一、前瞻
被譽為全球網路安全發展風向標的美國資訊保安大會(RSA Conference)已於美國舊金山時間5月17日召開,2021年RSA大會的主題為“Resilience(彈性)”。網路彈性(Cyber Resilience)是衡量一個組織在遭受資料洩露或網路攻擊期間,保持其業務正常運營能力的重要指標。網路彈性的目的是使系統具有預防、抵禦網路攻擊的能力,以及在遭受網路攻擊後能夠恢復和適應的能力。
對組織來講,能夠實時掌握當前網路安全狀況的需求也日趨顯著。威脅情報作為構建網路安全主動防禦體系的重要組成部分,一直以來都是業界研究的重點方向之一。透過對威脅情報體系的運營,為組織自身提供情報預警和風險閉環跟蹤能力。組織能夠實時獲取有價值的威脅情報資訊,如漏洞、IOC、資產、威脅通告、安全事件和TTPs等。基於對情報運營資料的分析結果,幫助安全管理者有效完成決策與行動指揮。透過制定安全策略與方法以應對潛在安全威脅對業務產生的風險,激發組織安全運營機制的彈性。
二、威脅情報的研究
多年來,綠盟科技一直致力於威脅情報領域的技術研究工作,將多年的研究成果轉化成為安全運營能力,幫助組織更好地開展安全運營工作並取得成效。威脅情報雲(NTI)是綠盟科技為促進網路空間安全生態建設和威脅情報應用,進一步增強組織方攻防對抗能力而組建的專業性威脅情報雲平臺。依託公司專業的安全團隊和強大的安全研究能力,對全球網路安全威脅和態勢進行持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,為組織提供基礎情報查詢、高階情報查詢、情報訂閱、視覺化關聯分析等企業級服務,幫助組織更好地瞭解和應對各類網路威脅。
1、威脅事前預測
利用已知的威脅,透過關聯分析對未知威脅進行預測。例如可基於已知惡意域名,透過WHOIS分析,發現該註冊者註冊的其他可疑域名,並進行IP關聯分析,如果其IP也為惡意,則這些由同一註冊者註冊的域名需列入黑產檔案中。同時對駭客常用的域名註冊手段及特徵進行分析,發現可疑域名。
2、事件實時預警
威脅情報可以從網際網路空間每天發生的海量安全事件提煉最受關注的熱門威脅事件,如漏洞、惡意樣本、資料洩露事件等,並提供深度分析,幫忙使用者跟蹤熱點,瞭解最新威脅和及時採取防禦措施。
3、驅動安全防護
基於威脅情報資料,可以生成深度包檢測採集探針等產品規則,用於攻擊檢測。如果是簡單的IP、域名、URL等指標,還可以考慮直接使用線上裝置進行實時阻截防禦。從多個威脅情報來源結合來獲取已知的惡意威脅資訊,並利用這些資訊進行識別,檢測和緩解。線上安全裝置都可以使用威脅情報資料來增強檢測和防禦能力。
4、事件溯源分析
安全分析及事件響應中的多種工作同樣可以依賴威脅情報來更簡單、高效的進行處理。在報警分流中,可以依賴威脅情報來區分不同型別的攻擊,從中識別出可能的APT型別高危級別攻擊,以保證及時、有效的應對。在攻擊範圍確定、溯源分析中可以利用預測型別的指標,預測已發現攻擊線索之前或之後可能的惡意活動,來更快速地明確攻擊範圍;同時可以將前期的工作成果作為威脅情報,輸入高階威脅分析系統,進行歷史性索引,更全面的得到可能受影響的資產清單或者其它線索。
在安全運營保障中的實踐
綠盟科技在研究威脅情報技術向產品和服務能力轉化的同時,積極探索和實踐威脅情報運營體系在組織安全運營保障工作中的應用。在歷年的攻防演練和重保工作中,基於綠盟一體化保障中臺的威脅情報運營體系,透過及時推送漏洞、惡意IP、產品和輿情通告等情報資訊,為組織提供戰時情報預警服務,並藉助中臺的專家級分析研判與應急處置能力,實現對安全事件的風險閉環。透過對戰時情報服務體系的高效運營,為組織開展實戰化運營保障工作提供了強有力支撐。
三、小結
網路攻擊形式複雜而多變,實戰化的安全運營是未來發展趨勢。經過多年實戰化保障工作的磨礪,組織也逐漸意識到威脅情報在安全運營中的重要性,開始研究或建立內部的威脅情報體系,並將其運用到安全運營工作中,從而進一步提升組織自身IT風險管理能力和安全保障水平。