守护业务安全时代的「威胁猎人」解决方案 | WitAwards 2018“年度创新产品”参评巡礼 – 作者:Freddy

前言

2015 年国务院发布的《政府工作报告》指出,“制定‘互联网 +’行动计划,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场”。 “互联网 +”这种新生态能够为用户提供更加灵活、便利和高价值的服务。在这样的时代背景下,国内各领域的厂商和组织机构等响应国家号召和用户需求,蓬勃展开各种的“互联网 +”业务,将互联网平台与传统产业的跨界融合,实现了传统产业中产品、业务、模式的迭代更新,把互联网和包括传统行业在内的各行各业结合起来,各行各业都产生了新的生态和体系。

万物互联

“互联网 +”业务的一个重要特点就是通过互联网平台,把线下生活最大限度的与线上场景结合到一起,打通物理物理世界和虚拟世界。企业和政府部门等组织机构业务应用场景和业务流程复杂度呈级数增长,业务安全风险也进一步加大。随着业务平台数量和规模剧增,大量的用户信息以及各种敏感数据容易成为不法分子的攻击目标。

黑客通常利用Web系统漏洞、业务逻辑漏洞、主机操作系统或第三方软件漏洞,进入业务系统管理后台,窃取或修改数据库中的重要数据,导致网络安全事件不断涌现,业务安全事件造成的公共影响面越来越大,比如8月我国最大的半导体制造公司台积电因勒索软件攻击,导致业务瘫痪数周;华住酒店集团旗下5亿条用户数据全部泄露,直到黑客在黑市售卖才得知;山东省多个城市的不动产登记中心遭到攻击,整个不动产工作都无法正常进行。这些事件层出不穷,背后的攻击形式多变,对网络安全的挑战越来越严峻。我们的国家安全、政治安全、国防安全、关键技术设施安全、社会安全、金融安全、个人信息安全以至于人身安全均时刻受到有形和无形的威胁。因此加强业务安全平台建设是实现“互联网+”国家战略的核心要素之一。

FreeBuf一直以来都非常关注业务安全领域的发展,本届WitAward 2018组委会收到“年度创新产品”评选申请中,也有来自业务安全领域的新力量——威胁猎人。

威胁猎人

一、威胁猎人

威胁猎人2017年才成立,还很年轻,不过到现在有一半的时间都聚焦于为国内的一线互联网企业提供业务风险感知能力,吸引了全国TOP30互联网企业中的23家成为威胁猎人的客户。从人才和资本建设这两方面看成长均较为迅速,今年年初前腾讯安全技术专家邓欣加入威胁猎人担任CTO,从战略高度对技术进行规划,打磨好现有的情报服务。近期,威胁猎人还获得真格基金资本600万元PreA+轮融资,这是继2018年5月威胁猎人获得泰岳梧桐资本2500万元Pre-A轮融资后的又一笔融资。本轮融资后,2018年威胁猎人的重点都会围绕产品落地进行。

本次参选产品是威胁猎人针对企业和机构的业务情报监测解决方案——TH-Karma。威胁猎人以“威胁情报”作为抓手,以攻击者为视角,依托开源情报、工具情报、闭源情报三大业务情报体系,及深层次的情报处理能力,帮助企业在业务环节精准筛选出恶意流量,还原业务风险场景,并量化对业务的影响,且持续对黑产进行实时监测,驱动风控决策引擎迭代,从而提升企业整体攻防效率。

TH-Karma

传统的网络安全保护主要采用攻击行为感知、收集、分析、报告等流程。通过部署防火墙、入侵检测系统等安全产品,配置相应的访问控制策略和审计策略,监控网络安全状态。虽然这种保护模式可以抵御某些网络安全攻击,但它仍然是亡羊补牢,具有一定的滞后性。在实际操作中,由于安全事故原因的误判和紧急手段的失败,最终导致系统受到攻击的情况并不少见。

随着高级持续威胁(APT)攻击等新型攻击手段的兴起和复杂程度不断提高,传统防御系统更加捉襟见肘。 在过去的APT攻击事件中,所使用的攻击行为有明显的定制化特征,并且在不同攻击目标中复用的概率很小,这导致在纵向时间维度与横向空间维度上均缺乏足够多的同类攻击行为样本进行关联分析。

APT

与此同时,近年来攻击工具和攻防手段的商业化和产业化为有组织的攻击提供了丰富的“武器库”。例如,美国“棱镜门”事件显示,在国家层面已经存在战略级别的信息监控网络和情报窃取方式;伊朗核电站遭受“震网”病毒袭击,证实存在国家支持的网络战工具;英国Gamma和来自HackingTeam的大量敏感数据的泄漏让高度定制化网络攻击进入人们的视野。这些攻击工具针对国家机密和商业机密,几乎不可能从攻击特征库中检索到。因此,现有的安全保护概念、系统和解决方案无法有效处理有组织、有预谋的全面安全威胁。在这种背景下,威胁情报安全技术应运而生,并且广受业界欢迎。

threat-intelligence

在快速迭代的时代背景下,要赢得一场场超时空的对抗,传统的手段已经捉襟见肘,尽早全面掌握“安全威胁情报”是打赢这场仗的关键。

二、产品能力及服务

TH-Karma业务情报监测平台,能够最大程度地满足客户在业务安全防护越来越复杂的大背景下的风控需求。为应对复杂的网络攻击环境,Karma创新性的改变了传统业务安全事后救火的防御特性,利用威胁猎人多元化数据收集能力和智能化的情报处理能力,输出业务安全威胁情报。能够做到威胁提早发现、风控迅速响应、防御高效率的全景式业务安全感知和威胁溯源系统。整体提升企业业务安全防御与应急响应能力,为企业搭建一个主动的、动态的、深度的业务风险感知情报解决方案。

在技​​术层面与传统网络安全保护体系相比,威胁情报以收集、交换、共享等方式检测和挖掘攻击行为,快速学习和识别检测到的新漏洞、新风险和已知的非法行为,并部署预防措施。

在管理层面,威胁情报对情报重要性和价值的发掘可以帮助企业重构正确的信息安全管理理念和目标,提高企业的信息安全管理水平,从一个全新的角度着眼信息安全风险分析和信息安全建设,发挥主体作用,而不是单纯依靠购买和部署大量设备,使信息安全建设投资更加合理。

先进的理念

解决业务安全问题,最核心的一点是要先明确“谁在什么时间、用什么方法,攻击了哪些业务,从而产生怎样的风险。”因此,业务风险感知能力在业务安全领域是一种刚性需求。业务安全底层其实是基于成本的攻防,在攻击平面更多的情况下,企业也需要有相对应的手段来明确评估风险后合理投入资源并解决问题。无论是大客户,还是中小客户,业务安全的第一需求一定是感知能力上的需求。而对于中小客户来说,因为对ROI的敏感度更高,所以感知能力就成为了这部分客户在业务安全上的入口服务。

虽然国内外各种安全机构、安全厂商都投入了大量精力进行威胁情报的探索和研究,但威胁情报分析技术仍需在以下三方面进行完善和提升。

1、威胁情报共享路径有限。

与传统的网络安全技术相比,威胁情报本质上可以更好地实现信息资源的共享,但是由于威胁情报的多源和多样特性,协议转换和产品标准化的实施很困难。即使STIX/TAXII、IODEF/MILE和OpenIOC等已逐步推广为威胁情报标准化和协议转换的开放标准,但很多厂商和组织由于存在利益竞争,因而形成了各自为战的“信息孤岛”阻止了威胁情报信息和研究成果的共享。无法实时动态共享信息的网络安全防护方案难以适应“互联网+”时代的发展特点,掌握网络安全威胁情报首先要建立动态安全防御的理念, 在整个网络安全保障过程中,要不断收集、分析、应用各种网络安全威胁情报,以时刻应对不断出现的新的网络安全威胁。

2、情报源受限。

在实践中,由于研究组织的资源和合作渠道有限,威胁情报的外部来源主要依赖于STIX/TAXII等标准指导下的共享信息。在信息大爆炸的时代,用于捕获信息和扫描各种特定漏洞信息的传统工具(如Web爬虫)已无法满足威胁情报严苛的准确性、即时性、真实性三大标准。对指定漏洞的大规模扫描只能反映特定安全漏洞在短时间内的威胁状态,不能形成全面的安全威胁态势感知,并不能达到预期的效果。

3、缺乏深入的分析。

威胁情报优于传统网络安全方案的优势在于更好的整合分析能力,重现网络攻击并预测未来可能发生的事件。在实践中,一些企业和厂商往往受制于IT技术企业背景的限制,更加关注技术而不是数据本身,侧重于终端态势感知和威胁情报分析产品的研发,针对后台威胁、智能分析机制的流程和效果都不够重视。威胁情报的本质仍应是“情报”,而不是“收集”。金融公司关注交易系统的保护,而制造公司则更关心工业控制系统的安全性。不同客户面临的“威胁”并不相同,“智能”也是应用的焦点。只有深入了解客户,结合客户的业务特征并从客户的需求的出发设计的流程、算法,收集的信息才能真正发挥其作用。

TH-Karma则秉持了“情报即服务”的理念,在运用中遵循了情报学理论,不完全拘泥于依靠安全产品等手段,采用多种方式,有组织、有计划地开展安全情报搜集、过滤与分析工作来解决上述三个领域的问题。尤其是对于威胁情报的分析工作,部署自动化安全数据关联过滤与专业安全情报分析相结合机制,将威胁情报分析提升到现状分析与未来态势预测并重的水准,充分体现威胁情报的真正价值。

Snipaste_2018-10-19_14-11-36.png

两大平台

1)公众号预警平台:实时风险告警

通过公众号预警平台向客户及时推送有价值的黑产情报,直观展示企业面临的业务风险及未知风险,帮助客户提前启动监测。

注册安全:

主要针对未注册业务环节。常见风险类型:垃圾注册、注册养号等风险。

登录安全:

主要针对登录、找回密码等已注册业务环节。常见风险类型:拖库撞库、暴力破解、钓鱼盗号等风险。

帐号安全:

主要针对登录、注册、找回密码等业务环节。常见风险类型:拖库撞库、暴力破解、垃圾注册、钓鱼盗号等风险。

活动安全:

主要针对企业发起的拉新、营销活动等业务环节,会引来羊毛党的攻击造成营销费用的损失。常见风险类型:优惠获取、抢购秒杀、红包外挂等风险。

支付安全:

主要针对涉及资金交易等业务环节。常见风险类型:金融诈骗、资金盗用、洗钱套现等风险。

内容安全:

主要针对发帖、评论、私信等业务的UGC社区。黑产会对社区发布垃圾信息、不良言论、虚假内容,导致网站声誉受损。常见风险类型:自动评论私信、黄赌毒内容、恶意差评或删帖等风险。

接口安全:

主要针对网站功能接口、APP协议接口等新上线功能或数据传输的接口,是黑产对接口发起攻击的重点目标,会造成接口批量调用影响正常用户使用。常见风险类型:协议破解、请求伪造、数据爬虫等风险。

流量反欺诈:

主要针对网站访问、关键词搜索和渠道推广等流量,黑产会对访问资源发起刷量攻击,影响网站的搜索排名、推荐算法甚至营销费用结算等。常见风险类型:流量欺诈(阅读播放量、电商权重、搜索SEO)

黑产情报告警:

实时监测暗网中正在传播的黑产交流信息,如数据贩卖、源码泄露、业务漏洞等。

2)业务情报监测平台:风险场景还原

业务情报监测平台承载更深度的黑产情报数据分析,进一步对情报分类及风险级别定级,还原业务风险场景。

业务情报查询接口:

支持手机号风险、IP风险、风险接口、舆情关键词、黑产工具查询,如及时了解攻击源IP的基本信息及IP黑产画像、手机号参与的相关黑产项目情报,用于安全事件回溯。

工具全景监控能力:

第一时间捕获到网络中活跃的黑灰产工具,给工具做定性分析,如攻击目标、工具类型,多维度还原黑产工具的迭代周期及活跃度,判断其可能对业务产生的风险行为。

3)产品优势

1)深入黑产,捕获海量威胁情报

2)转变视角,从攻击方感知防控

3)攻击流量,纯黑流量免清洗分析

4)实时告警,实时海量数据全方位感知威胁

5)在线交付,无需部署和嵌入核心业务体系

创新点

1)以攻击者为视角,依托开源情报、工具情报、闭源情报三大业务情报体系创新性的改变了传统业务安全事后救火的防御特性,利用威胁猎人多元化数据收集能力和智能化的情报处理能力,输出业务情报。能够做到威胁提早发现、风控迅速响应、防御高效率的全景式业务安全感知和威胁溯源系统。

开源情报:第一时间捕获黑产动态

威胁情报相比传统网络安全防范技术的另一优势是,能从收集到的情报中提取出有价值信息,为用户决策提供依据。但在实际操作中,由于研究组织、厂商所掌握的大数据等资源及合作渠道有限,在当前网络信息量呈爆炸态势增长的背景下,平台目前掌握上千量级别情报源,持续产生最新的开源情报信息,并通过自动化的数据分析模型形成有价值的黑产情报,在黑产发布情报的第一时间捕获预警。

工具情报:还原黑产攻击场景

黑灰产所用的攻击工具包含了具体的攻击逻辑、利用的业务缺陷以及相关黑产资源信息。工具情报帮助企业第一时间捕获到业务流程中活跃的黑灰产工具,并分析其危害原理,还原黑灰产攻击场景,在风险早期定位业务缺陷。

闭源情报:实时监测黑产攻击流量

提供实时的黑产攻击流量监控,还原黑产攻击目标、攻击频率以及攻击趋势等,帮助企业在业务环节筛选出恶意流量。且TH-Karma平台部署的全球蜜罐节点日捕近几十亿次黑产实时攻击流量,庞大的数据收集能力能全景的描绘出企业整体业务风险状况。

2)情报处理能力:输出可读性高有价值的黑产情报

威胁猎人配备专门的安全专家团队,将收集到的黑产情报利用机器学习、分类引擎、沙箱鉴定、静态特征提取等情报处理方法进行关联聚类、可视化等分析处理,向企业输送可读性高、有价值的黑产情报,方便企业直观了解黑产情报,帮助企业及时做出风控决策。

总结

从2014年开始,威胁情报和业务安全逐渐成为网络安全领域的热点。目前,国外已初步形成相对完整的分工体系和产业链。在美国,威胁情报分析技术已得到广泛认可,网络威胁与情报整合中心(CTIIC)的成立,网络天气地图(CyberWeatherMap)的构建,《网络安全情报分享法案》等一系列规定的出台,显示出美国从国家层面和战略高度对威胁情报分析和业务安全建设的重视。此外,各大厂商、专业组织和政府机构推出了相应服务和解决方案,国内一些技术领先的机构和厂商也积极投入到相关产品的研发和生态系统建设过程中。

我国的威胁情报和业务安全领域目前的基础还比较薄弱,可以说才刚刚迎来加速发展的战略机遇,需要从视野、实战与合作三个维度实现产业体系的迭代升级和格局创新,这对网络安全行业而言是很好的机会,FreeBuf也非常愿意通过平台力量为威胁情报&业务安全领域的企业和组织提供支持。


WitAwards 2018 颁奖盛典 |  FIT 2019 互联网安全创新大会即将揭晓

WitAwards年度互联网安全评选活动由国内信息安全新媒体领导者 FreeBuf.COM 主办。评选周期历时3个月,评委包括顶尖行业专家、行业媒体和安全从业者,颁奖盛典将在FreeBuf 互联网安全创新大会(FIT 2019)举办。WitAwards 2018「公众投票」通道现已开启「WIT2018评选官网」。

WitAwards年度互联网安全评选,旨在发掘全年卓越的安全产品和杰出人物;给予在2018年为安全行业做出贡献的个人、团队及产品以掌声和肯定。

微信图片_20181025115304.png

历时90天,近500项申报及提名,经WIT组委会严格审核,共预录取近110席入围项目。FreeBuf现邀请每一位安全领域从业者、爱好者,共同选出安全领域Top Icon,一起见证年度安全盛誉的诞生,为数万名从业者和数百款安全产品的努力与创新喝彩!

年度创新产品

*本文作者:Freddy,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-10-22 13:30:06 by: Freddy

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论