99%误报与1%真实告警之间,差一个“威胁情报” – 作者:Threatbook

在网络安全领域,平均检测时间(MTTD)与平均响应时间(MTTR)是衡量企业应对威胁事件能力的重要指标。根据 SANS 2019 事件响应的调查,52.6%的企业平均检测时间少于24小时。一旦检测到事件,67%的企业平均响应时间低于24小时,整体已达到较高水平。这其中,威胁情报发挥了极大作用:稳定的情报输出,高精准度的情报检测,全方位的安全态势展现等,确保企业能够有效提升威胁检测与响应能力。

威胁情报的重要性已不言而喻。相比之下,国内安全从业者对于威胁情报的认知却依旧存在滞后与误差。

威胁情报在国内的发展现状如何?技术的关键点和认知误区有哪些?行业需要关注哪些因素?对于这些问题,微步在线全国渠道技术负责人李霂荣在国际信息系统安全认证联盟 (ISC)² 西南本地官方分会云讲坛做了关于威胁情报的线上分享。现公开分享全文,期待大家进一步交流探讨。

国内威胁情报行业驶上高速路

2015年,威胁情报在国内正式起步。2019年5月,《网络安全等级保护标准2.0版》正式颁布,首次出现对于威胁情报的要求,明确在二、三、四级测评中,增加“威胁情报检测系统”。短短四年的时间,威胁情报作为一项新技术,受到了国家层面的认可。2020年8月,商务部、科技部调整发布《中国禁止出口限制出口技术条目》,新增“高性能检测技术”,其中包括“威胁情报生成技术”。至此,威胁情报也正式成为了一项国家级的关键技术。

行业应用上,越来越多的企业开始利用威胁情报辅助安全战略决策。从微步在线目前覆盖的服务客户来看,银行、证券、金融、高科技及能源、政府等都在广泛使用威胁情报,威胁情报的价值已逐渐被认同与接受。据Gartner 预测,到 2022 年,20%的大型企业将使用商业威胁情报服务来为其安全策略提供信息。

图片[1]-99%误报与1%真实告警之间,差一个“威胁情报” – 作者:Threatbook-安全小百科

威胁情报的常见使用误区有哪些

绝大多数的安全从业者都已经意识到,单纯依靠防御来保护企业安全的效用在递减,通过威胁情报提高检测与响应的能力,越早发现威胁,采取行动,对于企业的损失就越小。但在实际的应用过程中,很多企业对威胁情报的理解和使用都存在不同程度的误区。

误区一,用上威胁情报以后,产生的告警越多越好。这里要纠正一下,基于威胁情报的一些场景,它产生的告警其实并不是越多越好,而应该是越精准越好。一味追求大量的威胁告警,缓解企业对于安全的焦虑,好比一个人太渴想要喝水,却打开了消防水带的开关解渴。后果就是,安全分析师根本看不过来,也没法确定告警的优先级,或者去调查所有警报,只是浪费时间而已。

如果企业想看到更多的告警,用 IPS,WAF 就可以。威胁情报的目的之一,应该是减少误报,将真正有威胁的告警展示出来,而不是追求告警的数量。而且,实际的企业生产运营过程中,真正有威胁的、对维护企业安全有帮助的安全告警只占约1%,剩下99%的告警都是无关紧要的“无效告警”。

误区二,威胁情报数量越多越好。目前国内外对于“正确”的威胁情报数量还没有一个权威的定义,所以号称“几亿”“几十亿”情报数量,听着很多,但不见得是对的。事实上,威胁情报并不是做得越多越好,应该是帮助越大越好,情报的价值在于帮助企业做更准确的检出。企业只需将所有的产品放到真实的环境进行测试,就能看出哪个产品的检出效果最好。

误区三,威胁情报要明文数据。目前国内部分厂商表示自身是明文内置威胁情报,导致大家觉得威胁情报就得明文交付。事实上是这样吗?让我们回到使用威胁情报的“初心”:威胁情报只存在一种用途,那就是解决企业的安全问题。所以,企业在利用威胁情报的过程中,企业本身只需关注威胁情报的能力即可,将威胁情报的管理、收录、更新等等直接交给威胁情报供应商,无所谓明文或密文。只要情报精准,就可以体现情报的价值。

如果说传统的安全防护,重点在保护自身的安全,以“知己”为重点进行防御,那基于威胁情报的安全防护不仅具备“防御”能力,而且更“知彼”,能够对攻击者进行全面精准的描述,包括攻击者恶意样本、攻击者IP,远控域名,TTPs 战略战术等全方位信息。对于市面上已有的态势感知,SOC、SIEM、NDR、EDR 等产品,威胁情报都能进行赋能,实现更加高效的威胁检测与响应。

以态势感知为例,传统的态势感知会收集很多的告警信息,涵盖终端的病毒查杀日志,如多少台主机中了何种病毒等,但不同的信息之间缺乏关联性,对于企业安全人员来说,无法提供有效的结论,需要人工进行大量分析,耗时耗力。如果采用威胁情报结合态势感知,对其收集到的网络与终端告警进行关联分析,则能高效地检出全方位的安全事件以及相关信息,省时省力。

图片[2]-99%误报与1%真实告警之间,差一个“威胁情报” – 作者:Threatbook-安全小百科

防护、响应、溯源……威胁情报的多种应用方式

除了能够赋能不同的安全产品,威胁情报在防护、响应、溯源等不同领域也有重要的应用价值。

比如在防护领域。早在几年前,Palo Alto 就已利用威胁情报做了很多防护层面的方案,例如它的检测未知威胁的野火云沙箱(WildFire)、URL Filtering、2020年发布的 DNS Security 以及 AutoFocus。这些都使用了威胁情报相关的赋能,来帮助企业做事件的判断与告警。

在国内,微步在线的 OneDNS 产品也能在防护层面起到很好的作用,在提供基础 DNS 解析服务基础上,还具备安全增值的能力,能够帮助企业拦截钓鱼、勒索、挖矿等反连问题。企业使用 OneDNS 进行上网解析时,当有恶意地址的请求出现,OneDNS 将会进行实时阻断,并通知相关管理人员。目前,微步在线是少有的能够将情报能力与 DNS 解析服务进行结合的安全厂商,已经在金融、地产、医疗、教育等不同的行业深耕布局。

在响应领域,通过威胁情报能够掌握威胁事件对应的家族、目的、相应的危害度,感染后的现象,并提供处置建议。以微步在线的威胁感知平台 TDP 产品为例,它只需利用特征分析,流量载荷研判,即可发现网络失陷主机,自动化识别目的性黑客的攻击意图,及时进行自动阻断,或联动第三方安全设备,打通处置流程,帮助企业实现快速响应。

威胁情报在溯源领域中,主要是通过威胁情报追踪 IP、域名,发现攻击者留下的痕迹,从而分析出攻击者的 TTPs 战略战术及过程,一旦攻击者的 TTPs 档案建立,攻击者的行为就很容易被追踪到。而这样的效果是很难通过 SIEM、SOC 等一般的安全产品短期内实现的。

网络威胁情报会不断更新,因为网络攻击者每天都会发现新的漏洞,采取新的手段,进行更精准地攻击。面对攻击者的“道高一尺”,企业安全人员如果愿意主动进行情报共享,就能够大大提高每家企业对于网络攻击的防护能力。这也是威胁情报的网络效应。在微步在线的X社区,我们有百万情报共享奖励计划,希望大家能够为威胁情报贡献一份力量,只要大家共享越多情报,威胁情报就会越强大。

来源:freebuf.com 2021-06-08 15:05:42 by: Threatbook

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论