隨著傳感器的增多、可穿戴終端技術(shù)發(fā)展、以及深入生活的各類應(yīng)用出現(xiàn)，任何設(shè)備都將接入互聯(lián)網(wǎng)，由此帶來的安全挑戰(zhàn)前所未有。攻擊入口無處不在，單純基于漏洞或者關(guān)鍵資產(chǎn)的防御方式已經(jīng)力所不及。企業(yè)需要更加全面高效的防御方式，在安全的環(huán)境中發(fā)展壯大。威脅情報(bào)的出現(xiàn)為傳統(tǒng)防御方式帶來了有效補(bǔ)充，它立足于攻擊者的視角，幫助我們更好的了解威脅，幫助我們?cè)谟龅酵{時(shí)能夠準(zhǔn)確高效的采取活動(dòng)。

目前，威脅情報(bào)無疑是非常火爆的安全防護(hù)體系的概念。但是在國內(nèi)，它還沒有很成熟。3月30日，由安全牛主辦的“CS 3：威脅情報(bào)解決方案峰會(huì)”在京舉行，來自360、IBM、谷安天下、微步在線、白帽匯五家廠商的專家從不同的視角分別介紹了各自對(duì)威脅情報(bào)的理解和相應(yīng)解決方案。

[[165018]]

什么是CS3?

據(jù)安全牛主編李少鵬 介紹，CS系列論壇是“專注安全解決方案的大會(huì)，我們面向的主要是用戶，講的是自己的產(chǎn)品，解決的是甲方面臨的安全問題。我們不怕打廣告，但我們演講的產(chǎn)品和方案，都是經(jīng)過安全牛精心選擇過的，值得推薦的優(yōu)秀產(chǎn)品和方案。”

CS不講攻防，不講戰(zhàn)略，講的是安全需求和解決方案，講的是企業(yè)或機(jī)構(gòu)即將面臨的問題和急需解決的痛點(diǎn)。CS 3，顧名思義為CS系列的第三場(chǎng)論壇。目前，CS系列參與方包括360、螞蟻金服、普華永道、烏云、RSA、IBM、谷安天下、網(wǎng)康等業(yè)界知名互聯(lián)網(wǎng)公司和安全公司。

什么是威脅情報(bào)?

根據(jù)Gartner的定義：“威脅情報(bào)是一種基于證據(jù)來描述威脅的知識(shí)信息，包括威脅相關(guān)的上下文環(huán)境信息，采用機(jī)制、指標(biāo)、影響與行動(dòng)建議等。這些用以描述已經(jīng)存在或正在發(fā)生的攻擊威脅的信息，可以被受害目標(biāo)用來進(jìn)行決策并對(duì)威脅進(jìn)行響應(yīng)”。簡(jiǎn)單來說，威脅情報(bào)就是可以幫助人們識(shí)別安全威脅并做出明確決定的知識(shí)，就是收集、評(píng)估和應(yīng)用關(guān)于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標(biāo)的數(shù)據(jù)集合。所謂的情報(bào)，具體講，通?？砂╤ash值，ip地址，域名信息，網(wǎng)絡(luò)與主機(jī)攻擊，工具，TTPs等。

威脅情報(bào)有何用武之地?

威脅情報(bào)可以幫助人們解決如下問題：

如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標(biāo)等等在內(nèi)的如潮水般海量的安全威脅信息?

面對(duì)未來的安全威脅，如何獲取更多的主動(dòng)?

如何向領(lǐng)導(dǎo)匯報(bào)具體安全威脅的危險(xiǎn)和影響?

做威脅情報(bào)的廠商有哪些?

目前做威脅情報(bào)的廠商為數(shù)不少，國際上主要有：賽門鐵克，iSight Parnters，火眼，CrowdStrike，Lookingglass，IBM，Webroot，Dell Security，Verisign iDefense等。

國內(nèi)主要有：微步在線，360，谷安天下，白帽匯等。

CS3威脅情報(bào)解決方案峰會(huì)上，大家都說了什么?

360網(wǎng)絡(luò)安全研究院院長 宮一鳴 & 天眼實(shí)驗(yàn)室負(fù)責(zé)人 韓永剛

[[165019]]

宮一鳴:“直接談威脅情報(bào)是空中樓閣，在某種意義上我認(rèn)為威脅情報(bào)有點(diǎn)像金字塔的塔尖，而基礎(chǔ)數(shù)據(jù)時(shí)走向塔尖的基礎(chǔ)。在某種意義上有點(diǎn)像是造磚頭，我給你造各種各樣的磚頭、各種尺寸的磚頭，有磚頭才能蓋樓。而且，任何數(shù)據(jù)都是有價(jià)值的，要懂得如何看到數(shù)據(jù)的價(jià)值，并發(fā)揮其價(jià)值。”

[[165020]]

韓永剛表示：“數(shù)據(jù)是看見安全的基礎(chǔ)，所有網(wǎng)絡(luò)行為都會(huì)形成痕跡，有痕跡就有數(shù)據(jù)，安全大數(shù)據(jù)是形成看見能力的基礎(chǔ);有了數(shù)據(jù)還要有數(shù)據(jù)連接能力、數(shù)據(jù)分析和挖掘能力，結(jié)合安全經(jīng)驗(yàn)，才能形成看見能力。威脅情報(bào)來自于數(shù)據(jù)，最后還要回到數(shù)據(jù)中去，威脅情報(bào)最終回到客戶側(cè)才能發(fā)揮它的作用。威脅情報(bào)要結(jié)合本地各層面數(shù)據(jù)的采集、還原、分析能力，才能有效發(fā)現(xiàn)威脅，而自動(dòng)化響應(yīng)則是應(yīng)對(duì)威脅的又一關(guān)鍵點(diǎn)。”此外，韓永剛認(rèn)為，對(duì)安全事件，以前能做到的是發(fā)現(xiàn)和響應(yīng)，現(xiàn)在有了威脅情報(bào)，還能夠做到取證、拓展、溯源。

IBM中國區(qū)安全技術(shù)高級(jí)工程師劉璐瑩

[[165021]]

據(jù)劉璐瑩介紹，IBM做安全應(yīng)該可以追溯到上世紀(jì)80年代，從主機(jī)安全開始，IBM進(jìn)入了安全領(lǐng)域。從那個(gè)時(shí)候開始，一步一步走到今天。經(jīng)過不斷的整合和收購，現(xiàn)在IBM已經(jīng)形成了一整套安全體系架構(gòu)，在整個(gè)安全市場(chǎng)里，目前IBM排名第三。所以可以說IBM是一家安全公司，而且還是一家很大的安全公司。

她認(rèn)為，情報(bào)最重要的有三點(diǎn)：第一，要有，要查得到，數(shù)據(jù)相對(duì)來說比較完整。第二，要能夠觸發(fā)到我，因?yàn)楹艽蟮臄?shù)據(jù)庫可能放在某個(gè)地方，可能沒有辦法跟我實(shí)際的情況聯(lián)系起來。第三個(gè)是要能夠自動(dòng)化地利用起來這些庫，而不只是查詢。

谷安天下安全值產(chǎn)品總監(jiān) 趙毅

[[165022]]

谷安天下關(guān)注威脅情報(bào)這個(gè)領(lǐng)域已經(jīng)有兩年的時(shí)間，趙毅表示通過調(diào)研發(fā)現(xiàn)，國內(nèi)國外有非常優(yōu)秀的數(shù)據(jù)資源，威脅情報(bào)的本質(zhì)就是數(shù)據(jù)。但數(shù)據(jù)的緯度是不同的，因此如何把數(shù)據(jù)用好，是我們想要解決的問題。數(shù)據(jù)分析和處理或者是機(jī)器學(xué)習(xí)，不是谷安的長項(xiàng)，但我們可以基于威脅情報(bào)生成一些信息，并形成產(chǎn)品。另外，谷安天下是做風(fēng)險(xiǎn)管理出身的，所以用威脅情報(bào)來做風(fēng)險(xiǎn)管理是強(qiáng)項(xiàng)。

微步在線創(chuàng)始人兼CEO 薛鋒

[[165023]]

微步在線創(chuàng)始人兼CEO 薛鋒表示：“大家至今對(duì)威脅情報(bào)的理解還有很多不同，但這種百家爭(zhēng)鳴、百花齊放的環(huán)境是非常好的。我們做威脅情報(bào)最核心的是數(shù)據(jù)和對(duì)數(shù)據(jù)的分析，分析之后提煉出來有價(jià)值的東西。”

他認(rèn)為：“威脅情報(bào)還是離不開數(shù)據(jù)的。“數(shù)據(jù)來源多種多樣，數(shù)據(jù)的變化也是瞬息萬變。如何對(duì)這樣數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，提煉有價(jià)值的內(nèi)容非常的重要。所以威脅情報(bào)最重要的是分析師，尤其是對(duì)甲方，如果沒有很好的分析師的話，其實(shí)買再多的設(shè)備、雇再多的人也沒有什么用。威脅情報(bào)公司應(yīng)該是嚴(yán)謹(jǐn)?shù)?，一百次的威脅分析成功了九十九次不叫成功，只要誤判一次就是失敗。

白帽匯創(chuàng)始人兼CEO 趙武

[[165024]]

白帽匯于2015年8月成立，團(tuán)隊(duì)主要來自于360和華為，有著深刻的，專注于做安全大數(shù)據(jù)和企業(yè)威脅情報(bào)的基因。談到威脅情報(bào)，白帽匯創(chuàng)始人兼CEO 趙武是這樣理解的：“我們認(rèn)為的威脅情報(bào)，如果大家都在說這個(gè)東西，那一定不是威脅情報(bào)，因?yàn)槟阒?，別人也知道。所以我認(rèn)為眾人皆知的不能叫威脅情報(bào)，因?yàn)樾畔踩詈诵牡谋举|(zhì)就是信息不對(duì)稱。我們跟蹤的一定是你不知道的，或者你之前沒聽說過的，我才把它叫威脅情報(bào)。”

目前的主要安全威脅有：企業(yè)未知的隱形資產(chǎn)、Nday攻擊(黑客買白帽賬號(hào)批量攻擊)、外部數(shù)據(jù)威脅。面對(duì)這些威脅，為什么企業(yè)跟安全公司對(duì)抗的時(shí)候，落后的一定是安全公司，而不是黑客。趙武認(rèn)為因?yàn)槲覀兏櫤诳偷那閳?bào)的時(shí)候會(huì)發(fā)現(xiàn)，安全公司至今很難進(jìn)行友好的聯(lián)動(dòng)，但是黑產(chǎn)至今互相的聯(lián)動(dòng)非常之緊密，分工合作得非常好。那我們?yōu)槭裁蠢先シ雷o(hù)，而不能去攻擊?我們能不能做一個(gè)攻防的轉(zhuǎn)換，把戰(zhàn)火燒到敵人的陣營?

他表示，我們需要對(duì)黑產(chǎn)進(jìn)行情報(bào)監(jiān)控，打擊黑產(chǎn)，對(duì)黑客進(jìn)行畫像，最后實(shí)現(xiàn)黑產(chǎn)反制。并強(qiáng)調(diào)：“安全的環(huán)境一定不是等來的，而是通過打擊黑色產(chǎn)業(yè)得到的。把攻擊者進(jìn)行抓獲也好，進(jìn)行懲罰也好，反正安全的環(huán)境等是等不到的。”

CS3威脅情報(bào)解決方案峰會(huì)上，各家廠商都展示了哪些產(chǎn)品和解決方案?

360威脅情報(bào)中心

360威脅情報(bào)基礎(chǔ)信息查詢平臺(tái)TI.360.com具有關(guān)聯(lián)分析和海量數(shù)據(jù)兩大特色。安全研究人員在360威脅情報(bào)基礎(chǔ)信息查詢平臺(tái)提交域名、IP、樣本信息等進(jìn)行搜索，將得到360威脅情報(bào)中心所提供的云端數(shù)據(jù)查詢結(jié)果。這些信息結(jié)合對(duì)應(yīng)的分析，對(duì)幫助研究人員定位安全威脅可以發(fā)揮關(guān)鍵作用。

目前360威脅情報(bào)基礎(chǔ)信息查詢平臺(tái)擁有全球獨(dú)有的樣本庫，總樣本超過95億;互聯(lián)網(wǎng)域名信息庫則有高達(dá)50億條DNS解析記錄;此外，還有眾多第三方數(shù)據(jù)源?；诤Ａ繑?shù)據(jù)，平臺(tái)幫助用戶進(jìn)行分析，可以拓展關(guān)聯(lián)信息，挖掘出在企業(yè)或組織內(nèi)部分析中無法發(fā)現(xiàn)的更多線索。

共用威脅情報(bào)的協(xié)作平臺(tái)：IBM X-Force Exchange

這是一個(gè)使用，分享，并依情報(bào)來行動(dòng)的新平臺(tái)，以IBM X-Force的積累和規(guī)模為后盾，擁有豐富的威脅情報(bào)資料。劉璐瑩表示，基于十幾年的積累，IBM目前記錄的完全獨(dú)立的、真實(shí)的漏洞，超過9萬，是全球最大的漏洞庫之一。目前惡意IP數(shù)量86萬，URL和域名分析數(shù)據(jù)庫的量在250億以上。基于這些數(shù)據(jù)能夠監(jiān)控到全球高發(fā)的、嚴(yán)重影響的安全事件。這些數(shù)據(jù)通過IBM X-Force Exchange這個(gè)開放的、可操作的、社交的情報(bào)平臺(tái)，把X-Force多年的積累開放給公眾。目前這個(gè)平臺(tái)支持一些業(yè)界通用的威脅情報(bào)交互格式。你可以通過標(biāo)準(zhǔn)格式和自己現(xiàn)有的產(chǎn)品方案、學(xué)習(xí)工具來進(jìn)行集成。同時(shí)，它還是一個(gè)社交平臺(tái)，可以進(jìn)行思路上的分享，多向溝通。

威脅情報(bào)的新應(yīng)用：安全值

谷安天下現(xiàn)場(chǎng)發(fā)布威脅情報(bào)應(yīng)用產(chǎn)品——安全值，僅用5分鐘即可量化企業(yè)安全風(fēng)險(xiǎn)。谷安天下將威脅情報(bào)體現(xiàn)在安全值上，就是一種整合資源的能力，通過專業(yè)的視角，發(fā)現(xiàn)未知風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行量化。安全值一共整合了100多個(gè)威脅情報(bào)數(shù)據(jù)資源，利用大數(shù)據(jù)挖掘分析方法，對(duì)實(shí)時(shí)情報(bào)數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)分析，量化計(jì)算風(fēng)險(xiǎn)，提升用戶的風(fēng)險(xiǎn)管理能力。

通過安全值可以看自己、看行業(yè)，也可以看差距。谷安天下希望通過安全值這樣的產(chǎn)品，能給大家?guī)韺I(yè)的數(shù)據(jù)服務(wù)，并且利用其整合資源的能力，幫助用把多個(gè)資源進(jìn)行整合起來，發(fā)現(xiàn)未知風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行量化，并且跟行業(yè)還可以做差距的分析。這就是谷安全天下把風(fēng)險(xiǎn)管理通過數(shù)據(jù)這個(gè)橋梁帶給大家的思路。

微步在線提供多種在線服務(wù)

微步在線的定位是做一個(gè)專注于數(shù)據(jù)的公司，致力于整合數(shù)據(jù)、機(jī)器與人的力量，提供具有可操作性的威脅情報(bào)，用來阻截攻擊、發(fā)現(xiàn)威脅、溯源追蹤和消除風(fēng)險(xiǎn)。目前微步在線提供的服務(wù)第一個(gè)是IOC，第二個(gè)是威脅分析平臺(tái)，第三個(gè)是高級(jí)入侵事件檢測(cè)，這也是一項(xiàng)免費(fèi)的服務(wù)。微步在線的主要產(chǎn)品VB(VirusBook.cn)，是中國首個(gè)綜合性的威脅分析平臺(tái), 免費(fèi)為全球安全人員提供了一個(gè)便利的一站式分析平臺(tái)。另一款產(chǎn)品TIC(威脅情報(bào)中心)的威脅應(yīng)用解決方案，使客戶在面對(duì)關(guān)鍵威脅時(shí)可以快速發(fā)現(xiàn)并采取有效的行動(dòng)。