威胁情报成高位安全能力,大型机构如何完善威胁情报体系?
2023-11-23 18:30:33 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

本文3591   阅读约需 9分钟

威胁情报是网络威胁防御体系的基石之一,作为高位能力已经成为帮助用户从传统“被动防御”转型为积极的“主动防御”的核心关键,全面赋能威胁检测和响应,溯源归因威胁行为体,对抗包括网络犯罪组织和国家级对手在内的各类威胁。

近年来,威胁情报的应用已经走向了深水区。完善的威胁情报体系对于提升威胁检测准确率、提升应急处置效率、指导企业网络安全建设更是起到至关重要的作用。但威胁情报应用的效果却参差不齐。

对大型企业而言,复杂的组织流程,庞大的IT系统架构、海量的日志数据,对威胁情报提出了更高的要求。大型企业威胁情报的应用存在哪些痛点?又当如何解决?

奇安信《网安26号院》(简称《26号院》)约访奇安信威胁情报中心负责人汪列军,对威胁情报应用进行深入探讨,为大型机构如何构建完善的威胁情报体系给出自己的观点。

一、威胁情报是大型机构应对高级攻击的需要

《26号院》对于大型集团企业而言,威胁情报建设的核心目的是什么?
 汪列军 :对于大型企业机构,APT类和定向勒索类的高级攻击对组织的数据机密性和业务连续性构成巨大威胁,这就要求各企业利用威胁情报有针对性地对此类威胁实体进行实时检测、主动防御、提前预警、快速响应,实现从被动防御体系向积极防御体系的转变,保护企业的关键资产信息和基础设施免受内外部威胁的损害。
此外,准确有效的威胁情报可以为企业提供决策支持,帮助企业CISO等安全管理者更好地了解当前的网络安全态势,评估和优化当前的网络安全措施,合理分配资源,提供更有针对性的战略和战术。

二、威胁情报应用面临质量参差不齐、缺乏有效工具等五大难点

《26号院》目前大型企业威胁情报应用面临的主要困难是什么?存在哪些不足
 汪列军 :大型企业威胁情报应用主要面临五个难点,包括数据质量参差不齐、专业人才不足、缺乏有效工具、缺乏情报共享机制,以及隐私保护的影响。
数据来源多样,但数据质量参差不齐。大型企业往往有更多的资源和投入来采集尽可能多的威胁情报数据,除了企业本身自有产品提供数据,还包括商业采集、开源情报、媒体数据等,极易造成信息过载。而这些情报的质量参差不齐,企业难以准确判断其可信度,更加难以整合和综合利用这些情报数据。因此,如何从海量数据中筛选出对企业真正有价值的威胁情报,成为了企业应用威胁情报的一个难题。
缺乏专业人才储备。威胁情报的生产和消费的各个环节,都需要功底扎实的专业技术团队覆盖,虽然大型企业的专业人才数量占优,但目前市场上威胁情报的专业人才相对稀缺,企业便难以建立强大的威胁情报团队,以应对日益增长的各类威胁事件及高速变化的市场需求。
缺乏有效的自动化工具。目前大多数企业仍然高度依赖人工处理和分析情报数据,缺乏自主研发的自动化工具支持,产品兼容性问题突出,导致企业难以高效快速地响应和应对威胁。
缺乏威胁情报共享机制。大企业往往有众多的组织单元,资产数量庞大,涉及到各类业务系统和基础设施,难以实现全面、准确的资产识别和监控,少部分业务体系对威胁情报共享的价值缺乏准确认知,导致其长期处于孤岛状态。因此,缺乏有效的情报共享机制,组织之间就无法及时共享威胁情报数据,从而限制了企业整体的威胁情报能力和安全防护水位。
数据合规要求和隐私保护。大型企业需要确保威胁情报应用的合规性,并采取相应的隐私保护措施,以避免违反相关法规和泄露敏感信息。

三、提升威胁情报应用效率需从四个方面入手

《26号院》目前我国威胁情报应用处于怎样的阶段,主要特点是什么,能否达到预期标准?

 汪列军 :我国在威胁情报应用方面已经取得一定的进展,但仍存在一些挑战和问题。要达到预期标准,需要加强技术研发和人才培养,完善合作机制,加强法律和政策支持,并进一步提高威胁情报的收集、分析和利用能力。
现阶段,大多企业正在积极寻找突破方式,实现由被动防御向主动防御的转变,对威胁情报及应用的重视程度不断提高,多维度数据采集、智能化分析和处理、实时监测和预警、可视化和定制化展示、合规和隐私保护,以及信息共享和合作。这些都客观反映了威胁情报应用在帮助组织提高安全防御水平、及时应对威胁方面的重要作用。 
《26号院》为了进一步提升威胁情报的应用效率,大型企业应当开展哪些改进措施?
 汪列军 :从我国企业威胁情报应用现状出发,结合面临的难点,需要重点加强人才储备、建立情报共享机制、采用自动化分析工具,以及建立监测与响应机制措施。
加大威胁情报人才储备,创建完善的威胁情报团队:组建专门的团队,由专业人员负责收集、分析和应用威胁情报。这些团队成员应该具备相关的技术和安全知识,能够迅速识别和应对潜在的威胁。
建立威胁情报共享机制:与外部合作伙伴建立合作关系:与安全供应商、政府机构、行业协会等建立合作关系,共享威胁情报信息。通过与外部合作伙伴的合作,可以获取更全面的威胁情报,并及时采取相应的安全措施。
自动化威胁情报采集和分析:利用自动化工具和技术,收集和分析大量的威胁情报数据。自动化可以提高效率,及时发现和应对威胁,减少人为错误和漏洞。
建立实时监测和应急响应机制:建立实时监测和响应机制,能够及时发现和应对威胁。通过实时监测,企业可以快速了解威胁的动态变化,并采取相应的应对措施,防止威胁进一步扩大。
为防止信息过载,企业应该定期评估和改进威胁情报采集和应用策略,在大量开源情报与企业自有情报数据中取得相对平衡,获得更有价值的威胁情报。商业采集数据一般会覆盖影响大多数企业的广泛的威胁,而内部人员则可以专注于处理那些针对于本公司的威胁。

四、强化威胁情报生态建设快速提升检测能力

《26号院》奇安信的应对策略和优势是什么?
汪列军 :奇安信集团作为中国最大的网络安全公司,拥有全面独特的数据采集处理能力,以及专业分析团队,以及丰富的行业生态建设,使得众多客户在短期内具备基于威胁情报的检测能力,为所保护的客户带来安全价值。
全面独有的数据视野及采集处理能力:奇安信威胁情报中心进行广泛的开源数据采集,并对采集的开源数据进行去重、评估及关联。采集维度覆盖全球上千个情报源,包括安全厂商、新闻媒体、机构及个人等来源的结构化和非结构数据,同时也会采购主流商业威胁基础数据。
另外,奇安信的安全检测类产品覆盖了云管端的各类检测设备,不仅拥有国内最大的互联网漏洞库,还拥有千万级终端的遥测数据、十亿级互联网资产及应用数据、万亿级历史Passive DNS数据,这些奇安信内部私有的数据视野,也是奇安信威胁情报生产的独特来源。
技术领先的专业安全分析团队:奇安信威胁情报中心旗下的红雨滴高级威胁分析团队(@RedDrip7),每日进行万级的高度疑似恶意对象和事件研判,每年参与超百起的重大定向攻击事件的现场分析取证处置,同时也进行各类高级威胁分析引擎工具的持续研发。截至目前,持续检测跟踪境内外有攻击活动的 APT 组织超50个,首发并命名的APT组织达15个,持续发布的APT组织跟踪报告超300篇。奇安信威胁情报中心CERT团队,拥有领先于业内的暗网数据安全风险监测能力,在数据获取、线索发现以及取证等方面均有专业分析师进行研究处理。
威胁情报产品化,发布自动化分析工具:为解决奇安信大客户的威胁情报应用痛点,奇安信威胁情报中心发布了一站式本地化威胁情报运营系统(简称TIOS),包含威胁情报平台(TIP)、文件样本鉴定平台、情报运营平台(TIM)、样本同源分析系统、邮件检测系统五大安全组件平台。该系统融合了奇安信全面独有的数据视野,除奇安信自有云管端内部数据,还包括广泛的开源情报覆盖、外部情报交换和商业数据采购,结合威胁图谱分析的关联视图展示,实现威胁情报数据接入、生产、处理、运营与消费的闭环建设。
奇安信威胁情报中心发布的全流程多源数据自动化分析平台,每日可完成百万级样本、十亿级终端行为日志、百亿级网络基础元数据的处置,实现基于本地基础数据的威胁分析和情报生产运营,完成威胁情报数据导入、生产、处理、运营与消费的闭环建设,充分发挥自动化能力,保证情报生产的及时性、准确性、完整性。
创建威胁情报行业生态建设:为应对情报共享难的课题,奇安信发布了TI INSIDE计划,通过威胁检测引擎集成方式让网络安全威胁情报生态联盟(CEATI联盟)内部合作伙伴的产品在短时间内即可具备基于威胁情报的检测能力,共同推动产品、解决方案层面的情报深度集成,共同推动威胁情报行业发展,为所保护的客户带来安全价值。目前,CEATI联盟已吸纳成员单位超50家。

关于作者

汪列军  虎符智库专家 关注恶意代码分析、APT攻击事件与团伙的跟踪与挖掘,实现安全威胁情报的运营与产品化。

本文选自奇安信《网安26号院》大型机构安全建设专题。

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNjYwMTMyNQ==&mid=2247489824&idx=1&sn=a667c9057cd6cd238d6b360b9d24841e&chksm=971e7422a069fd343846154ab86ad03e26ff2e0b1072be440baaa452d73b56b7380c7ad6954a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh