一、情报驱动的安全体系建设
会议中360企业安全集团总裁吴云坤发表了题为“情报驱动的安全体系建设”的主题演讲,在数字化转型的大背景下,面对越来越多样化和未知性的安全威胁和新的网络安全形势,网络安全建设必须从被动的威胁应对和标准合规的规划模式,走向面向能力的体系化同步建设模式,在演讲中,吴云坤提出了面向能力的体系化建设的三个关键点:
关键点1:关口前移,与信息化同步规划与建设综合防御能力体系。
参照SANS的网络安全滑动标尺基础模型,在规划与建设中分五个阶段组织安全能力,进而从能力的角度构建防御体系。
基础架构安全
第一阶段“”,把内设安全放进去,利用信息化系统自身的能力,缩小攻击面。
纵深防御
第二阶段“”,在信息化的基础设施之上附着安全,通过设备、软件、配置策略等进一步缩小攻击面,消耗进攻者的资源。
这两阶段偏静态的防御能力体系,强调“深度结合,全面覆盖”,覆盖信息化的每一个点,实现与信息化的深入结合。
积极防御
第三阶段“”,更多采用监测、识别、溯源、猎杀,还有可能通过指挥调度来做应急处置。
情报体系
第四阶段“”,对于积极防御有非常大的作用。
“掌握敌情、协同响应”
这两个阶段是偏动态的积极防御能力体系。强调,实现对安全事件的快速应急处置。
静态综合防御能力体系和动态积极防御能力体系的结合,构成了能力导向的安全体系。关口前移,描述的是偏静态的综合防御体系,强调安全措施应该覆盖所有体系中不同层次的信息化系统,通过安全与信息化的深度结合,实现内生安全。比如做数据安全,规划必须回到云信息化的技术化层次描述各个层次的控制点,回到云信息化本身做内生安全。
关键点2:威胁情报是构建积极防御能力体系的关键
综合防御体系、基础结构安全和纵深防御体系
吴云坤指出威胁情报的消化理解不单单是用于检测和响应,更大的价值是在于对有很大的指导作用。在综合防御体系中,将情报消化理解到安全措施,安全措施既包含相对静态的防御措施又包含动态的防御措施,情报的利用是整体的完善的体系。用一句话描述就是:
“从IOC转化成为监测特征,从TTP转化成为态势感知的心智模型,从漏洞情报转化成为资产匹配筛选模板以及从覆盖全环境/情报发现者环境的威胁情报,做减法匹配到实际的具体信息化环境(资产、配置、拓扑等)。”
关键点3:威胁情报能力构建,需要从生态开始
从威胁情报的典型应用场景我们发现单单的威胁情报不会发挥作用,只有融入到总体的防御体系中才能体现价值
,所以威胁情报能力的构建必须要从生态开始,如何有效利用威胁情报不是一个在实验室研究数据的过程,它是一个综合的防御体系如何有效把态势感知消化威胁情报的结果应用于防御体系的过程,这个过程当中涉及到非常多的生态角色,有网络安全监管机构、信息化服务商、行业用户、研究机构,也有安全厂商,这些生态角色相互协作,构建形成威胁情报生态。
二、威胁情报大数据共享开放平台
CNTIC工作组第六研究室主任刘宝旭在会议中介绍了“国家网络空间威胁情报大数据共享开放平台”建设的重要意义及成果。“威胁情报大数据共享开放平台”由国家保密局组织,信工所牵头于2017年正式成立,当前已经整合接入情报源共8家安全厂商(360企业安全、安天、亚信安全、绿盟、天融信、深信服、锐安科技、中测安华、锐安科技),共建单位4家,意向单位6家,海关部门脱敏数据、主管部门数据及监管机构数据也逐渐进入平台,目前平台已有800多亿条可访问数据,平台自身存储中心数据共80多亿条。
多方机构情报汇集汇聚与共享,有效解决了信息孤岛和情报分片化的问题,CNTIC将收集的数据整合之后进行分析、挖掘、处理形成高价值情报,再通过一种可控共享的手段为各类用户(主管部门、监管机构、企事业单位和社会公众)提供高价值、可靠、安全的威胁情报。
三、威胁情报市场的预测及建议
IDC调研发现,国内威胁情报安全服务提供商在2018年威胁情报直接收入相较于2017年普遍呈现高速增长态势(多数企业威胁情报收入YoY远超50%)。但现阶段,威胁情报技术和市场还处于前期发展阶段,参与厂商较多且数据描述和传输所遵循的协议不尽相同,厂商之间的生态合作仍存在壁垒,因此迫切需要建设一个互利共赢的威胁情报生态。
IDC预测全球到2021年将(中国将在2022年)有50%的自动报警将是自动响应,不受人类分析师的影响;2024年全球90%(中国70%)的托管安全服务客户将采用威胁生命周期服务。IDC建议无论是行业客户还是安全厂商在提供解决方案、产品和服务的时候要由传统合规性驱动转向为智能化业务需求驱动的服务方案。
四、国内威胁情报市场趋势及生态建设
自2015年360 ISC在国内主办的第一场威胁情报会议到本次威胁情报生态大会,“威胁情报”从概念的认知、数据的积累到现在“威胁情报”在行业内的应用,短短几年时间,威胁情报市场发生着巨大的变化。
360企业安全作为首个将“威胁情报”带入国内的安全厂商,对威胁情报市场的发展与变化必然有着更深的认识及建议,会后安全牛记者对360企业安全副总裁吴云坤做了专访。
安全牛:据2018年安全牛对国内“威胁情报”市场的调研显示,目前国内提供威胁情报的方式主要以搭配安全产品服务及订阅服务为主,约占威胁情报采购市场的60%,这与国外市场是否有着不同的区别?
吴云坤:无论国内外,威胁情报若单独存在是没有意义的,它必须通过一些产品和服务来实现它的价值。国内外的主要区别是在威胁情报市场的划分上,国外安全威胁情报可以独立成一个市场,大家通过这种商业环境有效消费它,这时候它可以存在独立的威胁情报厂商。
但由于中国防御体系的构建不像国外成熟,所以在这个过程中威胁情报真正能够发挥价值是依赖于它的防御体系有没有按照体系化能力进行建设。如果没有按照体系化能力建设,威胁情报就无法产生价值,客户就会认为威胁情报没价值,实际上是由于防御体系能力建设不足。所以,中国呈现的趋势是,体系能力建设厂商结合了威胁情报才能发挥价值,它的重点在于体系化能力建设的解决方案。
安全牛:2018年10月我国首个有关威胁情报标准的正式发布,对于威胁情报生态的建设是否有着积极的推动作用。
生产威胁情报
吴云坤:威胁情报生态主要包含两方面,第一,如何保证大家很好的,第二,如何保证大家很好的。
其实从生产者角度来说,多方的威胁情报产生出来,但没有统一的分类及评判标准,国家标准保证了产生出来的威胁情报在大部分用户中得到有效的应用,但这不代表用户获得同样数据就能有效利用,利用还要回到防御体系中去,需要有人把威胁情报转化为检测能力、响应能力,包括规则、策略、配置,这是缺失的,所以它是往前推动的过程,但是还需要更多的生态厂商加入进去,往往是非安全厂商,也就是IT服务商,包括研究机构进入到这个体系中去。