西湖論劍:Fortinet展現全球化威脅情報價值
責編:mhshi |2016-10-25 10:50:3010月15日,在2016云棲大會之西湖論劍安全峰會主論壇上,Fortinet?亞太區首席安全專家Jack Chan向與會者分享了Fortinet視角的威脅情報,以及FortiGuard威脅情報團隊的實戰案例。
在演講中,Jack首先解釋了威脅情報的定義,歷史需求,以及主要分類。他認為,威脅情報是一種收集到的信息,應該給你一種能力,以快速甄別惡意行為,并且快速響應,這些信息包括但不限于網絡、安全、IT等方面。在黑產的世界里,情報已經被很成熟的使用,惡意軟件生產者、加工者、使用者、售賣者之間早已形成成熟的情報共享鏈條,因此對于防御方來說,構建成熟有效的威脅情報體系與協同共享機制就變得尤為重要。當然,更重要的是,在網絡犯罪全球化的今天,威脅情報也必須是全球化的,才能擁有與攻擊者對抗的初階資本。可惜只有極少數企業或組織擁有專門負責威脅情報的團隊來處理來自開源Feeds或商業Feeds的全球情報,并將其應用到企業安全策略中。
據Jack介紹,目前FortiGuard?Lab擁有360?TB的威脅樣本,2億5000萬收錄的網站數據,發現了334個零日漏洞,并且每日還在快速增加。他認為,威脅情報應該秉持開放共享的精神,產業應該協同整合,共同抗擊黑色產業。Fortinet正是這項事業的踐行者,與業內三家知名安全公司共同成立網絡威脅聯盟(Cyber?Threat Alliance),并且與國際刑警,歐盟,香港,澳洲等地的CERT機構,以及微軟、Adobe和Version等知名企業簽訂威脅情報戰略合作,將16年歷史的FortiGuard?Lab安全能力與全球威脅情報共享出來,每日與大家進行溝通,互補不足。
在演講中,Jack用一個企業郵件攻擊分析的案例展示了FortiGuard威脅情報團隊的能力,以及全球化威脅情報的價值。在對全球網絡的持續監測中,FortiGuard研究員發現在連續一段時間內在全球多個國家都出現了相同或同家族的惡意軟件,而這些惡意軟件幾乎都是通過電子郵件來傳播的。通過對郵件和附件分析,研究員發現這些惡意軟件具備鍵盤記錄,日志記錄,信息竊取,CnC連接回傳等功能,而郵件內容主題都和發票匯款相關。攻擊目標均為企業用戶,攻擊者并不構造垃圾郵件或釣魚網站來誘使受害者付款,而是持續監聽財務部門的用戶電腦通信,在財務人員發送真實請求付款的郵件時進行攔截,并將其附件請款憑證中的收款賬號替換為攻擊組織的收款賬號,以此實現攻擊目的。
在分析過程中,FortiGuard研究員成功偽裝并反偵聽攻擊組織的通信郵件并描繪出攻擊組織的內部架構,郵箱,常用IP,位置等等,最終成功協助國際刑警偵破一起價值6000萬美金的企業郵件攻擊案件。
在這個案例中,充分展現了FortiGuard安全研究人員的攻防對抗能力,以及在入侵事件、URL、載荷、郵件方面的檢測和深度分析能力。而真正重要的是IPS、URL過濾、郵件安全、惡意軟件分析、僵尸網絡發現等等全部維度的安全技術和數據均來自Fortinet?FortiGuard Lab,正因為這樣才能夠實現多維度威脅信息的快速交叉關聯分析,為用戶輸送有價值的可操作威脅情報。
最后,Jack總結道,網絡威脅不斷進化,地下產業在協同方面已經十分領先,有一個好的威脅情報基礎,可以在面對高級威脅的時候進行有效的應對。有效地吸收外部威脅情報并與內部日志相關聯,可以讓自己擁有一個更廣闊的視角,來審視安全態勢,感知對企業或組織的潛在影響。
上一篇:斷網究竟有多大傷害
下一篇:瑞星:未來中國信息安全趨勢展望