99%误报与1%真实告警之间,差一个“威胁情报”

在网络安全领域,平均检测时间(MTTD)与平均响应时间(MTTR)是衡量企业应对威胁事件能力的重要指标。根据 SANS 2019
事件响应的调查,52.6%的企业平均检测时间少于24小时。一旦检测到事件,67%的企业平均响应时间低于24小时,整体已达到较高水平。这其中,威胁情报发挥了极大作用:稳定的情报输出,高精准度的情报检测,全方位的安全态势展现等,确保企业能够有效提升威胁检测与响应能力。

威胁情报的重要性已不言而喻。相比之下,国内安全从业者对于威胁情报的认知却依旧存在滞后与误差。

威胁情报在国内的发展现状如何?技术的关键点和认知误区有哪些?行业需要关注哪些因素?对于这些问题,微步在线全国渠道技术负责人李霂荣在国际信息系统安全认证联盟
(ISC)² 西南本地官方分会云讲坛做了关于威胁情报的线上分享。现公开分享全文,期待大家进一步交流探讨。

##国内威胁情报行业驶上高速路

2015年,威胁情报在国内正式起步。2019年5月,《网络安全等级保护标准2.0版》正式颁布,首次出现对于威胁情报的要求,明确在二、三、四级测评中,增加“威胁情报检测系统”。短短四年的时间,威胁情报作为一项新技术,受到了国家层面的认可。2020年8月,商务部、科技部调整发布《中国禁止出口限制出口技术条目》,新增“高性能检测技术”,其中包括“威胁情报生成技术”。至此,威胁情报也正式成为了一项国家级的关键技术。

行业应用上,越来越多的企业开始利用威胁情报辅助安全战略决策。从微步在线目前覆盖的服务客户来看,银行、证券、金融、高科技及能源、政府等都在广泛使用威胁情报,威胁情报的价值已逐渐被认同与接受。据Gartner
预测,到 2022 年,20%的大型企业将使用商业威胁情报服务来为其安全策略提供信息。

99%误报与1%真实告警之间,差一个“威胁情报”_第1张图片

##威胁情报的常见使用误区有哪些

绝大多数的安全从业者都已经意识到,单纯依靠防御来保护企业安全的效用在递减,通过威胁情报提高检测与响应的能力,越早发现威胁,采取行动,对于企业的损失就越小。但在实际的应用过程中,很多企业对威胁情报的理解和使用都存在不同程度的误区。

误区一
,用上威胁情报以后,产生的告警越多越好。这里要纠正一下,基于威胁情报的一些场景,它产生的告警其实并不是越多越好,而应该是越精准越好。一味追求大量的威胁告警,缓解企业对于安全的焦虑,好比一个人太渴想要喝水,却打开了消防水带的开关解渴。后果就是,安全分析师根本看不过来,也没法确定告警的优先级,或者去调查所有警报,只是浪费时间而已。

如果企业想看到更多的告警,用 IPS,WAF
就可以。威胁情报的目的之一,应该是减少误报,将真正有威胁的告警展示出来,而不是追求告警的数量。而且,实际的企业生产运营过程中,真正有威胁的、对维护企业安全有帮助的安全告警只占约1%,剩下99%的告警都是无关紧要的“无效告警”。

误区二
,威胁情报数量越多越好。目前国内外对于“正确”的威胁情报数量还没有一个权威的定义,所以号称“几亿”“几十亿”情报数量,听着很多,但不见得是对的。事实上,威胁情报并不是做得越多越好,应该是帮助越大越好,情报的价值在于帮助企业做更准确的检出。企业只需将所有的产品放到真实的环境进行测试,就能看出哪个产品的检出效果最好。

误区三
,威胁情报要明文数据。目前国内部分厂商表示自身是明文内置威胁情报,导致大家觉得威胁情报就得明文交付。事实上是这样吗?让我们回到使用威胁情报的“初心”:威胁情报只存在一种用途,那就是解决企业的安全问题。所以,企业在利用威胁情报的过程中,企业本身只需关注威胁情报的能力即可,将威胁情报的管理、收录、更新等等直接交给威胁情报供应商,无所谓明文或密文。只要情报精准,就可以体现情报的价值。

如果说传统的安全防护,重点在保护自身的安全,以“知己”为重点进行防御,那基于威胁情报的安全防护不仅具备“防御”能力,而且更“知彼”,能够对攻击者进行全面精准的描述,包括攻击者恶意样本、攻击者IP,远控域名,TTPs
战略战术等全方位信息。对于市面上已有的态势感知,SOC、SIEM、NDR、EDR 等产品,威胁情报都能进行赋能,实现更加高效的威胁检测与响应。

以态势感知为例,传统的态势感知会收集很多的告警信息,涵盖终端的病毒查杀日志,如多少台主机中了何种病毒等,但不同的信息之间缺乏关联性,对于企业安全人员来说,无法提供有效的结论,需要人工进行大量分析,耗时耗力。如果采用威胁情报结合态势感知,对其收集到的网络与终端告警进行关联分析,则能高效地检出全方位的安全事件以及相关信息,省时省力。

99%误报与1%真实告警之间,差一个“威胁情报”_第2张图片

##防护、响应、溯源……威胁情报的多种应用方式

除了能够赋能不同的安全产品,威胁情报在防护、响应、溯源等不同领域也有重要的应用价值。

比如 在防护领域 。早在几年前,Palo Alto
就已利用威胁情报做了很多防护层面的方案,例如它的检测未知威胁的野火云沙箱(WildFire)、URL Filtering、2020年发布的 DNS
Security 以及 AutoFocus。这些都使用了威胁情报相关的赋能,来帮助企业做事件的判断与告警。

在国内,微步在线的 OneDNS 产品也能在防护层面起到很好的作用,在提供基础 DNS
解析服务基础上,还具备安全增值的能力,能够帮助企业拦截钓鱼、勒索、挖矿等反连问题。企业使用 OneDNS
进行上网解析时,当有恶意地址的请求出现,OneDNS 将会进行实时阻断,并通知相关管理人员。目前,微步在线是少有的能够将情报能力与 DNS
解析服务进行结合的安全厂商,已经在金融、地产、医疗、教育等不同的行业深耕布局。

在响应领域 ,通过威胁情报能够掌握威胁事件对应的家族、目的、相应的危害度,感染后的现象,并提供处置建议。以微步在线的威胁感知平台 TDP
产品为例,它只需利用特征分析,流量载荷研判,即可发现网络失陷主机,自动化识别目的性黑客的攻击意图,及时进行自动阻断,或联动第三方安全设备,打通处置流程,帮助企业实现快速响应。

威胁情报 在溯源领域 中,主要是通过威胁情报追踪 IP、域名,发现攻击者留下的痕迹,从而分析出攻击者的 TTPs 战略战术及过程,一旦攻击者的
TTPs 档案建立,攻击者的行为就很容易被追踪到。而这样的效果是很难通过 SIEM、SOC 等一般的安全产品短期内实现的。

网络威胁情报会不断更新,因为网络攻击者每天都会发现新的漏洞,采取新的手段,进行更精准地攻击。面对攻击者的“道高一尺”,企业安全人员如果愿意主动进行情报共享,就能够大大提高每家企业对于网络攻击的防护能力。这也是威胁情报的网络效应。在微步在线的X社区,我们有百万情报共享奖励计划,希望大家能够为威胁情报贡献一份力量,只要大家共享越多情报,威胁情报就会越强大。

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【点下方卡片】免费领取:

你可能感兴趣的:(网络)