正值美國舊金山的RSA火熱開幕時，作為連續(xù)參展方的微步在線響應(yīng)大會2017年的安全發(fā)展新趨勢，發(fā)布重量級產(chǎn)品-微步威脅情報平臺。該軟件平臺產(chǎn)品解決了企業(yè)在威脅情報落地中存在的挑戰(zhàn)，作為國內(nèi)威脅情報領(lǐng)軍品牌繼續(xù)引領(lǐng)威脅情報發(fā)展方向。

一直以來，安全廠商和企業(yè)安全人員都在致力于預(yù)測和預(yù)防威脅，經(jīng)歷多年的發(fā)展，雖然各種安全產(chǎn)品與解決方案琳瑯滿目，但事實(shí)一次又一次地證明了這樣的目標(biāo)雖好，卻是一個無法兌現(xiàn)的諾言。企業(yè)無法完全杜絕或者預(yù)防威脅的發(fā)生，因此，企業(yè)逐漸轉(zhuǎn)為如何縮短威脅檢測時間這一問題的探討上，更重視檢測與響應(yīng)的作用。安全檢測技術(shù)得到了更多的重視，其中為代表就是以威脅情報驅(qū)動的威脅檢測與響應(yīng)機(jī)制(Detection and Response)。威脅情報在有效地幫助企業(yè)提高威脅檢測和響應(yīng)能力的同時，也面臨了諸多的挑戰(zhàn)，微步在線圍繞這些國內(nèi)外企業(yè)面臨的痛點(diǎn)，在其發(fā)布的威脅情報平臺中逐一給出了解決方案，真正實(shí)現(xiàn)了威脅情報在組織內(nèi)的落地。

一、 威脅情報落地的挑戰(zhàn)：

1. 威脅情報比較復(fù)雜。需要能指導(dǎo)行動，并用于提升安全運(yùn)營能力

國外70%的受訪者表示威脅情報通常比較復(fù)雜， 因此，52%的受訪者認(rèn)為他們的公司需要一個合格的威脅分析師來最大限度地發(fā)揮威脅情報的價值。 另有小于46%的受訪者表示，正在使用威脅情報數(shù)據(jù)來指導(dǎo)事件應(yīng)急響應(yīng)行動。而國內(nèi)企業(yè)希望通過及時準(zhǔn)確的威脅情報來幫助企業(yè)提升安全運(yùn)營能力。

??

2. 將威脅情報平臺與現(xiàn)有的安全工具和產(chǎn)品相集成具有挑戰(zhàn)性

64%的受訪者認(rèn)為威脅情報平臺與其他安全技術(shù)或工具的集成是一項(xiàng)艱巨而耗時的任務(wù)。62%的受訪者表示，與SIEM/SOC集成是必要的，可以最大限度地提高威脅情報數(shù)據(jù)的價值。有49%受訪者還選擇了IDS / IPS，有46%的受訪者還選擇了下一代防火墻。

3. 在沒有平臺的情況下，難以確定威脅情報的優(yōu)先級

70%的受訪者表示，在沒有相應(yīng)平臺的情況下定義威脅情報優(yōu)先級別非常困難。如果他們沒有威脅情報平臺，71%受訪者的安全團(tuán)隊不能及時傳遞相關(guān)的領(lǐng)導(dǎo)層。79%的受訪者認(rèn)為，威脅情報平臺被認(rèn)為是最大化威脅情報數(shù)據(jù)價值所必需的。威脅情報平臺能夠精確對攻陷指標(biāo)(IOC)進(jìn)行優(yōu)先級定位。

4. 威脅情報的價值要能量化。

目前只有27%的安全從業(yè)人員認(rèn)為他們的公司在利用威脅數(shù)據(jù)來識別網(wǎng)絡(luò)威脅方面做的很出色。 31%的董事會或者CXO會接收與公司面臨的重要安全問題相關(guān)的威脅信息?？梢妵鴥?nèi)外企業(yè)都能認(rèn)識到威脅情報的重要性。但國內(nèi)用戶更直接關(guān)心其價值如何量化。

??

二、解決方法與建議：

威脅情報平臺是一個解決方案，有79%的受訪者認(rèn)為通過威脅情報平臺來最大化威脅數(shù)據(jù)的價值是很有必要的，并有三分之二的企業(yè)已經(jīng)擁有或者準(zhǔn)備開發(fā)威脅情報平臺。微步在線是國內(nèi)網(wǎng)絡(luò)安全威脅情報領(lǐng)軍品牌。由來自亞馬遜、阿里巴巴、微軟等安全專家組成，提供以威脅情報為核心的安全服務(wù)，致力于幫助企業(yè)檢測與響應(yīng)正在發(fā)生和即將發(fā)生的威脅。微步在線自成立以來，憑借通過威脅情報驅(qū)動的安全能力，多次在重大社會性和行業(yè)性網(wǎng)絡(luò)安全事件上的出色表現(xiàn)，得到了業(yè)內(nèi)的充分認(rèn)可，客戶已經(jīng)遍布于金融及世界500強(qiáng)企業(yè)。針對企業(yè)用戶所遇到的問題和痛點(diǎn)，微步在線正式推出的威脅情報平臺就是針對當(dāng)前問題的一個綜合性的解決方案，與企業(yè)現(xiàn)有安全產(chǎn)品進(jìn)行結(jié)合，可獲取實(shí)時威脅情報，并應(yīng)用威脅情報進(jìn)行威脅檢測，準(zhǔn)確發(fā)現(xiàn)內(nèi)部威脅和失陷主機(jī)，同時結(jié)合威脅情報提供豐富的上下文信息以及強(qiáng)大的基礎(chǔ)數(shù)據(jù)支撐，幫助組織挖掘攻擊特點(diǎn)、更快地采取安全防范措施。

??

微步展位RSA大會北展廳N5003歡迎親臨現(xiàn)場。

微步威脅情報平臺具備以下特點(diǎn)：

1. 覆蓋全球高價值情報：威脅情報是威脅情報平臺的基礎(chǔ)支撐，微步在線具備獨(dú)有的情報挖掘能力，為威脅情報平臺提供穩(wěn)定的情報輸出。ThreatBook Labs長期跟蹤和分析與各行業(yè)相關(guān)攻擊事件和團(tuán)伙，其產(chǎn)出的高級情報得到金融和能源等行業(yè)多個大型企業(yè)高度認(rèn)可?；赥hreatBook Labs對高級情報的跟蹤與分析處理能力，同時整合200+不同數(shù)據(jù)源，采用多種檢測分析機(jī)制，整合沙箱的動態(tài)分析能力、大數(shù)據(jù)的安全狩獵能力，確保了威脅情報平臺可實(shí)時獲取大量高質(zhì)量的可機(jī)讀威脅情報。

??

2. 檢測精度高，提供可指導(dǎo)響應(yīng)活動的上下文：微步在線利用白名單、分析規(guī)則、機(jī)器學(xué)習(xí)、分析師人工判定等多層次的研判機(jī)制，保障檢測能力的高精準(zhǔn)度，其準(zhǔn)確率可達(dá)到99.99%。對于命中的威脅，威脅情報平臺可提供包含攻擊者團(tuán)伙信息、攻擊目的、攻擊方式、傳播路徑、行為特點(diǎn)，影響范圍以及相關(guān)的行動建議等豐富的內(nèi)容，幫助企業(yè)安全響應(yīng)團(tuán)隊更有效率的工作。

3. 可展現(xiàn)企業(yè)整體安全態(tài)勢，并全面定位分析內(nèi)部威脅：基于檢測結(jié)果，威脅情報平臺提供高可視化方案，對企業(yè)內(nèi)的整體安全態(tài)勢進(jìn)行集中展現(xiàn)，包括整體安全狀態(tài)、威脅檢測結(jié)果、內(nèi)部失陷主機(jī)、風(fēng)險等級等。幫助用戶感知和了解當(dāng)前企業(yè)內(nèi)的威脅狀態(tài)。對于接下來的安全響應(yīng)工作，相較于傳統(tǒng)人工排查，威脅情報平臺運(yùn)用人工智能實(shí)現(xiàn)了內(nèi)外數(shù)據(jù)的關(guān)聯(lián)分析，可以更快速定位內(nèi)部機(jī)器及操作。對內(nèi)來說，威脅情報平臺關(guān)聯(lián)了企業(yè)內(nèi)部的各類設(shè)備和記錄數(shù)據(jù)，包括DNS日志、HTTP日志、DHCP日志等，能夠全面追蹤與相應(yīng)事件關(guān)聯(lián)的內(nèi)部數(shù)據(jù)，更多發(fā)現(xiàn)關(guān)聯(lián)內(nèi)部主機(jī)，對回溯攻擊位置、攻擊途徑與確定損失具有重要意義;對外來說，威脅情報平臺運(yùn)用微步在線的黑客資產(chǎn)模型，可對攻擊者身份、團(tuán)伙、資產(chǎn)等進(jìn)行追蹤溯源。

4. 部署靈活簡單，可與企業(yè)現(xiàn)有安全產(chǎn)品和方案結(jié)合：部署過程可縮短至2小時! 該平臺可安裝在虛擬機(jī)或者硬件服務(wù)器上，對機(jī)器配置要求較低，部署簡單且維護(hù)成本低?？蛇x擇流量鏡像，或者運(yùn)用DNS或DPI設(shè)備上的日志配置功能，實(shí)現(xiàn)該平臺的快速部署，無需串聯(lián)、無需修改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。微步威脅情報平臺即可獨(dú)立部署，也可與現(xiàn)有安全產(chǎn)品(如SIEM、SOC、大數(shù)據(jù)平臺等)快速集成。，運(yùn)用威脅情報產(chǎn)生的威脅警告，既可獨(dú)立呈現(xiàn)，也可通過Syslog或API的方式與企業(yè)現(xiàn)有其它產(chǎn)品進(jìn)行互動，方便集中處置和響應(yīng)，同時提高原有設(shè)備利用率。

??

5. 制定可以量化的安全檢測與響應(yīng)管理目標(biāo)：國內(nèi)外企業(yè)都能認(rèn)識到威脅情報的重要性，國內(nèi)用戶更直接關(guān)心這個價值如何量化?其實(shí)兩個關(guān)鍵指標(biāo)可以用來衡量一個企業(yè)檢測響應(yīng)能力的有效性，即平均威脅檢測時間(MTTD)和平均響應(yīng)時間(MTTR)。MTTD指是一個組織發(fā)現(xiàn)和識別那些安全事件所需要的平均時間。MTTR是指企業(yè)充分分析并采取有效手段應(yīng)對和處理安全事件所需要的平均時間。根據(jù)企業(yè)規(guī)模和安全團(tuán)隊的投入不同，全球來看MTTD平均值大約在146天，MTTR平均值為1周到30天。所以從管理到執(zhí)行確定響應(yīng)與檢測的重要性和考核方式是效率的基礎(chǔ)。

??

[[183177]]

寫在最后，2017RSA大會以 “Power of OPPORTUNITY”寓意我們正處于一個安全盛世，但也是一個安全亂世，期待本次盛會能夠帶來更多的安全創(chuàng)新!而作為國內(nèi)威脅情報領(lǐng)軍品牌，微步期待與更多安全廠商攜手合作，通過威脅信息和情報的共享機(jī)制，保護(hù)我們的共同用戶，打造安全的互聯(lián)網(wǎng)!