惯不怪,此举目的只是为了提高他的知名度,同时他还呼吁煤油们尽量少与其争论.取消对李易微博的

第五届中国网络安全大会 观信息安全“产、学、研、用”

6月13日,由赛可达实验室.国家计算机病毒应急处理中心.国家网络与信息系统安全产品质量监督检验中心.首都创新大联盟共同举办的第五届中国网络安全大会(NSC2017)在北京国家会议中心隆重举行.大会大咖云集,中国工程院院士倪光南.吴建平,公安部网络安全保卫局总工郭启全,北京大学教授陈钟,微软中国首席安全官邵江宁,腾讯副总裁马斌,中国反网络病毒联盟负责人何能强,赛可达实验室主任宋继忠,AMTSO(国际反恶意软件测试标准组织)主席Dennis Batchelder等40多位顶级网络安全专家汇聚一堂,现

中国网络安全大会上,《网络安全法》起草者是如何解读这部法律的?

本文讲的是中国网络安全大会上,<网络安全法>起草者是如何解读这部法律的?,<网络安全法>生效两周后,北京国家会议中心,正气氛热烈地举行一场安全大会. 中国网络安全大会(NSC2017),由国家相关部委指导,赛可达实验室联合国内外多家具有影响力的行业协会.机构等单位共同主办,今年已经是第五届. 早上九点,北京的天空淅淅沥沥地下着雨,但并不影响观众的热情.嘶吼编辑准点抵达现场时,会场里已经大半坐好了,再过一会,会场快要满席,主持人上台致辞,大会便开始了. NSC2017是<网络安