以威胁情报驱动安全互联 堵上攻击威胁的口子

我们时常听到一句话,“道高一尺,魔高一丈”,意指为正义而奋斗,必定会受到邪恶势力的巨大压制。在网络安全防护领域,信息安全提供商的目标誓要将前面这句话反过来,也就是做到“魔高一尺,道高一丈”。黑客的本领高一招,安全防范的技术就大一层,不管攻击者如何变化,都跳不出安全的防御圈。

说起来容易,做起来难!总结安全威胁态势的发展,一是攻击形态愈发复杂;二是攻防时间失衡,企业一旦遭受攻击,往往数分钟之内即沦陷,伴随着的缺是过长的响应时间;三是专业的安全人员和技能缺乏,以及有限的预算等导致安全防护不能匹配响应的资源投入。

还有另外一个重要原因,攻击者正形成一个产业链,也就是我们常听到的“黑产”,再加上攻击在暗、防护在明,更加剧了攻击威胁防御的难度。

而对应的防御方呢,坦白地说,在防御阵营不乏出色的安全防护厂商。可是这就够了吗?黑客攻击的渠道是多样的,邮件攻击、Web攻击、网页欺诈、恶意软件植入等不胜枚举。可是,这么多攻击威胁的“口子”绝不是一两家安全厂商能够“堵”上的!

纵观国内外安全产业环境,安全厂商之间是否和黑产那样“团结”呢?显然差得很多,因为竞争和利益的关系,安全防御犹如一个个孤岛!国内安全产业环境尤其不理想,同行之间合作少,缺乏全局安全的应对之策。

不得不说,安全业的联盟与合作在国际安全厂商中走得靠前一些,无论是各种各样的安全联盟还是联合解决方案的开发,都值得国内安全从业者学习和思考。

安全互联替代孤立防护

我们不妨来看看,Intel Security(迈克菲)到底是如何思考这一问题,携手同行应对传统孤立防护的。

英特尔安全事业部北亚区售前技术总监郑林

“我们可以把黑客的攻击过程拆分成不同的环节,如果某一个安全设备或安全技术,能够发现其中一个环节的活动,并很快地把威胁情报提炼并共享给其他的安全设备,这种情报的共享可以形成对威胁的有效防范,扩展开来,对黑客的入侵是一个致命打击。” 英特尔安全事业部北亚区售前技术总监郑林在接受ZD至顶网采访时表示。

这里面的关键问题有两个,一是如何用现有的安全设备和手段提取威胁情报,不管攻击中的哪一个环节发现了它的蛛丝马迹。二是发现威胁情报后,怎么样快速在几秒钟之内把情报共享给其他的安全设备,让它能够防范对其来讲还是未知的攻击活动。

Intel Security推出安全互联的架构已有几年,基于这个理念,其发布数据交换层(DXL)。郑林指出,DXL可以想象成人的神经网络,以前我们有防火墙、IPS、防病毒,它在人的身体里面就像手和脚、胳膊、腿等不同的肢体。“以前没有神经网络时,这些肢体例如手、脚都很有力量,但是没有协调。所以在应对威胁时,手忙脚乱。”

在安全发展的历史上,存在同类的基于API集成的理念。不过,API的集成有一个非常大的不足,现在动辄上百个的安全产品,还是通过点到点不同产品间的API进行集成,效率非常差。并且,其中任何一个产品有改动和技术更新,这个API就面临着要重写。

DXL是一个新的通信架构,“简单讲它是一个高效率的通讯协议,只要遵循这钟标准,产品之间都可以互联互通,而且这个框架是一个开放的框架。不论哪家产品,都可以加入生态系统里面去,共享和接受信息。” 郑林说。

重要的是,DXL生态里的产品进行通讯,从发起通讯到接收通信只需要几毫秒,也就意味着共享威胁情报后几毫秒就可以对威胁进行遏制。

不区分厂商 安全资源互补共赢安全

Intel Security安全互联生态系统的愿景是,无论厂商和底层架构,各个安全部件都可以集成在一起形成一个统一互联系统。

这些安全互联的集成来自于包括Intel Security主导的SIA联盟,这里面有100多家合作厂商。以及第三方厂商,哪怕是竞争关系的厂商,都可以加进来。还包括第三方威胁情报,威胁情报近年来是一个热门的领域,安全互联可以通过一些标准的接口把这些情报收纳进来。当然,其中还包括Intel Security的安全解决方案,无论是网关层、端点层、数据层,Intel Security都有一系列的保护措施。

“Intel Security希望通过这种开放的生态系统,包括这套威胁情报交换的机制,和Intel Security原来已经具备的针对未知威胁分析的技术,能够形成一个开放集成的安全系统。不管企业系统是部署在云端还是在本地,也不管他们采用了什么样的端点或者哪些公司的安全产品和设备,我们都能够把它统一的进行威胁情报交换,形成联防的体系。”郑林说。

说了这么多威胁情报共享,我们不妨再回顾一个背景,在今年2月份斯坦福大学举办的白宫网络安全和消费者保护峰会上,美国总统奥巴马宣布成立一个新的政府部门,致力于在政府机构之间共享威胁情报,以便检测网络威胁并更为快速的采取措施。他签署了一项行政命令,旨在进一步促进公共机构与私立部门之间对网络威胁的信息共享。

这项措施表明共享网络威胁情报对于提升国家安全至关重要。通过共享威胁情报,企业和政府可以联手利用内部证据和外部信息,从而锁定攻击并采取相应的措施。

在政府及国家安全上可以看出威胁情报的重要性,说开来,这不都是想通的吗!在企业安全防护上,网络安全提供商更应该把眼光放长远,安全资源的互补是一个共赢的结果,更符合企业安全防护的需求。

原文发布时间为:2015-12-08

本文作者:陈广成

时间: 2024-08-30 05:48:49

以威胁情报驱动安全互联 堵上攻击威胁的口子的相关文章

360威胁情报中心揭示DDoS攻击五大特点

分布式拒绝服务(DDoS)攻击往往造成大面积的网络瘫痪,导致企业业务中断,因而被称为攻击中的核武器.近年来,DDoS攻击数量呈几何数级增长,给企业造成巨大的经济损失. 根据360威胁情报中心近期发布的<DDoS攻击商业破坏力研究报告>,目前全球的DDoS攻击呈现攻击量激增.致死率高.损失巨大.攻击针对性强,攻击已成产业化等五大特点. 6月6日,360威胁情报中心正式发布<DDoS攻击商业破坏力研究报告>,基于360威胁情报中心检测数据,从全球DDoS攻击次数,攻击手段分类.攻击源也

访英特尔安全郑林:威胁情报衍生的价值

本文讲的是访英特尔安全郑林:威胁情报衍生的价值,威胁情报正在逐渐颠覆安全行业的传统价值观,自其被引入到安全行业之后各大安全厂商以及行业巨头都已经纷纷相应.英特尔安全事业部在开放的基础之上提出了安全互联架构进而深入研讨威胁情报.就目前而言,威胁情报的共享以及对安全威胁态势感知已经在行业中达成共识,感知能力和联动已经成为当前安全行业的两个明显标志. ▲ 英特尔安全事业部北亚区售前技术总监郑林 英特尔安全事业部北亚区售前技术总监郑林从另一个独特的角度道出了英特尔的安全布局:首先,在开放架构的基础之上,

“预知能力的超人” 细数威胁情报那些事儿

今年五月,全国信息安全标准化技术委员会按照GB/T 1.1-2009规则起草的国家标准<信息安全技术 网络安全威胁信息表达模型>开始进入征求意见阶段,北京启明星辰信息安全技术有限公司应邀成为模型起草单位.此项标准的制定意味着网络安全威胁情报将打破现有环境束缚,走向有国家标准的正轨,形成适合威胁情报发展的最佳秩序. 打破先手优势的超人--威胁情报 棋盘上的黑白子之争,先手自带优势,后手难免受掣肘,安全攻防之战也是如此.不法攻击方不单可以在暗中观察.旁敲侧击,更有突发先手进攻的优势,防守方事前无法

威胁情报在甲方安全运维中的应用

前言 很多企业使用 SIEM 来收集日志数据,并将安全事件与多类安全设备(入侵检测设备.Web应用防火墙等)日志相关联,指导安全人员进行风险处置.然而 SIEM 也存在局限,监控人员往往被淹没在海量的告警之中无从下手,原因之一就是对于威胁的告警没有处理的依据,例如缺乏经验的监控人员很难判定一条安全事件告警是扫描还是针对性攻击引起的(通常后者需要更多关注).而通过借助于威胁情报,可为监控人员提供处理依据,也可为安全人员在进行日志分析和攻击溯源时提供有力帮助. 在本文中,来自证通股份有限公司的安全管

“威胁情报”在手,反黑客终于有地图了!

         安全是一场攻防战,那么,如今这样的攻防战发展到了什么level了呢?日前,安全领域的大神们进行了一场闭门研讨 .大神们表示,如今要想保证自己的安全,你不仅需要武器,还需要侦察兵,需要一份威胁情报. 纳尼?威胁情报是什么鬼? 互联网安全曾经历经了流氓互殴,侠客对决.黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面--无论是攻击还是防御,都超越了点对点的战术,而越来越倚仗于全面的战法.简单来说,就是搞安全的不仅要看编程指南,还要看孙子兵法了. 既然是正

威胁情报如何在企业安全市场合纵连横?

本文讲的是 :  威胁情报如何在企业安全市场合纵连横?  ,  [IT168 评论]每年的RSA都会为网络安全行业带来新的风向标和新的热门词汇,今年的RSA所提出的威胁情报和大数据安全即风靡整个行业,传统安全市场也受到云计算.大数据技术的影响,行业联动已经成为必然.越来越多的安全厂商开始推动产业联盟的成立,各大互联网巨头在积极开拓市场的同时也将众多传统安全企业收罗旗下.基于感知的安全系统和解决方案层出不穷,安全的感知能力和数据挖掘能力逐渐引起行业重视.本文将就威胁情报采各家安全厂商之言,看威胁情

CS 3:威胁情报解决方案峰会——数据是威胁情报的基础

"威胁情报"可谓是安全圈儿里最近当之无愧的热词.在刚刚落下帷幕的安全界盛会RSA大会上,大会主席阿米特·约伦(Amit Yoran)发表主题演讲,认为"未来安全防御应该增加在安全检测技术上的投资."作为提升安全检测能力重要手段的威胁情报,其重要性不言而喻. 由安全牛举办的"CS 3:威胁情报解决方案峰会"吸引了360.IBM.谷安天下.微步在线.白帽汇,这国内五家在威胁情报应用技术上领先的安全厂商和安全咨询公司到场.据安全牛主编 李少鹏 介绍,C

解惑|威胁情报指南

虽然网络世界里有些人觉得威胁情报是新晋流行词,其实情报在我们身边已经很久了.政府早已利用情报在外交上.战场上.对抗恐怖主义上占据优势.公司为获得竞争优势,攫取市场.销售和财务商业信息,也纷纷应用情报战术.情报的概念行之有效,久经考验. 网络威胁情报(CTI)也是同样的概念--理解行为人.威胁.态势.风险,以及所有这些元素之间的相互联系,只不过,限定在网络世界而已.对收到.执行或计划执行的威胁情报设立适宜的期待,有助于抽取威胁情报的完全价值,避免掉进常见陷阱.在威胁情报是什么,不是什么,以及为谁服

网络安全联盟推进威胁情报共享的扩张

本文讲的是网络安全联盟推进威胁情报共享的扩张,网络威胁联盟(CTA)任命前白宫官员当领导 业界顶级厂商之间的联盟,让黑客突破安全软件防线难度提升. 网络威胁联盟(CTA),常年竞争的数家安全公司组成的联盟,称其威胁情报共享努力得到了回报. 2年前,即便存续不被看好的怀疑甚嚣尘上,飞塔.英特尔安全.Palo Alto Networks和赛门铁克这几个老对手,依然结成了同盟. 而如今,该组织正在寻求扩张.为招募更多成员,CTA日前宣布,将变身非营利组织.另外,一名前白宫官员将走马上任,成为其新一任领