安全防御需要真數據與真情報
責編:mhshi |2016-02-22 10:49:20近日安全領域一大新聞就是創立于2010年的Norse Corp瀕臨倒閉邊緣。也許大家沒有聽過這家公司的名字,但是大多數從業者一定見過酷炫無比的“地圖炮”。曾幾何時,我們可以盯著屏幕在Norse的網站上看“全球黑客大戰”的直播。這家公司也在幾年間成為了全球領先的威脅情報公司,然而這一切都幻滅了,原因則是這家公司用來呈現和分析以及產出報告使用的數據可能都是假的。
據揭露,Norse的數據來源為部署在全球數十萬的代理,蜜罐等傳感器,但是他們將這些傳感器收集來的數據當做真實發生的攻擊呈現在他們的報告和其他商用產品中。這無疑對我們判斷全球網絡安全態勢產生了影響。此外,作為一家以數據為基礎的威脅情報公司,向公眾和客戶傳遞虛假數據是無法接受的,因此最近幾個月連續被披露出該公司裁員、CEO下課,甚至實時“地圖炮”無法打開的新聞。
Fortinet作為一家全球化網絡安全公司,旗下的FortiGuard實驗室也將從全球收集的數據已可視化的形式呈現出來(http://threatmap.fortiguard.com/)。
Fortinet FortiGuard實驗室(http://www.fortiguard.com/)將從全球范圍收集來的數據進行展示,根據攻擊嚴重程度用顏色區分,由于攻擊過多,我們在地圖上只顯示收集來的萬分之一數據。這些數據全部來自于Fortinet部署在全球的設備。據IDC數據顯示,Fortinet在全球出貨量已經達到了200萬臺,位列全球網絡安全供應商的第一位,因此不論從廣度還是數量上,Fortinet均能夠提供全球最龐大的威脅情報。在過去的2015年第四季度,Fortinet每分鐘攔截4.4萬次僵尸網絡C&C攻擊,13萬次惡意軟件攻擊,18萬次惡意網站訪問,55萬次網絡入侵行為。
通過FortiGuard提供的威脅情報,用戶可以了解到誰在和你通信,誰在請求和你通信,通過什么方式通信,以及通信的內容是什么。除此以外,依托于FortiGuard全球200萬+的傳感器,強大的基于云的大數據安全分析平臺,以及200余名安全威脅研究人員的支撐,我們還可以為用戶提供威脅早期預警服務。
現在已經是動態安全時代,傳統設備和方案都是靜態的,很難對抗持續變化和升級的攻擊手段。威脅情報正好是以動態的手段來對抗攻擊者。在整個防御過程中,威脅情報會不斷地被收集、豐富、分析、再收集形成一個閉環。APT的泛濫帶來的現狀就是系統被攻擊和攻陷已經是常態,在這種新常態下,我們必須要提升檢測和應急響應能力,而這個能力就是要由威脅情報來驅動的。我們知道APT的高級和隱蔽性使得可以輕易穿越傳統安全防線,因此對高級威脅,我們使用的檢測手段也不能只是簽名,必須要依靠行為檢測進行分析,交付給用戶可執行和操作的分析結果,由此可見在持續的攻防較量中這個能力是很重要的。因此在威脅情報在未來安全保護方面肯定要起到越來越重要的作用。