威脅情報(bào)已成為當(dāng)下安全圈一個(gè)炙手可熱的話題。如今網(wǎng)絡(luò)架構(gòu)在改變，攻擊者的技術(shù)也越來越復(fù)雜，而如何有效的防范及發(fā)現(xiàn)攻擊已成為一個(gè)比較棘手的問題，威脅情報(bào)的出現(xiàn)已成為緩解網(wǎng)絡(luò)攻擊的一個(gè)新方向。

在今日舉行的WOT2016企業(yè)安全技術(shù)峰會(huì)上，來自北京白帽匯科技有限公司的聯(lián)合創(chuàng)始人&CSO鄧煥給大家?guī)砹酸槍?duì)威脅情報(bào)和開源工具的演講，討論了如何收集以及整合公共資源上的威脅情報(bào)資源。演講結(jié)束，51CTO記者采訪了鄧煥，他表示：“在威脅情報(bào)的利用中，需要更多的結(jié)合企業(yè)自身的實(shí)際情況，對(duì)威脅情報(bào)數(shù)據(jù)進(jìn)行優(yōu)化處理，然后數(shù)據(jù)才能被落地使用。”

【嘉賓簡(jiǎn)介】

鄧煥，北京白帽匯科技有限公司聯(lián)合創(chuàng)始人&CSO，原360補(bǔ)天漏洞平臺(tái)的技術(shù)負(fù)責(zé)人。目前主要負(fù)責(zé)安全研究、威脅分析，以及白帽匯產(chǎn)品方向等工作。

威脅情報(bào)的那些事兒

威脅情報(bào)是眾所周知的目前最為火爆的安全防護(hù)技術(shù)，但其落地和應(yīng)用目前在國(guó)內(nèi)并未全面成熟。提到威脅情報(bào)，鄧?yán)蠋煴硎?，首先要明白什么是情?bào)?情報(bào)即是線索。眾人皆知的不能叫威脅情報(bào)，因?yàn)樾畔踩詈诵牡谋举|(zhì)就是信息不對(duì)稱，這些不對(duì)稱的信息，我們可以理解它對(duì)于企業(yè)來說都是威脅情報(bào)的范疇。

那么，什么是威脅情報(bào)呢?據(jù)Gartner定義，威脅情報(bào)是基于證據(jù)的知識(shí)，包括上下文、機(jī)制、指標(biāo)、隱含和可操作的建議，針對(duì)一個(gè)現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識(shí)。

我們?yōu)槭裁葱枰{情報(bào)?威脅情報(bào)到底有哪些作用?鄧煥表示，其作用主要體現(xiàn)在三方面：一是，實(shí)現(xiàn)安全分析及事件響應(yīng);二是，還原已經(jīng)發(fā)生的攻擊;三是，預(yù)測(cè)未發(fā)生的攻擊。但是對(duì)于企業(yè)來說威脅情報(bào)也并不是萬(wàn)能的，在使用情報(bào)的同時(shí)，我們需要保證基礎(chǔ)防護(hù)的存在，這里我理解情報(bào)它實(shí)其是也是傳統(tǒng)防護(hù)的一個(gè)補(bǔ)充提升。

通過開源工具整合威脅情報(bào)數(shù)據(jù)源

如何獲得威脅情報(bào)數(shù)據(jù)源?對(duì)此，他表示可以通過開源工具整合威脅情報(bào)數(shù)據(jù)源，并在演講中與大家分享了眾多的開源工具，主要有：

他表示，這些與威脅情報(bào)相關(guān)的開源項(xiàng)目相對(duì)較成熟，開源的威脅情報(bào)數(shù)據(jù)源可以下載使用，但是不能直接使用，因?yàn)檫@些開源的情報(bào)數(shù)據(jù)中夾雜著大量誤報(bào)信息。需要根據(jù)企業(yè)的自身的業(yè)務(wù)方向，對(duì)威脅情報(bào)數(shù)據(jù)進(jìn)行優(yōu)化處理，然后數(shù)據(jù)才能被落地使用。這里舉個(gè)例子，比如你是電商，可能更多的是關(guān)心人員情報(bào)。比如：羊毛黨所使用的工具手法，會(huì)關(guān)心惡意郵箱信息等。

安徒生企業(yè)威脅感知平臺(tái)

作為專注于做安全大數(shù)據(jù)和企業(yè)威脅情報(bào)的創(chuàng)業(yè)公司，白帽匯通過提供尖端的安全技術(shù)，高性價(jià)比的產(chǎn)品和服務(wù)，來幫助客戶應(yīng)對(duì)業(yè)務(wù)運(yùn)行中可能出現(xiàn)的網(wǎng)絡(luò)信息安全問題, “不被入侵，不被脫庫(kù)”。該公司主要提供的產(chǎn)品與服務(wù)包含：企業(yè)威脅情報(bào)監(jiān)控系統(tǒng)EWSIS、威脅情報(bào)平臺(tái)、NOSEC大數(shù)據(jù)協(xié)作平臺(tái)以及近期發(fā)布的企業(yè)威脅感知平臺(tái)——安徒生。

據(jù)鄧煥介紹，其中NOSEC大數(shù)據(jù)協(xié)作平臺(tái)主要與白帽對(duì)接，白帽子可以利用這個(gè)平臺(tái)上的安全工具與數(shù)據(jù)資產(chǎn)檢索工具，其可幫助白帽子更快速更全面更深入的發(fā)現(xiàn)目標(biāo)可能存在的安全隱患。該平臺(tái)可全面收集分析互聯(lián)網(wǎng)中的資產(chǎn)信息，并將數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，從高層次的視角來分析數(shù)據(jù)。

而白帽匯的新品安徒生企業(yè)威脅感知平臺(tái)更多貼切于企業(yè)，會(huì)從外部視角、內(nèi)部視角進(jìn)行對(duì)接，實(shí)時(shí)梳理出企業(yè)資產(chǎn)管理難的問題。因?yàn)楹芏啻笃髽I(yè)資產(chǎn)成千臺(tái)，可能會(huì)疏忽掉很多東西，不知道哪些資產(chǎn)具體是否在線，這個(gè)平臺(tái)通過外部的發(fā)現(xiàn)，以及通過agent，流量的方式去實(shí)時(shí)的發(fā)現(xiàn)企業(yè)的資產(chǎn)信息，然后對(duì)這些資產(chǎn)進(jìn)行梳理，實(shí)時(shí)的展現(xiàn)給用戶，再把它實(shí)時(shí)地跟威脅檢測(cè)進(jìn)行對(duì)接。換句話說，該平臺(tái)用于幫助企業(yè)及時(shí)發(fā)并現(xiàn)解決網(wǎng)絡(luò)漏洞，數(shù)據(jù)泄漏，外部威脅情報(bào)等可能被攻擊的安全風(fēng)險(xiǎn)。其主要功能如下：

智能全面的資產(chǎn)識(shí)別：通過全網(wǎng)資產(chǎn)檢索，主動(dòng)爬蟲，流量分析，客戶端插件，服務(wù)端插件等多種引擎自動(dòng)化全面地提取企業(yè)的資產(chǎn)信息。有效解決孤島資產(chǎn)的老大難問題。

完整體系的漏洞監(jiān)控：安徒生配備了多種漏洞掃描引擎，覆蓋網(wǎng)絡(luò)漏洞監(jiān)控，系統(tǒng)漏洞監(jiān)控，Web網(wǎng)站漏洞監(jiān)控，App移動(dòng)應(yīng)用漏洞監(jiān)控等，在黑客攻擊之前進(jìn)行有效修復(fù)。

外部威脅情報(bào)：通過白帽匯廣泛的情報(bào)基礎(chǔ)，幫助企業(yè)監(jiān)控外部非漏洞的威脅情報(bào)，如Github數(shù)據(jù)泄漏，社工庫(kù)撞庫(kù)攻擊，釣魚攻擊等。形成整體防護(hù)，避免安全漏洞變成公關(guān)事件。

談及未來白帽匯的發(fā)展規(guī)劃，鄧煥表示：“白帽匯規(guī)劃了一個(gè)很大的產(chǎn)品架構(gòu)圖，把它全部實(shí)現(xiàn)并不是那么容易，因?yàn)槊總€(gè)單獨(dú)的小點(diǎn)他都可以足以支撐一家公司的生存。未來白帽匯將朝著基于機(jī)器學(xué)習(xí)以及安全模型方面進(jìn)行數(shù)據(jù)分析，從內(nèi)部的數(shù)據(jù)分析入手，把產(chǎn)品更好的完善。”

寫在最后

采訪最后，記者問及鄧煥關(guān)于企業(yè)是否必須有CSO這個(gè)問題。他認(rèn)為，CSO僅僅是一個(gè)稱呼。目前越來越多的人意識(shí)到網(wǎng)絡(luò)安全的重要性，而國(guó)家也一直在強(qiáng)調(diào)加強(qiáng)網(wǎng)絡(luò)信息安全。作為一個(gè)企業(yè)必須要有自己的安全人員，或者安全產(chǎn)品，未必是CSO。即使是一個(gè)小企業(yè)，也應(yīng)該有相應(yīng)的安全防護(hù)，最好能匹配相關(guān)的安全人員，定期的培訓(xùn)提高員工安全意識(shí)。在大公司，CSO可能更多偏向于方向的指引，以及把內(nèi)部的安全體系建設(shè)落地，甚至是對(duì)安全以及前沿技術(shù)的探討。把最新的安全理念，以及怎樣確保企業(yè)內(nèi)部安全的信息傳達(dá)給企業(yè)內(nèi)部的人員，從而實(shí)現(xiàn)整個(gè)企業(yè)的安全防護(hù)。