近日安全领域一大新闻就是创立于2010年的Norse Corp濒临倒闭边缘。也许大家没有听过这家公司的名字,但是大多数从业者一定见过酷炫无比的“地图炮”。曾几何时,我们可以盯着屏幕在Norse的网站上看“全球黑客大战”的直播。这家公司也在几年间成为了全球领先的威胁情报公司,然而这一切都幻灭了,原因则是这家公司用来呈现和分析以及产出报告使用的数据可能都是假的。
据揭露,Norse的数据来源为部署在全球数十万的代理,蜜罐等传感器,但是他们将这些传感器收集来的数据当做真实发生的攻击呈现在他们的报告和其他商用产品中。这无疑对我们判断全球网络安全态势产生了影响。此外,作为一家以数据为基础的威胁情报公司,向公众和客户传递虚假数据是无法接受的,因此最近几个月连续被披露出该公司裁员、CEO下课,甚至实时“地图炮”无法打开的新闻。
Fortinet作为一家全球化网络安全公司,旗下的FortiGuard实验室也将从全球收集的数据已可视化的形式呈现出来(http://threatmap.fortiguard.com/)。
Fortinet FortiGuard实验室(http://www.fortiguard.com/)将从全球范围收集来的数据进行展示,根据攻击严重程度用颜色区分,由于攻击过多,我们在地图上只显示收集来的万分之一数据。这些数据全部来自于Fortinet部署在全球的设备。据IDC数据显示,Fortinet在全球出货量已经达到了200万台,位列全球网络安全供应商的第一位,因此不论从广度还是数量上,Fortinet均能够提供全球最庞大的威胁情报。在过去的2015年第四季度,Fortinet每分钟拦截4.4万次僵尸网络C&C攻击,13万次恶意软件攻击,18万次恶意网站访问,55万次网络入侵行为。
通过FortiGuard提供的威胁情报,用户可以了解到谁在和你通信,谁在请求和你通信,通过什么方式通信,以及通信的内容是什么。除此以外,依托于FortiGuard全球200万+的传感器,强大的基于云的大数据安全分析平台,以及200余名安全威胁研究人员的支撑,我们还可以为用户提供威胁早期预警服务。
现在已经是动态安全时代,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者。在整个防御过程中,威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环。APT的泛滥带来的现状就是系统被攻击和攻陷已经是常态,在这种新常态下,我们必须要提升检测和应急响应能力,而这个能力就是要由威胁情报来驱动的。我们知道APT的高级和隐蔽性使得可以轻易穿越传统安全防线,因此对高级威胁,我们使用的检测手段也不能只是签名,必须要依靠行为检测进行分析,交付给用户可执行和操作的分析结果,由此可见在持续的攻防较量中这个能力是很重要的。因此在威胁情报在未来安全保护方面肯定要起到越来越重要的作用。
原文发布时间为:2016-02-15
