五大組件閉環運營 奇安信發布一站式威脅情報運營系統
12月28日,奇安信正式對外發布一站式威脅情報運營系統星軌(簡稱TIOS)。TIOS包含樣本鑒定平臺(Singularity)、情報運營平臺(Tide)、威脅情報平臺(Quark)、郵件檢測系統(White hole)、同源分析系統(Megalodon)五大安全組件平臺,融合公有云和私有云多數據情報來源,結合威脅圖譜分析的關聯視圖展示,實現威脅情報數據生產、共享、處理、運營與消費的閉環建設,幫助政企機構快速精準發現網絡威脅,了解網絡安全態勢。
威脅情報需要閉環運營
眾所周知,網絡安全是一個攻防雙方動態博弈的過程。網絡威脅技術手段和形式在不斷變化,一次網絡攻擊往往涉及多層攻擊面,專業的分工和豐富的資源使攻擊者往往具備較高和成熟的網絡攻擊水平,采用傳統方法一旦漏掉部分細節就意味著永遠錯過,很難還原攻擊全貌,導致攻擊者得手之后“逃之夭夭”。
“盡管攻擊手法日新月異,但攻擊者使用的基礎設施卻不會頻繁發生變化。”奇安信威脅情報中心負責人汪列軍表示,攻擊者并不會為每次新的攻擊更換基礎資源,相反為實現利益最大化,減少購買全新基礎設施所消耗的成本,很可能重復使用基礎設施資源,只需要修改所利用的惡意程序即可。
因此,基于威脅情報進行事件關聯是使網絡安全戰略更加有效的一種方法,它能夠精準檢測攻擊者使用的基礎設施,同時提供豐富的上下文,來確保用戶在威脅狩獵的過程中,不漏掉任何攻擊細節。
但是,僅僅依靠外部威脅情報輸入還是遠遠不夠的,威脅情報驅動的威脅運營是一個運行閉環,威脅情報從生產、應用到運行要在政企機構落地,更需要“嵌入”內部的信息化和業務系統和流程中,并作用于積極防御,建立自身的情報生產和消費能力,挖掘出潛在和未知威脅,并及時有效的彌補防御弱點。
五大組件全面覆蓋威脅情報所有環節
汪列軍稱,此次奇安信發布的TIOS基于威脅情報中心多年的實戰積累,通過提供一套包含五大組件的組合級解決方案,支持各安全組件按需靈活擴展和組合,在隔離網或聯網場景下均適用,幫助政企機構完成威脅情報生產與生產的有效運營。
具體如下:
第一,樣本鑒定平臺(Singularity)。
《2020年中國互聯網網絡安全報告》顯示,惡意程序傳播與治理對抗性加劇,全年捕獲惡意程序樣本數量超過4200萬個,僅日均傳播次數就達482萬余次。
樣本鑒定平臺通過靜態+動態的多引擎檢測方式,結合自研和業界多款知名反病毒引擎、高級威脅檢測引擎、高對抗行為分析、威脅情報關聯、自動化標定文件tag等,提供實時在線檢測分析能力,輸出精準的檢測結果、具體的威脅類別以及直觀的分析報告,滿足多個場景下對惡意樣本的檢測、研判、分析溯源需求。
第二,情報運營平臺(Tide)。
奇安信威脅情報中心作為國內首個商用威脅情報中心,已經建立了一整套完善的“高價值情報運營體系”,在兼顧威脅情報的準確率和召回率的同時,能以“情報內生”的方式,將威脅情報生產+運營能力下沉至用戶本地。
情報運營平臺具備強大的威脅研判分析能力,為用戶提供情報鑒定、人工運營等功能。并且通過對象研判處理、元數據提取、狀態變更、情報標定以及運營判斷等處置流程,對樣本運營進行全生命周期管理。與此同時,為保證威脅情報檢測的準確率,所有生產的情報IOC必須經人工審核流程處理后才會投入使用。
第三,威脅情報平臺(Quark)。
需要注意的是,由于不同威脅情報供應商在數據覆蓋度和專注領域的區別,采用單一威脅情報源極易產生漏報現象。奇安信威脅情報平臺引入了多源威脅情報,經聚合及綜合研判后輸出可信度較高的信息,還能夠通過各類高速查詢接口為本地的大數據平臺提供豐富的上下文,大幅提升威脅情報檢測的準確率,降低誤報率和漏報率。
不僅如此,威脅情報平臺還可實現用戶自身環境內自產威脅情報數據的導入,并以標準STIX格式,實現本地威脅情報的共享,提升整個行業的安全基線。
第四,郵件檢測系統(White hole)。
在APT分析中,郵件攻擊檢測主要采用攻擊郵件探針的探測,再結合規則引擎的分析檢測結果,將攻擊郵件探針所采用的目標IP、收發件人、郵件正文等內容與“威脅情報+私有情報”進行匹配,即可判斷是否遭受高級APT郵件攻擊。
郵件檢測系統利用多項技術挖掘郵件正文、郵件附件中高級威脅信息,依賴團隊長期跟蹤的高級威脅團伙對各類郵件中的云附件進行標記,檢測出實際的攻擊類型、郵件中包含的特征以及各類攻擊手段,追蹤并跟進到更多的高級APT攻擊團伙,是企業實現高級威脅郵件檢測與APT追蹤的一種有效手段。
第五,同源分析系統(Megalodon)。
為了躲避檢測,惡意樣本不斷采用多態和變形等方式,使得分析師很難發現樣本中的同源關系(若惡意樣本由同一惡意代碼采用代碼復用的方式演變而來,或行為具有相似性,而出現存在先后的關系,則稱它們為同源),給攻擊組織溯源帶來了極大的挑戰,難以制定具有針對性的防御策略。
在經過樣本鑒定平臺后,用戶可將滿足條件的樣本投入文件同源分析平臺。該組件利用基于機器學習的(高級)惡意樣本分類識別引擎,抽取樣本文件的元數據,通過同源分類算法(和已有典型樣本文件或指定病毒文件的元數據進行相似性計算)快速找出已知APT攻擊團伙、惡意家族的未知相似樣本,確定是否存在明顯的同源性或者是否可以歸為一個家族,來判斷樣本的同源性和家族屬性,協助研判未知威脅發現。
汪列軍強調,TIOS集威脅情報研判能力、運營數據處理能力、文件深度鑒定能力、郵件攻擊檢測能力及樣本同源分析能力于一體,是使生產私有情報落地、利用情報完善攻擊發現、安全事件分析響應處置及預防相關工作的最佳利器。
