威脅情報:網絡安全的下一個引爆點
責編:gltian |2020-01-08 18:13:50威脅情報就像圣經,每個人都在談論它,但很少有人讀懂它,更少有人踐行它。
2020 年,眾所周知的 “灰犀牛年”、奧運年、大選年、周期年、沖突年…… 同時也是企業數字化轉型和顛覆性技術集體發力的第三次數字革命的關鍵年頭。
2020 年,對大多數企業的領導者來說,最大的兩個挑戰是如何以最低的成本:控制風險,把握機遇。
而信息安全風險,無疑是數字化時代企業面臨的最大風險。但更大的風險來自于:企業安全防護體系的有效性不進反退,因為:安全威脅更加難以防范,過去的安全防護體系存在 “大坑”,“安全債” 高企。
面對安全風險與企業防御能力的不對等,一個業界共識的重大安全防御變革方向是:圍繞威脅情報建設 “內生化” 的全新安全體系。
威脅情報就是通過暴露未知威脅,提供更優決策支撐信息,降低企業整體風險,并大大提高安全團隊和工具有效性的理念,是企業應對 APT、網絡犯罪、新興安全威脅(例如人工智能增強攻擊)的 “預警機”,是企業建設能力導向的網絡安全體系的戰略和戰術雙核心。
但是,企業界對威脅情報的現狀、價值、趨勢和最佳實踐路徑的理解還存在頗多誤區和盲區。
帶著這些問題,安全牛作為支持媒體應邀參加了國內威脅情報的第一峰會——2020 年 1 月 3 日北京舉行的奇智威脅情報峰會。
奇智威脅情報峰會現場
本次大會主題是 “情報內生、聚合應變”,目的是幫助企業“構建內生的威脅情報能力”。來自威脅情報央企用戶、主要服務提供商、相關國家和行業機構以及專業咨詢服務商的專家分享了中國威脅情報技術應用現狀與趨勢、用戶痛點與心得、市場挑戰與機遇的關鍵信息。
演講嘉賓包括:國家網絡與信息安全信息通報中心處長盤冠員、國家互聯網應急中心運行部工程師周昊、奇安信集團總裁吳云坤,建設銀行金融科技部信息安全管理處處長陳德鋒、國家電網信通公司調度中心主任胡威、華泰證券威脅情報中心主任周正虎、普華永道風險控制及服務部高級經理張偉等專家出席大會,圍繞威脅情報技術創新、基于威脅情報的安全體系創新、威脅情報在垂直行業的應用實踐及價值挖掘、情報共享及合作等多個層面,發表了精彩演講。
以下安全牛結合會議嘉賓觀點,為讀者梳理當下威脅情報市場面臨的機遇、趨勢、最佳實踐和痛點。
威脅情報進入爆發期
Gartner 對威脅情報 (TI) 的定義是:威脅情報產品和服務提供關于信息安全威脅和其他安全相關問題的知識。威脅情報可提供的信息包括攻擊者的身份、動機、特征以及方法。這些信息來自技術工具(例如流量分析)和人員行動,例如對黑客和詐騙團伙的調查,以及與司法部門和行業組織的信息分享和協作。
與基于漏洞的防御思路不同,威脅情報面向新的威脅形式,它和大數據安全分析、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石。
威脅情報在企業安全市場的崛起,主要來自以下兩個方面的驅動力:
驅動一:威脅情報是企業安全變革的催化劑
威脅情報的應用場景和服務對象無處不在,EDR、SOC、SIEM、SOAR、TIP、下一代防火墻到企業行業情報聯盟,從端點到云端、從一線安全分析師到CISO,從業務人員到總裁CEO。威脅情報是真正的“國民”安全服務,所有人都能從中受益,因而也是安全與IT融合和內生的催化劑和粘合劑。
威脅情報服務/應用場景在企業信息安全體系中的分布
威脅情報的直接受益人:
SOC 團隊:威脅情報利用加速分流所必需的外部信息和上下文豐富了內部警報,加快了 “無為時”,減輕了警報疲勞,最終幫助 SOC 團隊做出更快的基于風險的決策。威脅情報還可以幫助SOC團隊簡化事件分析和控制。
事件響應團隊:威脅情報可以幫助彌合巨大的網絡安全技能差距,減少誤報,并提供快速識別,確定優先級并應對可能的威脅所需的可行見解。
漏洞管理團隊:威脅情報可為特定漏洞提供必要的上下文,這些漏洞代表了組織面臨的風險,并使他們可以了解利用漏洞的可能性。有了這些知識,團隊就可以快速權衡針對漏洞所造成的現實威脅應用補丁的潛在中斷,并迅速做出明智的決定。
安全領導者CISO/CSO/安全總監:威脅情報可幫助他們全面了解網絡風險狀況(包括可能影響業務的新興威脅和未知風險),確定合適的策略和技術來規避或減輕風險。
欺詐防護團隊:威脅情報可以通過監視對業務的直接威脅(域,憑據,管理人員提及,BIN / PIN號碼等),警告來自暗網的威脅,幫助保護企業的聲譽、品牌和網站等),并減少社交媒體的濫用和域名搶注。
風險管理團隊:威脅情報可幫助所有供應商和合作伙伴中全面了解以威脅為中心的第三方風險視圖,從而有助于他們更快,更自信地理解,分析和解決問題。
威脅情報可幫助網絡安全體系中的每個人(從分析師到 CEO)預測威脅,更快地響應攻擊并就如何降低風險做出更優決策。威脅情報可以應用于企業安全策略和安全體系的各個層面,幫助企業安全防護體系轉向更主動,更全面的安全方法。這就是安全情報——一種通過暴露未知威脅,通知更好的決策并達成共識以最終加速整個組織的風險降低來提高安全團隊和工具有效性的理念。
驅動二:投入少,見效快的威脅情報價值被嚴重低估
根據研究公司 IDC 的調研,威脅情報可以顯著降低風險,同時推動安全和運營效率的提高。威脅情報可以將企業發現威脅的速度提高 10 倍,響應和解決威脅的速度提高 63%,并在受到攻擊之前主動識別出 22% 的安全威脅。通過用自動化取代手動任務和研究,威脅情報可以將整個IT安全團隊的生產率提高32%。
隨著網絡犯罪和安全威脅復雜性的不斷增加,威脅情報正在成為網絡安全市場最具潛力、市場規模增速最快,創業投資融資最活躍的 “估值洼地”。
根據 Market Inside Report 的報告,2016 年全球威脅情報市場的價值約為 30.2 億美元,在 2017 年至 2025 年的預測期內,將以超過 17.40% 的健康增長率增長,亞洲尤其是東亞市場的增速要高于全球水平。到 2025 年,全球威脅情報市場將達到 128 億美元。
根據 Gartner 的調查報告,過去兩年威脅情報的認知和需求都在快速增長,尤其對政府主導和商業化威脅情報服務感興趣的企業激增。此外,除了傳統的政府和金融機構外,能源、航空、醫療、醫藥、零售、制造等行業用戶對威脅情報的興趣和需求都在快速增長。
市場需求刺激了威脅情報市場的快速成長,除了眾多大型安全公司以外,創業公司也不斷涌入這個充滿活力和生機的市場。報告顯示:到 2022 年,20% 的大型企業都將使用商業化的威脅情報服務,而 2019 年只有不到 10% 的大企業。換而言之:
在未來不到兩年時間內,行業用戶和大型企業的威脅情報市場規模將增長100%。
此外,中型企業的威脅情報市場雖然才剛剛起步,但增速更為驚人,根據Gartner報告,2018年只有不到1%的中型企業購買商業威脅情報服務/工具,到2021年,購買比例將增長至5%,三年內增長五倍。
威脅情報市場為何如此 “牛氣”?讓我們先回顧一下企業安全目前面臨的兩大挑戰:
2020 年企業安全信息化建設面臨兩大挑戰:一方面,安全威脅的技術、方法、形態、路徑多樣化、復雜化,安全防護難度急劇增加;另一方面,企業信息化的安全債不斷累積。
挑戰一:威脅升級
在奇智威脅情報峰會上,奇安信集團總裁吳云坤指出:靜態的標準規范、陳舊的技術方法都難以應對日益復雜和常態化的安全威脅,“你不能用三五年前的技術和產品去對抗未來的威脅”。
如今,實網攻防演習已經成為常態化的監督檢查手段,企業安全防護體系建設需要從合規導向轉向能力導向。吳云坤將企業面臨的新安全威脅總結為 “四化”:攻擊組織化、環境云化、目標數據化和戰法實戰化。
以攻擊的組織化為例,根據埃森哲公司的報告,APT 攻擊者們一直在往組織化的方向發展,以便共享戰術和工具以進行大規模攻擊。例如,據報道,俄羅斯的 Silence APT 集團正在積極瞄準金融機構,并成功地從全球各家銀行盜竊了數百萬美元。
安全威脅的另外一個趨勢是 “小微化”,表現為 DDoS 和 APT 等攻擊規模的小型化和低成本化,而且針對的對象也覆蓋更多中小企業和生態鏈企業。任何易受攻擊的基礎架構都可能被破壞。這意味著對于所有企業和組織來說,都有必要了解新興安全威脅的運行方式和實施,威脅情報能力建設也需要 “常態化” 和 “民主化”。
挑戰二:安全債
奇安信集團總裁吳云坤將企業安全防護與運營體系的 “安全債” 總結為 “四個大坑”:
(1)缺規劃:創可貼式的安全防御,導致產品堆砌,防護失衡,手段碎片化。
(2) 缺運營:IT 和安全兩層皮,摩擦和隔閡難以消除、安全團隊不能站在信息化角度思考安全,而IT部門的開發運維也沒有 “安全基因” 和 “安全思維”,沒有樹立正確的安全價值觀,對安全還停留在 “成本中心” 和 “拖后腿” 的陳舊觀點。IT 和安全技術、運營的融合與 “共生”,是 2020 年擺在所有企業 CIO 和 CISO 面前的最大難題之一。
(3) 缺預算+成本高:企業一方面缺預算,根據 Gartner 的數據測算,我國網絡安全在 IT 總投入中的占比 2016 年為 0.84%、2017 年為 0.88%。對照全球平均水平,我國網絡安全在 IT 總投入中的占比與全球平均數據相比存在約 1.8 倍的差距。另一方面,(可選擇)安全工具過剩且集成和使用成本過高。
(4) 效率低、反應慢:即使是最先進的 SIEM 和 SOC 方案對未知威脅的檢測和響應的 “反射弧” 也是過長。在安全牛報道的小米生態鏈企業 Wyze 在北美泄露 240 萬用戶隱私數據的重大安全事故中,Wyze 在漏洞信息被公開披露后居然毫不知情,在安全媒體 IPVM 的善意提醒下才緊急響應。對安全威脅的預測、感知和響應如此遲鈍,與小米生態這個全球最大的物聯網生態鏈的高速發展是完全脫節而且極其危險的。
威脅情報兩大趨勢:內生化、平臺化
數據驅動的云大物移人新一代信息技術普及、企業業務前置、零信任環境、隱私合規、人員意識、物聯網、與區塊鏈人工智能等新技術融合應用演化,這些趨勢都是企業構建新一代信息安全防御體系的 “變量”:
數據驅動的安全2.0 圖表來自:吳云坤
而內生安全的關鍵特征,就是安全與企業 IT 系統的深度集成,以及對企業業務數據的深度利用,打造出符合企業需求的,獨特的安全競爭力。
目前在醫藥研發領域,最熱門的研究領域就是 “免疫療法”,而內生安全的核心價值,也正是通過提升企業內在的 “免疫力” 來構筑企業防御安全威脅的核心能力。根據吳云坤的演講,企業內生安全防護系統應當具備三大特征:自適應的免疫功能、內外兼修的自主可控、自成長自進化的學習型實戰型團隊。而打造內生安全的四大要素分別是:新機制、技術聚合、數據聚合、人的聚合(包括與業務流程的集成)。
與此同時,在內生安全、數據驅動、主動防御、自動化與智能化等新的安全理念驅動下,威脅情報也正在經歷內生化和由點到面的平臺化變革,其技術、方法、定位和交付方式都在發生巨大變化。
從邊緣到核心:威脅情報是內生安全新體系的核心
威脅情報在安全內生化趨勢中重要性正在不斷凸顯,成為企業防御體系的軸心和大腦。過去,網絡安全三要素是 “人員、技術、流程”,而在內生安全時代,“人員、情報、技術” 構成了新的三要素。企業應當以威脅情報為核心建設新業態下的安全體系:
制圖:普華永道風險控制及服務部高級經理張偉
從功能到平臺:從初始消費到支持運營
奇安信威脅情報中心負責人汪列軍認為,在威脅情報初級階段,消費外部輸入的威脅情報效果立桿見影,但有其先天的限制,作為彌補和進階,需要建立基于自有基礎數據的威脅情報生產能力,這將使企業組織的威脅對抗水平更上一個臺階。
根據 Gartner 的威脅情報成熟度模型(上圖),大多數企業在進入 “支持運營” 階段后,就會面臨威脅情報的平臺化運營,向內部提供定制化的威脅分析和調查服務,同時開始建立威脅情報的可信伙伴分享聯盟。
其中,以 TIP 為 “大腦” 的安全中臺是信息安全內生化的一個重要概念,從上圖可以看出,威脅情報平臺 (TIP),在安全自動化編排和響應平臺中,威脅情報扮演著 “大腦” 的重要角色,而不僅僅是被編排的對象:
制圖:普華永道風險控制及服務部高級經理張偉
奇安信集團總裁吳云坤強調從信息化的角度看待威脅情報運營建設;威脅情報驅動的威脅運營是一個運行閉環(上圖),要嵌入到信息化流程中并作用于積極防御,建立自身的情報生產(來自內部信息化業務數據和外部多源情報)和消費能力,挖掘出潛在和未知威脅,并及時有效的彌補防御弱點。
國家互聯網應急中心運行部工程師周昊認為(上圖),企業應當以威脅情報為紐帶構建安全中臺,統一威脅情報體系,擴展不同類型情報,和其它引擎聯動,形成具體響應動作,向各部門提供統一服務,實現情報賦能,情報即服務。
威脅情報內生化的最佳實踐與痛點
建設銀行金融科技部信息安全管理處處長陳德鋒:三步走打造智能主動防御體系和運營平臺、
在當下建設銀行電子銀行快速發展時期,不能僅依靠內部安全體系,必須利用威脅情報,預防、攔截、追溯、優化控制。在系統漏洞預警、數據泄露監測、釣魚網站發現關閉等多個領域構建威脅情報共享機制,逐步加大、加深威脅情報和安全體系的結合。
分三步走打造智能主動防御體系和智能運營平臺,以安全大數據和資產大數據為基礎,安全對抗為核心,結合威脅情報,應對有組織的大規模網絡攻擊。
痛點
- 數據驅動的安全分析模型精度與隱私保護嚴控之間的矛盾;
- 資產管理的數據覆蓋和維度不夠;
- 人才短缺;
- 缺乏有效的情報分享機制;
國家電網信通調度中心主任胡威:主動防御體系需要以情報驅動安全
情報驅動安全:國家電網網絡安全保障體系總框架
2017 年勒索軟件肆虐之后,電力行業的安全感就沒了。如今,電力關鍵信息基礎設施已經成為網絡打擊破壞的重要目標,攻擊的持續性隱蔽性顯著增強,防護難度加大。今年三月提出的電力泛在物聯網,給相對封閉的內部工業系統和工業互聯網帶來了“無限大”的攻擊面,加之電網公司信息化近年來自我加壓,緊追并引領行業潮流,新技術和應用帶來網絡結構復雜化,威脅形態和攻擊面也在同步增多。
在全新的安全威脅形勢下,我們的安全防御體系開始從被動走向主動,過去網絡安全建設的技術設備,例如防火墻、IPS以及其他基于標記檢測的設備,發揮的作用越來越小。在新的主動防御體系中安全感知、安全情報的比重越來越大。
如今我們的防御體系建設思路,是以情報驅動安全,建設情報搜集和分享體系,實現對威脅情報的高級分析,通報預警應急處置,技術支撐閉環評估,24小時協同聯動機制。
打造一線人員看得懂的態勢感知,是我們一直以來的目標。
痛點:威脅情報方面面臨五大問題需要解決:威脅預警如何更及時、態勢感知如何更精確、智能分析更深入、情報共享更貫通、協同聯動更充分。
廠商的感知相關產品很多,但是真正了解和適合國家電網業務特點的不多。
華泰證券威脅情報中心主任周正虎:將威脅情報體系建設成情報 “賦能中心”
我們引入 NIST 網絡安全框架構建威脅情報體系,覆蓋八大領域(上圖):IOC情報(商業+開源)、數據泄露(GitHub+百度網盤)、黑灰產監控、漏洞情報、規則情報、Hash情報、響應情報、蜜罐與IP監測情報。此外,華泰證券還把一些安全運營中比較固化的的流程利用SOAR進行安全的自動化編排和響應。
痛點:缺乏威脅情報數據(IOC)
國家互聯網應急中心運行部工程師周昊:用情報集市打破威脅情報共享瓶頸
威脅情報的生產、共享、賦能應當形成一個閉環的生態系統,解決情報分享痛點的關鍵是調動各單位分享的積極性,打破制約情報分享的 “納什均衡”。過去威脅情報市場主要是 P2P 的私下拓展方式。廠商不知道用戶在哪,用戶不知道廠商優劣,導致優質情報價格上不去。一種解決方案就是我們正在探索的一種平臺型的雙邊情報市場,由廠商、平臺以及用戶三方構成。加入的廠商越多,吸引的用戶也越多,而更多的用戶使用,同樣也會促進更多廠商加入,情報來源和可選擇性不斷增加,成本逐步降低,形成一個良性循環。目前國家互聯網應急中心已經構建了一個多元情報匯聚和服務平臺,預計年后發布,平臺充分利用了國家級的平臺和數據優勢,聯動威脅情報智利能力,形成國家級一站式威脅情報服務。
北京盛華安信息技術有限公司聯合創始人、副總裁葉蓬:威脅情報應當落地內部大數據平臺,SOAR是能力驅動的信息安全建設的重大方向
企業 SOC 從最初的面向資產到面向業務,再到現在的數據驅動,一步步演進。威脅情報在企業安全運營中的地位也在不斷提升,現在是情報引領的安全體系建設,但是要解決威脅情報 “最后一公里” 企業側落地的需求匹配問題,需要集成商、安全托管服務商多方協力。不管是國外的經驗或者國內的實踐,比較好的落腳點還是聚焦在企業側的大數據平臺,不管是外部情報平臺數據還是內部數據,都需要在這個平臺上匯聚、碰撞和處理。但目前的問題是情報對比仍然是老的方式,誤報率下不來,不能根本解決報警疲勞的問題。解決途徑就是結合多種威脅檢測手段和上下文信息比對,要把情報和企業內部業務數據,以及安全防御體系結合起來,安全運營的自動化和編排是未來安全發展的重大方向,通過編排,很多安全公司的產品都會在甲方的要求下能力化,例如防火墻、IDS 系統是一個能力集合,不是孤立的輸出,而是變成一組 API 或者服務的概念。
在所謂軟件定義安全或者軟件定義的安全運維中,威脅情報是一個可以被編排的功能。
總結:痛點即機遇
痛點一、用戶選擇困難
安全牛 2019 版全景圖中的威脅情報廠商分類(將于2020年1月更新版本)
威脅情報產品概念繁多、價格不透明、缺乏綜合方案。Gartner報告。也指出了目前威脅情報市場的問題:市場提供的服務五花八門,但沒有一家企業能夠提供整體方案,只有極少數的供應商能提供定制化的情報服務;企業用戶比較選型難度大,“選擇困難綜合征“非常普遍。
痛點二、情報分享難
企業和行業情報聯盟容易陷入“納什均衡”,導致情報很難聚合、流通和分享。
痛點三、觀念轉變難
安全廠商和企業安全團隊需要從信息化的角度看安全,從數字化轉型戰略和業務價值的角度而不是單純的安全指標來指導內生化的,以威脅情報為中心的安全防御體系的規劃和運營。
痛點四、人才短缺
類似威脅捕手、安全大數據分析師這樣的威脅情報相關新興安全職業崗位的人才嚴重匱乏。
痛點五、隱私合規與情報數據的矛盾
2020年,繼GDPR之后各國隱私數據保護法規接連出臺,威脅情報數據生產、分析與分享的合規風險也不斷加大。
痛點六、缺乏標準化
威脅情報數據格式缺乏標準化,不但制約情報分享,而且也制約威脅情報在企業安全防護體系中的集成化和智能化演進。
痛點七、缺乏針對性產品和服務
參考資料:
奇智威脅情報峰會會議資料(安全牛企業會員可發送郵件:xurongrong@aqniu.com,備注:公司名稱+奇智威脅情報峰會PPT)
埃森哲2019網絡威脅全景報告 :
https://www.accenture.com/_acnmedia/pdf-107/accenture-security-cyber.pdf
Gartner威脅情報成熟度模型報告
Market Inside Report:2025全球威脅情報市場預測報告