前两年大热的电视剧《伪装者》中,提到了一份“死间计划”,这一幕在战场曾真实发生过。二战中,盟军依靠计算机之父图灵破解了德国的密码,得知德国马上要对考文垂进行轰炸。但是为了争取更大的决定性胜利,盟军选择不让德国人知道己方已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的,从而一步步走进了盟军的圈套。
在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:穿梭于各大安全论坛,装作黑客的样子,开心地与之讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。
一、威胁情报
21世纪已经步入科技时代、互联网时代,在这个时代,我们获得了太多的便利。借助互联网,似乎只有我们想不到的,没有搜不到的。互联网时代下的网络,集合了各类数据,为当下的生产生活提供了参考指南。然而任何事物的发展,从来都不会是一蹴而就的,也都不是一帆风顺的。我们在正视网络带来的诸多好处的同时,也应理性、冷静对待同时带来的一些弊端。
当前,网络空间的广度和深度不断拓展、安全攻防战日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现,当前的网络安全正处在一个转型升级的上升期。
1. 传统网络防御
传统网络安全防护手段主要采取攻击行为感知、收集与分析、通报等防御手段,通过部署防火墙、入侵检测系统等安全产品,配置相应访问控制策略和审计策略,对网络安全状况进行监测。当发生网络安全事件时,采取应急响应和地域措施,事后进行备份与恢复操作。虽然这种防护模式能抵御一定的网络安全攻击,但仍具有滞后性,事件处理效果受限于安全事件的识别能力、响应速度及时候数据备份与恢复的效率。
目前,安全界普遍认同的一个理念是:仅仅防御是不够的,被动的“挨打”永远不会是解决之道,要想保证自身的安全,需要拿起武器,主动反击。在这样的反击战中,所谓“知己知彼,百战不殆”,实时掌握对方形势动态,才能更好的响应与应对。安全情报,就像是八百里加急快报送来的敌情。
2. 安全情报与威胁情报
安全情报(Security Intelligence)是一个宽泛的概念,主要包括了威胁情报、漏洞情报、事件情报以及基础数据情报。其中,威胁情报已然成为近几年国内外安全领域的热点。这里的“情报”既是知识,也是载体,既是输入,也是输出。
如果将威胁情报单纯的理解为“敌情”和“知彼”,安全情报在这个基础上还需要关注“我情”和“知己”,因此安全情报也可以被称为“广义威胁情报”。
3. 威胁情报重要性
信息安全教主级公司Gartner认为,威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。简言之,威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。
具体来说,威胁情报可以帮助人们解决如下问题:
- 如何跟得上包括恶意攻击、攻击方法、安全漏洞、黑客目标等等在内的如潮水般海量的安全威胁信息?
- 面对未来的安全威胁,如何获取更多的主动?
- 如何向领导汇报具体安全威胁的危险和影响?
“所有的系统一定可以被入侵。”这是威胁情报专家,Sec-UN网站创始人金湘宇给出的“悲观论断”。他认为,互联网攻击的技术在不断提高,而所有的系统都存在漏洞,避免被攻击在逻辑上并不成立。
原来认为网络安全就是做木桶,只要补上短板就可以高枕无忧,现在发现安全玩的是塔防,要实时应对到来的威胁。往往网站信息泄露数天之后,被攻击者才得知自己遭受攻击,这样的攻防已经完全失衡了。
因此,可以想象一份及时、精准的威胁情报对于网络防御是多么的重要。通过威胁情报,企业会对未来的攻击拥有免疫力,这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段,一旦进入威胁情报,就被重点监控。如果攻击者第二次还在用同样的后门,就等于主动跑到了探照灯下羊入虎口,你还死不死?
小编联想到之前某个论坛上有“大神”爆料,目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐,这表明美国或许已经拥有了一份精准的威胁情报,对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇,其中有60%—70%的攻击路径,美国并没有曝光,目的就是给对手造成一种假象。没错,美国正在静静地看着对手“表演”。
4 .威胁情报处理流程
- 计划、要求和方向——情报收集的计划和方向包括对整个情报工作的管理(从有限情报要求到最终情报产品)。
- 收集——建立好的方向,威胁情报服务从相关来源里收集潜在有用的原始数据。
- 处理——将收集到的数据转换为更适用于详细分析的标准格式。
- 分析和产品——收集到的数据被安全行业内的专家分析以辨识出对消费者环境的潜在威胁,用来对相应威胁产生响应的威胁对策也在这一阶段开发。
- 传播——情报分析结果提交给客户,以便执行保护性措施。
二、威胁情报厂商
根据真实事件改编的电影《斯诺登》中的一句话,“Secrecy is security and security is victory”,其中的含义不言而喻。
在小编看来,电影中的情节并不夸张。生活在互联网时代,无论是从国家层面还是企业层面,安全领域打的就是信息战。如今,越来越多的企业高层意识到,威胁情报是针对高级网络攻击的有力武器。根据Gartner分析师Rob McMillan和Khusbu Pratap的说法:“到2018年,全球60%的大型企业将使用商用威胁情报服务,帮助他们制定安全策略。”
那么,世界上现在有哪些代表性的威胁情报厂商呢?
1. 美国厂商
(1) Palo Alto Networks
创立于2005年,总部位于美国加利福尼亚州圣克拉拉,是一家为网络及资讯安全软件制作商,提供网络安全解决方案,其核心平台的防火牆,为在整个企业网路上传输的应用程式、使用者和内容提供可视度和控制。
产品:Palo Alto Networks AutoFocus
Palo Alto Networks AutoFocus威胁情报服务,能够为各种规模的组织提供威胁分析,包括智能分析、相关性分析、上下文分析,并自动响应实时事件,做出实时流量防护分析。
(2) AlienVault
AlienVault是硅谷初创网络安全企业,业务主要针对中小型企业提供统一安全管理平台(USM)、开放式威胁情报交换平台(OTX)等网络安全产品。该公司已于2018年7月被美国移动运营商AT&T宣布收购。
产品:OTX开源威胁情报社区、USM安全管理平台(软件部署)
AlienVault旗下产品OTX是全球最大的免费威胁情报社区,每天能够提供超过400,000个威胁情报指标。另一产品USM统一安全管理平台(Unified Security Management)是通过单一平台进行企业整体安全业务管理。声称能够从网络中的任何地方发现威胁,而不仅仅通过防火墙,且能够将发现的威胁以KILL CHAIN的不同阶段进行归类。USM能够提供:统一、协调的安全监控;简单安全事件管理和报告;持续的威胁情报信息;快速部署;集成多项安全功能。
(3) IBM Security
IBM(国际商业机器公司)或万国商业机器公司,简称IBM(International Business Machines Corporation)。总公司在纽约州阿蒙克市。1911年托马斯·沃森创立于美国,是全球最大的信息技术和业务解决方案公司。2006年IBM收购Internet Security Systems 和X-Force,2007年收购的Watchfire,2013年收购的Trusteer,加上自己的安全部门和研发部门,开拓了自己的威胁情报业务。IBM的威胁情报业务基本与其他服务捆绑在一起,只有X-Force威胁分析服务和高级网络威胁情报服务是例外。IBM的内容分析SDK也可以介入威胁情报源。
产品:x-force 情报社区、胁情报服务(MSSP)、QRadar安全情报平台
x-force 情报社区是一个协同威胁情报平台,它能帮助安全分析师研究威胁目标,以帮助加快行动的速度,并且每个月能够免费提供5000条安全记录。它拥有查询功能和无限的可扩展性,并可以提供IP和URL、web应用程序、恶意软件、漏洞和垃圾邮件相关的情报。
(4) Anomali
威胁情报平台供应商,总部位于美国。截至2018年1约17日,该公司累计融资9600万美金,其背后有谷歌公司、中央情报局(CIA)投资。
产品:ThreatStream
ThreatStream聚集了数以万计的威胁情报信息来识别新的攻击,并发现已知的漏洞,使安全团队能够快速发现并阻止相关威胁。 其主要功能包括:重复数据删除,清除误报,与其他安全工具集成,并防止钓鱼邮件窃取你的数据。 该公司还提供几个免费的威胁情报工具。
(5) Crowdstrike
CrowdStrike由两名McAfee前员工于2011年创立。该公司提供专注于检测和阻止定向攻击,特色是主动防御。帮助政府和企业发现并阻止正在发生的黑客攻击。客户超过170个国家,全球十大企业中有三家,全球十大金融机构有五家使用crowdstrike的服务。其产品Falcon系统是一个主动防御的大数据云平台。
产品:Falcon终端EDR、Falcon威胁情报订阅和Falcon平台
Falcon终端EDR:Falcon终端检测和响应服务方案能够解决Silent failure的问题。(Silent failure:威胁发生到警报响起中间的这段时间)。其声称只需5秒调查就能发现历史和正在进行的终端行为;结合威胁情报能力,具备更全面的视角和战术、技术的事件响应能力。部署简单,无需硬件和存储资源。
Falcon威胁情报订阅(Falcon Threat Intelligence):能够获取及时准确的情报信息。支持多种输出格式:yara, snort, CEF等。提供API方式获取情报信息,包括IOC。已分析出了超过70个攻击者的技术、战术和规程信息(TTPs)和攻击团伙信息。提供有API和 Feeds,可以轻松和现存基础设施对接。目前已联合以下公司加入威胁情报交换计划:Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.
Falcon平台:基于大数据分析的主动防御平台,可监控企业的数据,侦测零日威胁,并防止定向攻击造成的破坏。平台还可以识别恶意软件,学习攻击者特征,然后形成一套响应措施,提高对方攻击的风险和代价。
(6) Secureworks
Secureworks是Dell旗下公司,去年独立上市。SecureWorks 是比较典型的MSSP(托管安全服务商),因此较为中立,整合了全球多家技术和方案为客户提供服务,主要为客户提供安全服务、安全与风险咨询以及威胁情报等。
产品:Enterprise Security Counter Threat Platform(SaaS)
为各种规模的客户同时提供有针对性和全球威胁情报,以及高级或附加服务。戴尔全球威胁情报(Dell Global Threat Intelligence)提供三种基于订阅的数据源:漏洞、威胁和咨询,这是一个通用或者说非针对性威胁情报服务,它是基于从数千SecureWorks全球客户收集的威胁数据。另一方面,戴尔针对性威胁情报(Dell Targeted Threat Intelligence)可以根据特定企业环境、品牌和管理人员进行定制化,以发现潜在威胁和构成潜在风险的威胁因素。SecureWorks附加服务包括攻击者数据库、CTU支持、恶意软件分析和无边界威胁监控。
(7) Fireeye(火眼)
FireEye是一家提供APT防护产品及服务的公司,成立于2004年。FireEye近年来积极开展威胁情报业务并进行战略合作。FireEye的高级威胁情报(ATI+)从FireEye全球传感器(核心是其大名鼎鼎的沙箱系列产品)中提取威胁数据,并与旗下公司曼迪昂特(Mandiant)的事件响应数据相融合,产生情报产品。FireEye目前能够提供战术、战略和运营情报。2016年它收购了老牌的威胁情报厂商iSightPartners,使其在威胁情报方面的实力更上一层楼。
产品:iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台
FireEye提供5种不同的iSIGHT情报订阅,专门为不同的安全工作角色而设计:
- iSIGHT战术情报:针对战术性技术性用户,该基本订阅服务提供丰富的数据源和警报。战术性用户没有门户访问权限,所以他们不会收到情报报告。
- iSIGHT操作情报:针对安全运营中心(SOC)人员以及事件响应(IR)团队,此订阅服务提供可操作内容,例如威胁行为者和恶意软件配置文件,以及数据源和情报。它还包括优先级过滤器,以帮助安全人员首先关注高优先级威胁。
- iSIGHT融合情报:该情报中的分析报告和技术情报可帮助SOC和IR人员搜索攻击者,并且,该情报是根据企业网络风险配置文件而定制。该订阅服务包含“操作情报订阅”中所有内容,并包括防御方案、行业分析等。
- iSIGHT高管情报:该订阅服务针对首席信息安全官以及管理人员,这可为他们提供精简的非技术信息来做出风险、投资和战略决策。
- iSIGHT漏洞情报:此订阅服务主要针对负责确保补丁管理执行以及评估和优先排序漏洞的IT人员。该订阅提供的数据包括修补程序的信息,以及新兴威胁信息。
FireEye Threat Intelligence是基于设备的自动化抵御零日和其他高级网络攻击的平台的一部分,小型、中型和大型企业客户可以购买FireEye设备,再订阅其威胁情报产品。该服务让企业可以查看有关全球威胁的海量数据,它旨在帮助FireEye客户识别威胁因素和网络及系统泄露事故的指标。该服务提供三种级别的威胁情报订阅:动态、高级和高级+。
(8) Symantec(赛门铁克)
赛门铁克是信息安全领域全球领先的解决方案提供商, 成立于1982年,公司总部位于加利福尼亚州的 Cupertino,现已在全球 40 多个国家和地区设有分支机构。
产品:DeepSight Intelligence
在威胁情报市场,赛门铁克最知名的就是DeepSight服务,属于实时监控和通知的范畴,提供安全风险,漏洞,IP,URL,域名信用库情报。赛门铁克较高端的服务提供更深入的分析,基于这一点,赛门铁克在威胁情报的获取和分析方面并不突出。赛门铁克提供分集的服务,以满足低预算和高预算的需求,大部分客户购买的为低价服务,而高价服务的交易额占其收入的很大部分。像赛门铁克这样大型的企业,业务遍布全球多个地区,但略微偏向北美,涉及众多垂直行业,较为倚重金融服务。
(9) RiskIQ
RiskIQ成立于2009年,RiskIQ定位为数字风险监控厂商。致力于让企业及组织客户能够访问安全智能和应用程序,从而保护数字攻击面、定位业务风险。客户能够随时发现和处理恶意软件、恶意广告和恶意 App,降低网络、移动及社交工具的威胁。RiskIQ 通过全球代理网络每天持续扫描数以千万计的网站,随时向客户报告异常情况。据悉美国前十大金融机构中有八家都适用RiskIQ追踪监控企业web和移动应用资产。2015年收购Passive Total的威胁分析平台扩张自己的服务领域。
产品: PassiveTotal威胁分析平台、安全情报服务
(10) TrendMicro(趋势科技)
总部位于日本东京和美国硅谷,在全球38个国家和地区设有分公司,拥有7个全球研发中心,是一家高速成长的跨国信息安全软件公司。
产品:趋势科技旗下Digital Vaccine Labs提供实时、准确的威胁情报,TippingPoint Advanced Threat Protection系列产品可通过监控所有端口和100多种协议,检测入侵,出站或横向移动的未知威胁,将未知数据转化为已知数据,并与众多安全工具(包括TippingPoint NGIPS)共享威胁信息。
2. 俄罗斯厂商
(1) Group-IB
总部位于俄罗斯莫斯科,对东欧网络威胁和诈骗活动深入研究。该厂商主要为金融行业服务。
产品:威胁情报解决方案
Group IB的威胁情报经验与能力已经被融合进高复杂度的软硬件生态系统解决方案中,以实现对网络威胁的监控、识别和预防。同时,Group IB也提供高级威胁情报咨询和应急响应服务。
(2) Kaspersky(卡巴斯基)
总部设在俄罗斯首都莫斯科,全名“卡巴斯基实验室”,是国际著名的信息安全领导厂商,创始人为俄罗斯人尤金·卡巴斯基。
产品:HuMachine Intelligence
HuMachine Intelligence是卡巴斯基推出的基于行为分析和机器学习算法的保护手段,结合了人工智能技术和卡巴斯基自身安全团队的优势,是基于下一代技术的高级解决方案。
3. 英国厂商
(1) Sophos
Sophos全球总部位于英国牛津近郊。该公司开发用于通信端点、加密、网络安全、电子邮件安全、移动安全和统一威胁管理的产品。
产品:Sophos Labs
Sophos Labs是Sophos的全球安全研究中心,从事对全球的安全隐患的调查研究,并24小时提供对任何地区任何新型病毒的预防和有效防御的分析报告。
(2) Digital Shadows
网络安全公司,重点关注互联网攻击和数据窃取问题。会监控互联网和暗网,防止窃取个人资料(包括员工的电子邮件和密码)、敏感文件线上共享安全、以及聊天室网络犯罪等。
产品:SearchLight
Digital Shadows的旗舰产品SearchLight是一款网络数据监控工具,现支持30多种语言,1亿多条数据源。这些数据源包括社交媒体、犯罪论坛、GitHub、加密暗网Tor、I2P等等。
4. 以色列厂商
CheckPoint
全称Check Point软件技术有限公司,成立于1993年,总部位于美国加利福尼亚州红木城,国际总部位于以色列莱莫干市,是全球首屈一指的Internet 安全解决方案供应商。
产品:ThreatCloud IntelliStore
CheckPoint旗下的ThreatCloud IntelliStore能够让高度相关且最新的网络威胁情报源转化为用户网络中基于特定地理位置、行业和保护类型的威胁情报,从而将威胁情报数据转化为可行的安全保护,主动阻止威胁,管理安全服务,监控网络攻击事件,从而快速响应和解决攻击。
三、总结
威胁情报一直是安全行业热议的话题,实际上在国内的发展还比较稚嫩。威胁情报具有优秀的预警能力、快速响应能力,并且能改善管理层之间的沟通、加强策略规划和投资。但是大部分企业机构并不具备充分利用威胁情报的能力:数据量太大且过于复杂;拥有相关知识的人才匮乏。
大数据时代,人类利用机器的超级计算能力辅助收集和处理海量数据,从中找出有价值的信息和情报,如何利用好这些信息和情报还是要依赖人的知识和决策能力。获得实用化情报固然重要,但一个高水平的安全团队对于利用好这些情报,作出正确的决策是更重要的。任何一个先进的安全情报系统也不可能取代安全团队。请记住:“人”才是威胁情报利用的核心。掌握了“人”这一力量,方能构建威胁情报体系,协同联动,扭转攻防失衡的局面。
