360首提IOC質量評估標準 提升威脅情報IOC應用水平

當前，隨著數字世界急劇擴張，全球步入網路“大安全”時代，傳統被動防禦與單點防禦無力應對新型攻擊，而網安新物種“威脅情報”卻逆勢凸顯關鍵實力。有資料統計，2019年全球已形成52億8000萬美元的威脅情報市場。但與此同時，超高應用價值與可觀市場前景之下，威脅情報卻一直面臨著價值評估標準模糊不清的難題，尤其是對衡量威脅情報質量的關鍵要素——IOC（Indicators of Compromise）的價值評估，一直是困擾行業發展的核心問題。

針對這一問題，近日， 360旗下360網路安全研究院（360netlab）提出威脅情報IOC評估“19條”，成為我國威脅情報市場首個覆蓋使用者實際需求且成熟度較高的IOC價值評估標準。

IOC評估老大難：“自嗨”式評估難代表使用者實際需求

在不久前召開的第八屆網際網路安全大會ISC 2020上，360網路安全研究院安全分析工程師張在峰在“威脅情報驅動的安全能力建設論壇”中發首次介紹了威脅情報IOC評估“19條”。

該套標準包括8項動態評估指標與11項靜態評估指標，基於全網範圍內的DNS資料對IOC資料集進行評估，其DNS資料請求量能達到1000億/天，使用者覆蓋量超過2000萬，打破了此前各家廠商僅根據本公司安全攻防理解提出標準的做法。“基於如此大規模的資料，IOC的動態評估跟能夠準確反映不同IOC資料在真實網路環境中的實際表現，也能夠涵蓋絕大多數甲方使用者的使用場景。”張在峰表示。

“沒有使用者資料庫支撐，缺乏對使用者實際需求的理解。”在張在峰看來，我國當前威脅情報市場內，無論是產生威脅情報的乙方還是使用威脅情報的甲方，對IOC的評價都還處在拼數量的原始階段。事實上，作為IOC的提供者，要有足夠的資料來說服使用者自己提供的IOC足夠好。作為IOC的使用者，關心的問題也不僅是數量是多少？誤報、漏報情況怎麼樣？還要關心IOC中有多少活躍？更新頻率怎麼樣？每次更新有多少是新增、多少淘汰？檢測能力是否足夠多樣和高效？

“舉個非常基本的例子，A和B廠家提供兩份威脅情報，A有100萬條記錄，B有80萬條記錄，目前的市場現狀基本上就是預設認為A會做得更好，但是在實際中，可能A的100萬條記錄在實際大網中總命中率不到一千條，剩下的全部都是不活躍無命中的。從這個意義上來看，僅僅看原始IOC資料量價值並不大，也不應該作為評價威脅情報廠商的核心標準。”因此，張在峰認為，要解決這些問題，就必須根據大網使用者的實際防護效果，建立一套全面、科學、能用實網檢驗的IOC價值評估標準。

IOC評估的360實踐：硬實力支撐高標準評估

為打造一套完善的IOC評估標準， 360netlab參考了國際上現有的IOC評估研究專案，例如比較典型的MLSECProject和波蘭CERT專案，但他們發現這些專案起步早，評估體系也涵蓋比較廣泛，卻都缺少對IOC在實際網路當中的動態專案評估。因此，360netlab就不僅從IOC本身包含的內容來評測，還會把IOC放在實際網路環境當中，利用團隊所掌握的獨一無二的資料庫資源，用實際網路流量來匹配IOC資料，察看IOC的整體表現。以此建立了 “動靜結合”的IOC評估“19條”。

“這套標準的成熟度是很高的，但是要完全做到‘19條’的測試，還是存在較高資料庫門檻。”張在峰表示，360netlab之所以能成為國內第一個提出並使用這套標準完成IOC科學評估的團隊，正是因為該團隊運營著當前國內公開最大的PassiveDNS資料庫（https://passivedns.cn）；其DNSMon系統以DNS資料為基礎，結合其他多維度資料綜合研判分析，每天從海量的DNS資料中產出百～千級別的黑域名以及高可疑域名，同時利用智慧演算法每天產生50餘種，數萬規模的DGA域名。在無規則的情況下DNSMon在實網中率先識別並攔截了多種大規模的惡意程式使用的域名。

同時， 360netlab在大規模殭屍網路的檢測和跟蹤領域也一直處於全球領先的水準。近年來，360netlab首發並有限披露了多個有影響力的殭屍網路，在業界引起了廣泛關注。例如360netlab發現的iot_reaper， 曾在2018年美國商務部和國土安全域性提交給美國總統批閱的增強應對殭屍網路的報告裡被多次提及。2017年，360netlab更是本著網路空間命運共同體的原則，協助美國破獲了2016年著名的Mirai攻擊案件，獲得了美國FBI的公開致謝，2018年又獲得美國司法部公開致謝，其在業內的權威性和領先性可見一斑。

據瞭解，360netlab打造的IOC評估“19條”已經向市場全面公開，並已使用該標準評價完成4個公開情報源，評價結果也已公開。後續還將持續更新。