从认知到生态,国内威胁情报市场新变化
【编者按】近日,以“协同安全能力·共建情报生态“为主题的威胁情报生态大会在北京举行。会议汇聚了来自不同领域的专家及领导,分别从威胁情报生态的不同角色,分享了威胁情报在安全信息通报、安全能力建设、安全体系建设、威胁捕猎等多个领域的应用、以及基于威胁情报生态的合作模式和实践探索。
本文首发于安全牛,作者左小格;由编辑,供行业人士参考。
一、情报驱动的安全体系建设
会议中360企业安全集团总裁吴云坤发表了题为“情报驱动的安全体系建设”的主题演讲,在数字化转型的大背景下,面对越来越多样化和未知性的安全威胁和新的网络安全形势,网络安全建设必须从被动的威胁应对和标准合规的规划模式,走向面向能力的体系化同步建设模式,在演讲中,吴云坤提出了面向能力的体系化建设的三个关键点:
关键点1:关口前移,与信息化同步规划与建设综合防御能力体系。
参照SANS的网络安全滑动标尺基础模型,在规划与建设中分五个阶段组织安全能力,进而从能力的角度构建防御体系。
第一阶段“基础架构安全”,把内设安全放进去,利用信息化系统自身的能力,缩小攻击面。
第二阶段“纵深防御”,在信息化的基础设施之上附着安全,通过设备、软件、配置策略等进一步缩小攻击面,消耗进攻者的资源。
这两阶段偏静态的防御能力体系,强调“深度结合,全面覆盖”,覆盖信息化的每一个点,实现与信息化的深入结合。
第三阶段“积极防御”,更多采用监测、识别、溯源、猎杀,还有可能通过指挥调度来做应急处置。
第四阶段“情报体系”,对于积极防御有非常大的作用。
这两个阶段是偏动态的积极防御能力体系。强调“掌握敌情、协同响应”,实现对安全事件的快速应急处置。
静态综合防御能力体系和动态积极防御能力体系的结合,构成了能力导向的安全体系。关口前移,描述的是偏静态的综合防御体系,强调安全措施应该覆盖所有体系中不同层次的信息化系统,通过安全与信息化的深度结合,实现内生安全。比如做数据安全,规划必须回到云信息化的技术化层次描述各个层次的控制点,回到云信息化本身做内生安全。
关键点2:威胁情报是构建积极防御能力体系的关键
吴云坤指出威胁情报的消化理解不单单是用于检测和响应,更大的价值是在于对综合防御体系、基础结构安全和纵深防御体系有很大的指导作用。在综合防御体系中,将情报消化理解到安全措施,安全措施既包含相对静态的防御措施又包含动态的防御措施,情报的利用是整体的完善的体系。用一句话描述就是:
“从IOC转化成为监测特征,从TTP转化成为态势感知的心智模型,从漏洞情报转化成为资产匹配筛选模板以及从覆盖全环境/情报发现者环境的威胁情报,做减法匹配到实际的具体信息化环境(资产、配置、拓扑等)。”
关键点3:威胁情报能力构建,需要从生态开始
从威胁情报的典型应用场景我们发现单单的威胁情报不会发挥作用,只有融入到总体的防御体系中才能体现价值,所以威胁情报能力的构建必须要从生态开始,如何有效利用威胁情报不是一个在实验室研究数据的过程,它是一个综合的防御体系如何有效把态势感知消化威胁情报的结果应用于防御体系的过程,这个过程当中涉及到非常多的生态角色,有网络安全监管机构、信息化服务商、行业用户、研究机构,也有安全厂商,这些生态角色相互协作,构建形成威胁情报生态。
二、威胁情报大数据共享开放平台
CNTIC工作组第六研究室主任刘宝旭在会议中介绍了“国家网络空间威胁情报大数据共享开放平台”建设的重要意义及成果。“威胁情报大数据共享开放平台”由国家保密局组织,信工所牵头于2017年正式成立,当前已经整合接入情报源共8家安全厂商(360企业安全、安天、亚信安全、绿盟、天融信、深信服、锐安科技、中测安华、锐安科技),共建单位4家,意向单位6家,海关部门脱敏数据、主管部门数据及监管机构数据也逐渐进入平台,目前平台已有800多亿条可访问数据,平台自身存储中心数据共80多亿条。
多方机构情报汇集汇聚与共享,有效解决了信息孤岛和情报分片化的问题,CNTIC将收集的数据整合之后进行分析、挖掘、处理形成高价值情报,再通过一种可控共享的手段为各类用户(主管部门、监管机构、企事业单位和社会公众)提供高价值、可靠、安全的威胁情报。
三、威胁情报市场的预测及建议
IDC调研发现,国内威胁情报安全服务提供商在2018年威胁情报直接收入相较于2017年普遍呈现高速增长态势(多数企业威胁情报收入YoY远超50%)。但现阶段,威胁情报技术和市场还处于前期发展阶段,参与厂商较多且数据描述和传输所遵循的协议不尽相同,厂商之间的生态合作仍存在壁垒,因此迫切需要建设一个互利共赢的威胁情报生态。
IDC预测全球到2021年将(中国将在2022年)有50%的自动报警将是自动响应,不受人类分析师的影响;2024年全球90%(中国70%)的托管安全服务客户将采用威胁生命周期服务。IDC建议无论是行业客户还是
