压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

主持人金湘宇：大家下午好！現(xiàn)在開始今天下午的威脅情報的分論壇。我叫金湘宇，網(wǎng)名是Milk，我做的事情比較復(fù)雜，現(xiàn)在主要做一些信息安全投資相關(guān)的工作，在威脅情報方面近年來也做了一些研究，有幸成為今天下午分論壇的主持人，也是第一個議題的演講人，所以給大家分享一些威脅情報方面的認識。因為我既是分論壇的主持人，也是議題的演講人，我們就直接開始吧。

第一個議題是從概念到實踐威脅情報的落地。首先是威脅情報的概念，這是一個很有意思的話題，目前在市場上已經(jīng)有很多的公司來說自己是威脅情報的公司，說自己的產(chǎn)品是威脅情報的產(chǎn)品，可能一時之間威脅情報的概念就很火熱，實際上這里面有很有意思的事，我發(fā)現(xiàn)經(jīng)過一些溝通發(fā)現(xiàn)每個人對威脅情報的理解都是不一樣的，相差很大，造成我們在交流的時候大家覺得說的是一件事，可是說來說去不是一件事，有一點雞同鴨講的意思。

首先，當前安全防護體系的議題，我相信目前沒有人對當前的安全防護體系是滿意的，從目前的傳統(tǒng)的防護體系基本上是千瘡百孔的狀態(tài)，這是國外的咨詢公司的統(tǒng)計，這個統(tǒng)計很典型，根據(jù)攻擊的時間和響應(yīng)的時間來看，一般從攻擊到獲取權(quán)限這個時間很快，基本上是在分鐘級小時級就完成了攻擊，之后會偷數(shù)據(jù)，根據(jù)統(tǒng)計來看，基本上是一天左右的時間偷數(shù)據(jù)就完成了，這是因為目前的攻擊技術(shù)高速發(fā)展，以后高度產(chǎn)業(yè)化甚至是產(chǎn)品化，以前我們做攻擊還想黑客是不是會寫代碼，寫溢出才是黑客呢？當年真的是這樣的，可是現(xiàn)在不是了，現(xiàn)在有很多漏洞掃描的產(chǎn)品甚至是滲透測試的產(chǎn)品，甚至在黑市上可以找到木馬的東西，攻擊的難度下降了，甚至是高度產(chǎn)品化，自動地掃描、自動地植入，甚至是自動地插出一些痕跡，高度自動化的。還有目前的IT的發(fā)展速度也很快，帶寬也很快，家庭又普遍都光線了，百兆左右的，所以攻擊很快的，基本上一天左右的都實現(xiàn)了，目前的防控體系，高度發(fā)展的空間中出現(xiàn)了瓶頸，從防御方的統(tǒng)計來看，基本上防御方發(fā)現(xiàn)被攻擊了，基本上都需要以月為周期才能發(fā)現(xiàn)，周末的時間問題才能響應(yīng)，目前的防御體系基本上是接近于無效了，這是目前的問題。因此，大家對這個防護體系都不滿意，都對目前的防護體系提出了更高的要求，因為攻防雙方是對抗的，攻擊的效率提升了，防御方跟以前相比沒有太大的變化。

防御體系來說有幾點需要提升，第一是海量事件中真正有價值的事件出現(xiàn)，還有目前的事件尤其是大型的企業(yè)而言每天收到的事件很多，就算是我們做了一些事件的合并，可能一個大型企業(yè)說的也是幾百上千的，按照正常的分析的流程我們需要分析師把這一千條分析看是不是漏報和誤報，這個效率很低下，淹沒在數(shù)據(jù)里了。傳統(tǒng)的都是基于簽名的，一般是防病毒和入侵檢測的廠家要先拿到攻擊的樣本和流量，這樣才能寫出簽名來，實際上這是一種滯后的防御手段。而且目前可以看到廠商的升級入侵檢測也好，掃描也好，可能都是月級的，做得好一點的有周為頻度的更新。目前的攻擊又遇到了瓶頸，因為目前的攻擊都是APT的攻擊，都是有高度指向性的，黑客為了攻擊你往往會做一些碾殺或者是用自己寫的木馬的程序，傳統(tǒng)的基于簽名的防御體系，在APT的時代又不好使了，黑客不斷地做面紗傳統(tǒng)就不行了。組織之間是沒有協(xié)同的，之前一個比較典型的以前做過應(yīng)急響應(yīng)，經(jīng)常出現(xiàn)的情況是管理員發(fā)現(xiàn)了被入侵了，往往遇到的基本上所有的情況都是管理員說中國不喜歡把被攻擊的事件共享，跨公司的沒有，甚至干活的和領(lǐng)導(dǎo)之間都不希望有共享。明明是大家可以協(xié)防一下，還有很多的服務(wù)器，都是一樣的問題，大家都不說就挨個遭殃。一個是目前的安全產(chǎn)品和廠家，都是孤立的之間也不能進行聯(lián)動，都遇到了一些瓶頸。

所以國外就產(chǎn)生了一些威脅情報的概念，那么就回到了今天第一個問題，威脅情報到底是什么？這個概念其實很有意思，里面有威脅兩個字，這不同于安全情報和漏洞情報，不同在哪兒？實際上威脅的概念不是一個很新的概念，這個概念大家比較熟悉的根源應(yīng)該來自于風(fēng)險管理領(lǐng)域，這是大家耳熟能詳?shù)哪Ｐ停髽I(yè)的風(fēng)險跟什么有關(guān)？跟資產(chǎn)有關(guān)、跟漏洞有關(guān)、跟咨詢有關(guān)跟事件也有關(guān)系，這里面的威脅是什么？威脅實際上是對威脅源的描述，比如說攻擊者大概是誰？目的是什么？用了哪些手法？會用哪些工具，工具的過程中樣本是什么？這些是對攻擊源頭的描述，對攻擊源頭的描述是威脅情報，目前在市場里其實還有很多相近的概念，比如說資產(chǎn)情報，這個最典型的就是國外有撒旦，中國有中非之眼，我把它稱之為資產(chǎn)掃描的一些系統(tǒng)，這些系統(tǒng)其實很典型，收集的是IP跟域名的對應(yīng)的，這個IP看來哪些端口，端口上有哪些應(yīng)用是什么版本的，其實這些情報是安全情報中的一種，但不是威脅情報是資產(chǎn)情報。還有比如說烏云有時候會爆出一些漏洞來，其中一部分通用的漏洞比如說某個論壇的應(yīng)用程序有一個漏洞，實際上這并不是威脅情報而是漏洞情報，還有一些情報，實際上這些已經(jīng)有點進入到事件情報的范疇內(nèi)了。所以，威脅情報是什么？威脅情報一定是對攻擊源頭的描述。威脅情報最大的概念是安全情報的概念，安全情報有一些廠商叫做安全智能，實際上安全情報更大的概念是包含了很多其他類的情報，所以確實是不一樣的，威脅情報會有一些什么用呢？威脅情報中包含了什么東西，剛才說漏洞情況不是威脅情報，資產(chǎn)情報也不是威脅情報，威脅情報典型的里面有什么東西呢？首先就是威脅情報里應(yīng)該可能會包含一些威脅源，這些威脅源就是對攻擊源頭的描述，比如說是國外的什么什么組織，還有會描述攻擊的目的，是為了錢還是為了知識產(chǎn)權(quán)。再一個威脅情報會描述攻擊對象，跟哪些東西有關(guān)聯(lián)，還有是對電廠感興趣還是對金融感興趣，還有攻擊手法，利用的漏洞是什么？用的工具有沒有什么共有的特征，以及我們怎么描述它，這個概念是很重要的，威脅源的描述實際上在安全分析中有很多的好處。因為威脅源從攻擊者來說往往會有一個問題，個人會經(jīng)常上習(xí)慣的網(wǎng)站，會用習(xí)慣的瀏覽器，可能喜歡用自己的服務(wù)器，黑客也是這樣的，總有它的習(xí)慣和歷史，也有他常用的跳板，所以這些信息實際上都可以用來對威脅進行一些發(fā)現(xiàn)。

威脅情報實際上是戰(zhàn)略和戰(zhàn)術(shù)的協(xié)同，攻防的對抗一定是拼的人的智能，所以如果從宏觀來說一切安全防護體系一定是以人為核心的，當然大家可能也有一些說是我的安全體系是以數(shù)據(jù)為核心的，我是以業(yè)務(wù)為核心的，有可能是以其他的東西為核心的，但是宏觀來說，一定是以人為核心的，因為是人在用這個體系。但是在攻防對抗里人是比較少，有技能的人比較少，不是每個公司都能雇傭到黑客級的人，戰(zhàn)術(shù)層面一定是機器的對抗，一定利用的是機器的功能，這個戰(zhàn)略和戰(zhàn)術(shù)之間實際上是通過情報打通，也就是一些有研究能力的人，有攻防能力的人專門做一些分析，對大多數(shù)戰(zhàn)術(shù)層面的用戶而言，我們只需要讓我們的設(shè)備支持這個情報就可以了。

從宏觀來說，威脅情報其實不是銀彈，是不是我用了威脅情報就不會被入侵呢？是不是用了就萬能了呢？實際上一定不是的，因為威脅情報是一種知識，是一種知識的共享，所以它解決的不是你不被攻擊的問題，而是只要有一個人有一個地方被攻擊了，我的知識可以快速地傳遞，幫助其他的人更快地更好地來響應(yīng)這個威脅，所以威脅情報一定不會讓你不被攻擊，但是它對我們防護的體系又是很重要的，威脅情報實際上是一種改變成本的技術(shù)，因為用了威脅情報，實際上黑客一定還可以攻擊你的內(nèi)網(wǎng)，可是他的成本大大提升了。前面提到威脅情報提到的內(nèi)容，黑客會經(jīng)常用木馬，還會買一些跳板的機器來進行攻擊，這一切其實都是錢。如果用了威脅情報以后，每次買了木馬依然可以攻擊成功，可是應(yīng)用的時間大大地縮短了，以前用半年，現(xiàn)在可能用一周就會被發(fā)現(xiàn)，被發(fā)現(xiàn)之后反而就會極為被動，威脅情報是基于威脅分析的，對威脅源頭的指向性相當?shù)貜姡瑖饨?jīng)常曝中國的國家級APT，很多判斷的依據(jù)是什么？因為有一些木馬樣本只是被這些人所用，而美國產(chǎn)生了一個理論叫做網(wǎng)絡(luò)的軍火，軍需官的理論，因為這些木馬只賣給某些單位，不在民間出現(xiàn)，所以只要出現(xiàn)了這個木馬，一定是國家級的APT事件，我們做安全應(yīng)急響應(yīng)的時候也是這樣的，如果我們攻擊的是大家已經(jīng)知道的漏洞，這個事會降低相應(yīng)的級別的，一旦我們發(fā)現(xiàn)這個攻擊是通過零隊（音）來完成的，所以難度一定很大。所以這大大地提升攻擊者的成本和暴露的風(fēng)險，當用了威脅情報之后，確實可以改變我們說的不平衡的態(tài)勢。還有一個經(jīng)常問的問題，大家說威脅情報的東西實用么？是不是又是一個很虛的概念？廠商偏用戶錢或者是騙融資編的概念，我們舉了一些國外的威脅情報的概念。這是著名的愛因斯坦計劃，當時也提到了一些愛因斯坦的詬病，因為他是做全流量的分析的，流量太多、數(shù)據(jù)太大，我前面提到的第一個問題，給你這么多數(shù)據(jù)怎么分析呢？其實已經(jīng)沒法分析了，愛因斯坦計劃中很重要的一點是應(yīng)用威脅情報來解決這么大數(shù)據(jù)量的分析的問題。同時，以美國為例，在政府和企業(yè)之間也開展了一些威脅情報的交換，包括美國在去年通過了一個法案叫做CISA法案，美國還建立了很多ISAC信息共享和分析的中心來做分享。以美國為例，這是根據(jù)美國國土安全部的材料的總結(jié)，還有一個CISCP的計劃，這是網(wǎng)絡(luò)安全的信息共享和協(xié)同的效果，統(tǒng)一發(fā)現(xiàn)威脅情報，把威脅情報發(fā)給相關(guān)的重要基礎(chǔ)設(shè)施和單位。美國還有一個ECS的項目，主要做的是國家參與威脅情報的鏈條，其實威脅情報在我們國家也是這樣的，誰手里的威脅情報最多，一定不是市面上的公司，一定是國家，因為國家有網(wǎng)絡(luò)的流量，還有執(zhí)法權(quán)，而公司只能找一點自己的流量抓樣本來分析，是沒有取證能力的，其實最大威脅情報的產(chǎn)生者和使用者都是政府，美國也是這樣的。ECS這個計劃里，是由美國國土安全部和產(chǎn)業(yè)相關(guān)單位做情報的交換、收集，自己也會做一些發(fā)現(xiàn)，他把這些威脅情報提供給可以為美國關(guān)鍵基礎(chǔ)設(shè)施的廠家提供的。美國海提出了AIS的計劃，主要是做自動指示器的共享，其實這種指示器是威脅情報中的一部分。甚至美國還提出了基于威脅情報的生態(tài)系統(tǒng)，這是安全和彈性的網(wǎng)絡(luò)生態(tài)典型架構(gòu)。中間那部分是類似于情報平臺的東西，左邊是外部的一些情報的相關(guān)的伙伴，右邊這個比較有趣了，上邊的綠的叫NCPS，實際上綠色的這塊就是愛按斯坦計劃，右下角這塊最有意思，美國的典型架構(gòu)里，未來的防火墻、路由器、防病毒、代理服務(wù)器，必須支持機讀的威脅情報，美國政府之前開發(fā)了一個威脅情報標準，所有的設(shè)備未來都可以用機讀的方式來交換威脅情報。其實按照這個體系來進行建設(shè)之后，美國所有相關(guān)的重要基礎(chǔ)設(shè)施的設(shè)備都可以連起來了，當它有一個簽名和特征或者是一個AP可以下發(fā)的時候，幾分鐘就可以下發(fā)全網(wǎng)進行檢測和響應(yīng)。還有一個是威脅情報的百準，為了提升它的實時性，一定是用機讀的方式，而且威脅情報是由人來處理的話還是不行，所以威脅情報最后的落地一定是系統(tǒng)間的對接，一定是通過標準化機讀接口的對接。

美國做了很多的鋪墊和標準，其中一個標準是CVE，這系做漏洞的掃描標準，我們以前做掃描不同廠家對漏洞的定義不一樣，可能說的是一回事，可是作為一個客戶有多個廠家的東西就沒法兒對應(yīng)的。中國也有引進，中國有CVCNE，實際上美國也做了一個威脅情報的標準，典型的是中間的三個，就是STIX，這是威脅情報格式定義的標準，還有TAXII。根據(jù)美國的標準的公開的情況，美國基本上一線的組織和廠家都已經(jīng)支持威脅情報了，可能很多我們耳熟能詳?shù)膹S家，比如splunk，可以看到國外的廠家其實也不傻，國外一線的廠家都支持了，國內(nèi)的可行性和必要性也是一目了然的。

最后再說一些威脅情報的實踐和落地的情況，威脅、情報這幾個詞提及的程度減少了，所以也有一個論調(diào)就是說威脅情報是不是在國外認為也是一個吹牛的東西，已經(jīng)住建部認可了，可是根據(jù)我在現(xiàn)場了解的情況來看，不是這樣的。我們看到了終端的安全的產(chǎn)品，網(wǎng)絡(luò)設(shè)備也好，防火墻也好，甚至我見到有DNS的提供商都支持威脅情報的，所以根據(jù)我看的情況不是威脅情報不靠譜，正好與之相反，國外的威脅廠家都認為這是功能了，大家已經(jīng)都支持了，所以看起來它的熱點在降低，可是落地程度其實是提升的。威脅情報也不能走入一個誤區(qū)，是不是有情報就可以了，機讀一定是跟設(shè)備對接，一定要解決問題，有威脅情報相當于網(wǎng)絡(luò)根據(jù)跟我們看病是一個道理，如果有一個人天天說你有毛病，我可能就覺得你說得挺準，你是一個“名醫(yī)”，除了問我有什么毛病，我還要問你能治么？你說不能治我就會覺得這個醫(yī)生有毛病。所以威脅情報里告訴你有問題，有人對你進行攻擊了，這些都不重要，最重要是你怎么幫助用戶去響應(yīng)和解決這個問題。還是類比醫(yī)療，大夫給你看病的費用其實是很便宜的，可是治療費貴、藥貴，威脅情報領(lǐng)域也是這樣的，單純的分析一些威脅情報是一個不錯的生意，但這個生意其實不是市場中真正賺錢的，真正賺錢的是能利用這些情報解決用戶問題的解決方案產(chǎn)品，防火墻可能會出現(xiàn)下一代防火墻和支持威脅情報的。

舉一個基于威脅情報的安全體系，這個體系是目前以SOCK為安全體系的安全的升級版，SOC解決的是數(shù)據(jù)匯集的問題，但并不能解決數(shù)據(jù)的分享和設(shè)備之間進行及時響應(yīng)和聯(lián)動的問題，實際上目前一些新的安全解決方案里把SOC升級為SIC。所以情報體系也升級了。再一個是威脅情報的價值，應(yīng)用的場景是很多的，在事中、事前、事后都是可以進行應(yīng)用的，以事后為例，我們的平臺里有很多的信息，我們可以機遇威脅情報把這1000個事件進行排序，有一個IP對很多的用戶都發(fā)起了攻擊，這樣可以對事后分析做一些輔助，還可以做一些溯源，甚至事中的時候可以自動把情報給設(shè)備，自動滴做一些響應(yīng)，威脅情報是對源頭的畫像，我們可以預(yù)先知道它可能進行攻擊，比如說我們知道攻擊者專門做攻擊了，用的一部分的域名。

我第一個議題就這么多，我們下面有請IBM首席資訊安全架構(gòu)師為大家做一個X-Force如何抵御安全威脅的分享。