0
本文作者: 靈火K | 2019-08-08 11:48 |
讓我們來看看威脅情報(bào)“黑客特工”的真實(shí)生活吧!
一名高級(jí)特工偷偷潛入了一個(gè)黑產(chǎn)團(tuán)伙,為了獲取有價(jià)值的情報(bào)信息,他日夜堅(jiān)守在時(shí)刻存在危險(xiǎn)的一線,甚至要偽裝成為黑產(chǎn)共同行動(dòng),在每一個(gè)行動(dòng)中發(fā)現(xiàn)蛛絲馬跡,最后將這些信息匯總分析成有價(jià)值的情報(bào)傳回總部。
這也許是網(wǎng)絡(luò)安全、威脅情報(bào)領(lǐng)域最真實(shí)的寫照,這些特工們將更多的計(jì)算機(jī)網(wǎng)絡(luò)、云端和千千萬(wàn)萬(wàn)的算法模型構(gòu)建出來的超級(jí)大腦,實(shí)時(shí)監(jiān)控和監(jiān)測(cè)那些不法分子的入侵,獲取有價(jià)值的信息和情報(bào),將這些團(tuán)伙一網(wǎng)打盡。
目前的網(wǎng)絡(luò)安全正在向數(shù)據(jù)化、云端化、實(shí)戰(zhàn)化的方向發(fā)展,對(duì)于企業(yè)而言,有效的入侵檢測(cè)是不可或缺的能力,建立全面可持續(xù)的威脅監(jiān)控,及時(shí)掌握來自網(wǎng)絡(luò)的未知威脅情報(bào),是企業(yè)安全戰(zhàn)略中的關(guān)鍵一環(huán)。雷鋒網(wǎng)雷鋒網(wǎng)
為更進(jìn)一步了解威脅情報(bào)行業(yè)的發(fā)展及技術(shù)突破,雷鋒網(wǎng)和微步在線CEO薛鋒聊了聊,并讓他為我們深度解讀威脅情報(bào)(特工)領(lǐng)域(真實(shí)生活)的發(fā)展?fàn)顟B(tài)。
威脅情報(bào)的“神秘面紗”
很多企業(yè),甚至是安全廠商認(rèn)為威脅情報(bào)是一個(gè)很抽象、很神秘的概念,但是威脅情報(bào)在網(wǎng)絡(luò)安全市場(chǎng)卻并不陌生。威脅情報(bào)針對(duì)威脅者利用惡意軟件、漏洞,收集用于評(píng)估和檢測(cè)的數(shù)據(jù),這些情報(bào)數(shù)據(jù)能夠讓安全團(tuán)隊(duì)更快地響應(yīng)攻擊和緊急威脅,幫助企業(yè)優(yōu)化漏洞修復(fù),制定安全防控策略。
“我經(jīng)常用這個(gè)比喻,威脅情報(bào)就像 AI 技術(shù),當(dāng)我們談這樣一個(gè)抽象的技術(shù)時(shí),其實(shí)很難理解它到底有什么用,或是如何落地的,因?yàn)樗且粋€(gè)底層技術(shù)。但是如果我們將這技術(shù)應(yīng)用在一個(gè)系統(tǒng)中,告訴客戶可以實(shí)現(xiàn)什么樣的功能,他們就很容易理解。” 薛鋒表示。
其實(shí)無(wú)論是威脅情報(bào),還是 AI、大數(shù)據(jù)分析,這些技術(shù)都能派生出其獨(dú)立產(chǎn)品,并改變行業(yè)生態(tài)。威脅情報(bào)也會(huì)滲入到很多安全產(chǎn)品中,如WAF、IDS、SOC等,最終在后臺(tái)“施展拳腳”。
一個(gè)典型的例子就是 CrowdStrike 公司,這家終端公司的背后有強(qiáng)大的威脅情報(bào)平臺(tái)作為支撐,他們會(huì)將威脅情報(bào)轉(zhuǎn)化為一個(gè)終端或是一套軟件呈現(xiàn)給客戶,幫助用戶解決安全問題,情報(bào)能力與呈現(xiàn)給公司的產(chǎn)品落地場(chǎng)景不太一樣。
在威脅情報(bào)的應(yīng)用中,用戶拿到的是威脅情報(bào)廠商分析之后的結(jié)果和信息,而不是制造和研究情報(bào)的能力模型,相比于內(nèi)部的核心算法,用戶更在乎的是威脅情報(bào)的結(jié)果,至于底層分析的引擎,用戶不關(guān)心。雖然用戶看不到實(shí)際的威脅情報(bào),但是在他們購(gòu)買并使用產(chǎn)品之后威脅情報(bào)的“使命”就已經(jīng)開始,這也是威脅情報(bào)保持“神秘面紗”的重要原因之一。
但是,對(duì)于有些行業(yè)的公司來說,很看重自身核心業(yè)務(wù)的數(shù)據(jù)安全,根據(jù)微步在線的經(jīng)驗(yàn),薛鋒將其分為兩種情況?!霸谕{情報(bào)項(xiàng)目落地時(shí),一種是比較理想化的場(chǎng)景,用戶的環(huán)境和數(shù)據(jù)與微步在線的云端進(jìn)行連接,這種情況的前提就是用戶的數(shù)據(jù)敏感度不高,并且充分信任我們的環(huán)境。另一種情況就是客戶的數(shù)據(jù)我們不能對(duì)接,此時(shí)就需要一種落地的方式,將前端的處理方式在用戶的環(huán)境里落地,將獲取的信息情報(bào)單向推送給用戶。”
很多涉及到信息安全的產(chǎn)品后臺(tái)都有多個(gè)開關(guān),允許用戶去調(diào)配,設(shè)定用戶與產(chǎn)品之間有多大程度的聯(lián)通,是單向還是雙向,是充分還是一半,這是需要向用戶公開的。以微步在線為例,在云端上傳的用戶信息,都要有用戶的審核,需要在用戶知情的情況下進(jìn)行,這是對(duì)用戶信息與隱私的尊重,更是在開展威脅情報(bào)落地中不容忽視的一點(diǎn)。
1000萬(wàn)獎(jiǎng)勵(lì)計(jì)劃
在開展威脅情報(bào)服務(wù)中存在一個(gè)巨大的“黑戶”——黑產(chǎn),為了能夠更好地在云端進(jìn)行安全防護(hù),與這些“心腹大患”對(duì)抗,微步在線在“2019網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)”現(xiàn)場(chǎng)向社會(huì)發(fā)起了1000萬(wàn)情報(bào)獎(jiǎng)勵(lì)計(jì)劃。
薛鋒坦言稱:“全國(guó)每天有那么多生產(chǎn)在活動(dòng),受騙的人遠(yuǎn)比我們想象中的要多,但是我們微步在線本身沒有那么多人,所以我們希望一些技術(shù)人員可以將掌握的有價(jià)值的情報(bào)信息展現(xiàn)出來?!?/p>
這個(gè)獎(jiǎng)勵(lì)計(jì)劃本質(zhì)上是一種有償?shù)那閳?bào)共享行為,利用眾人的智慧,共同“圍剿”黑產(chǎn)。薛鋒表示,這個(gè)獎(jiǎng)勵(lì)計(jì)劃實(shí)行匿名制度,在不觸碰用戶隱私的情況下挖出黑產(chǎn)們的不合法行為。
“有的情報(bào)可能要幾十塊錢,有的則要幾萬(wàn)塊,我們根據(jù)用戶給我們東西的價(jià)值去決定獎(jiǎng)勵(lì)的金額。目前這個(gè)計(jì)劃已經(jīng)上線了一個(gè)星期,但是第一天就已經(jīng)收到了十幾個(gè)用戶提交的線索,其中包括IP、木馬情報(bào)和境外團(tuán)伙等。從整體上來看,雖然這個(gè)計(jì)劃是面向全社會(huì),但是最終參與者一般都是技術(shù)人員,一方面其他人可能對(duì)這個(gè)并不感興趣,另一方面他們手里并不掌握這一方面的線索?!?/p>
在薛鋒看來,這個(gè)計(jì)劃能夠吸引到一批技術(shù)人員是一件值得高興的事情,這讓威脅情報(bào)“更接地氣兒”,他稱看到了情報(bào)威脅領(lǐng)域內(nèi)存在的活力、熱情和希望。
“在網(wǎng)絡(luò)安全中存在問題有很多,解決辦法有很多,遇到的困難也會(huì)很多;發(fā)動(dòng)群眾的智慧,進(jìn)行眾包是一個(gè)比較省力的辦法。但是沒有人愿意無(wú)償?shù)鼗敲炊嘈乃既プ?,因而需要一個(gè)平臺(tái),一種全新的方式把這個(gè)機(jī)制撬動(dòng)起來,以推動(dòng)情報(bào)共享?!?/p>
實(shí)際上,在情報(bào)共享方面,微步在線早就與很多大型公司、安全廠商有所行動(dòng)。去年 7 月,中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)成立威脅情報(bào)共享工作組,微步在線作為組長(zhǎng)單位;此外,微步在線還與平安、萬(wàn)能鑰匙 wifi、奇安信、數(shù)字觀星,以及上海的一些單位共同成立了一個(gè)威脅情報(bào)共享聯(lián)盟,共享情報(bào)信息。
“但其實(shí)這些共享平臺(tái)的直接共享性還是有一定的難度。一方面,任何數(shù)據(jù)共享都需要去衡量付出和收獲的比例,如果無(wú)法衡量的話,每個(gè)成員機(jī)構(gòu)都會(huì)只考慮自身利益而忘記顧全大局。另一方面,怎么轉(zhuǎn)化十個(gè)情報(bào)跟一個(gè)情報(bào)的重要性比例?這其中存在著公平問題、動(dòng)機(jī)問題,都是很難解決的?!?/p>
雖然這些問題沒有一個(gè)完美的解決方案,但這些聯(lián)盟也已經(jīng)開展了很多的工作,比如中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)的威脅情報(bào)共享工作組,成員單位之間有統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一接口、統(tǒng)一語(yǔ)言,雖然還遠(yuǎn)達(dá)不到很多人期望或者理想的狀態(tài),但實(shí)則已在推動(dòng)整個(gè)行業(yè)的發(fā)展。
“賦能”國(guó)內(nèi)威脅情報(bào)
威脅情報(bào)的發(fā)展離不開社會(huì)的關(guān)注,最近國(guó)內(nèi)推出了等保2.0,其中首次出現(xiàn)了對(duì)“威脅情報(bào)檢測(cè)系統(tǒng)”和“威脅情報(bào)庫(kù)”的要求。在薛鋒看來,威脅情報(bào)檢測(cè)系統(tǒng)進(jìn)入等保合規(guī)里并提出新的要求,這是等保2.0擁抱新技術(shù)的一個(gè)標(biāo)志,也是威脅情報(bào)行業(yè)在國(guó)內(nèi)逐步走向標(biāo)準(zhǔn)化、正規(guī)化和法制化的開端。
威脅情報(bào)在國(guó)內(nèi)起步較晚,在國(guó)內(nèi),很少有人愿意花錢去買這樣的服務(wù),但是仍舊有很多安全廠商持續(xù)去做。薛鋒稱,對(duì)于微步在線而言,不僅要在技術(shù)上保持持續(xù)更迭,還要不斷探索商業(yè)化道路,研究產(chǎn)品的落地形態(tài),深挖用戶需求。
“威脅情報(bào)需要考慮的是最終到用戶的手里的東西,是否能夠解決用戶的需求。否則情報(bào)再厲害,如果不能滿足用戶所需,也不會(huì)體現(xiàn)價(jià)值。隨著OneDNS正式落地,在業(yè)務(wù)落地方面的場(chǎng)景和產(chǎn)品化的能力上還要做更多的持續(xù)改進(jìn)和提升。”
目前,微步在線主要是對(duì)已有算法和模型的應(yīng)用,將這些技術(shù)應(yīng)用到網(wǎng)絡(luò)安全中,薛鋒表示微步要與AI相結(jié)合,更好地實(shí)現(xiàn)業(yè)務(wù)場(chǎng)景的展示。在提到微步在線如何保持威脅情報(bào)競(jìng)爭(zhēng)力時(shí),薛鋒指出了四個(gè)方面:
第一個(gè)是數(shù)據(jù)化,很多東西是數(shù)據(jù)化沉淀的結(jié)果,這些是別人不能輕易超越的東西;
第二個(gè)是模型化,在實(shí)踐中摸索和打磨出來的模型是別人短時(shí)間內(nèi)追趕不上;
第三個(gè)就是產(chǎn)品化,模型的提升永無(wú)止境,而產(chǎn)品化是產(chǎn)生競(jìng)爭(zhēng)差異的關(guān)鍵點(diǎn),這一點(diǎn)跟數(shù)據(jù)化一樣重要;
第四個(gè)就是人才的培養(yǎng),在威脅情報(bào)領(lǐng)域不僅要對(duì)技術(shù),包括機(jī)器學(xué)習(xí)和深度學(xué)習(xí)有所掌握,還要理解安全行業(yè)的業(yè)務(wù),綜合性人才的培養(yǎng)是保持競(jìng)爭(zhēng)力重要因素。
面對(duì)國(guó)內(nèi)市場(chǎng)的現(xiàn)狀,薛鋒看到了威脅情報(bào)在國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)發(fā)展的可行性和發(fā)展空間,而威脅情報(bào)的重要性也在全球化網(wǎng)絡(luò)環(huán)境中以越來越清晰的態(tài)勢(shì)展呈現(xiàn)出來。對(duì)于企業(yè)而言,把握好威脅情報(bào),對(duì)企業(yè)網(wǎng)絡(luò)安全和社會(huì)網(wǎng)絡(luò)安全都將具有重大意義。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。