WOT2015李秋石:具有中國特色的安全威脅情報
原創在安全圈提起“威脅情報”,可謂無人不知無人不曉。什么是威脅情報?威脅情報是一種基于證據的知識,包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險,并可以用于通知主體針對相關威脅或危險采取某種響應。
那么,什么是具有中國特色的安全威脅情報呢?在2015年11月29日由51CTO主辦的WOT2015"互聯網+"時代大數據技術峰會上,國內首個專以安全威脅情報(Threat Intelligence)為中心的創業公司,北京微步在線科技有限公司合伙人的李秋石給51CTO記者做了以下解答。
在WOT2015大會現場,李秋石帶來了題為《中國特色的安全威脅情報》的精彩演講。他表示,所謂“中國特色”主要體現在:第一,其實古時候在《孫子兵法》里面就已經提出了“知己知彼”,我們今天把它叫做“知彼知己”,這是情報最有用而且流傳最廣的一個概念,其實在我們中國的歷史文化當中就已經突出了它的重要性。第二,我們需要有自己的威脅情報處理能力,因為畢竟我們需要有自己自主可控的情報平臺,來幫助我們中國的企業去及時的獲取和及時的響應。
如何從海量的數據中去挖掘威脅情報?
在海量的數據面前,我們該如何挖掘真正有價值的威脅情報呢?李秋石表示,其實這也是具有“中國特色”的一部分,現在很多中國的互聯網公司都在談大數據,數據對于很多企業來說真的不愁,他們有很多大量的原始數據。包括:IP,以及用戶的設備信息等各種各樣的信息。那么,該如何從這些信息中及時發現線索?這其實是威脅情報所具備的一個特性,基于情報的分析和分析師關聯的判斷。它是基于證據可執行的一個線索,那么這些信息其實是基于海量數據,從中發現的。企業及時發現威脅是非常重要的一個行動點。
其實,威脅情報的作用不是代替現有的安全措施,企業應該有必須具備應該具備的安全防御措施,比如:日常檢測等。而情報就是讓企業知道該怎么利用這些信息,在摸清楚攻擊來源,攻擊者身份時,通過安全工具進行防御,甚至反擊。大家普遍關注的是漏洞,但是漏洞很難被百分之百杜絕和避免。對于漏洞最好的辦法就是,在事中及時地發現這種攻擊行為在事中。安全分為三個部分事前、事中、事后,而威脅情報發揮的最大作用就是在事中。企業第一時間發現威脅,并知道這個威脅源自于哪里、做了什么,或者是在產業鏈的某一個環節當中出現了安全問題。那么,此時作為產業鏈整個流程當中的企業,其如何在第一時間防范信息的威脅和泄漏的情況,這是很重要的工作。
怎么樣才能使威脅情報價值最大化?
李秋石認為,首先要看威脅情報的客戶,其實情報有兩種應用方式:
一種應用方式是給機器。比如:企業中現有的設備、算法,或者企業的SRC團隊,或者有IDS這種設備,那么情報可以作為可機讀的信息,讓機器立刻具備防御能力。
另一種應用方式是給人讀。比如:企業安全管理者,企業決策層,讓他們能及時看到相關的報告。
此外,它還有一個非常重要的作用,就是讓企業能夠提早準備和采取應對措施。因為,往往信息泄漏對于企業造成的威脅是不可估量的,特別是在美國,很多企業可能會因為信息泄漏,或者是企業信息被攻破而導致企業的破產。雖然在“中國特色”的互聯網環境當中,因為大家都是在起步階段,很多時候都是先有了業務來發展,安全才會跟上的。在這種情況下,其實企業需要具備一定的感知能力和發現能力,以便即時修補漏洞。哪怕企業安全人員手頭發現了一打漏洞,那肯定要排優先級去修復它,當然最好的方式是全部修復。如果發現外面的攻擊者盯上我某一個漏洞,或者嘗試用某一種工具攻破系統的話,那首先要把這一塊威脅給解決。
目前攻擊者對于威脅情報的應對策略有哪些?
安全圈一直流傳著一句話:“未知攻,焉知防。”
李秋石表示,安全永遠是一個攻防對抗的過程,攻擊者對情報的掌握比在明處的企業可能會更多。在工作中,我們可以看到很多有組織、有規模、成產業鏈的攻擊機制的攻擊者群體,其實他們內部就已有非常豐富的情報發掘和共享的機制,包括:攻擊對象、主要防御措施、工作人員上班時間,還有企業處理威脅的方式。比如:企業的安全系統,或者風險防控系統的技術細節,他們都有共享的機制。攻擊者們對于這個體系已經運用得比較完善。所以作為防守方其實也應該去進行相應的反制措施,能夠及時的發現這些行為,并采取相應的應對措施。威脅情報的作用就是一種平衡和對抗,就像現實中情報也是類似的,就是信息的感知能力。
寫在最后
李秋石表示,在國際上,威脅情報已經是非常火熱的話題了,圍繞威脅情報的企業也非常受關注。在國內,由于剛剛興起不久,威脅情報利用方面仍存在不足和亟待改善的地方。企業主要都是出于摸索和嘗試的階段,但是聲勢越來越浩大。現在,討論最多的是企業安全和信息安全領域,而情報能夠驗證它的價值和方法,并且能夠有非常好的一套機制,與企業的業務進行更深入的結合。未來,威脅情報還需要進行更快速的共享,這有助于各個企業,以及做情報的公司能夠一起去有效的防范威脅,其實最主要目的是為了能保證企業與用戶免受威脅。
戳下方圖片,更有料!
