今年上半年,在业内知名的威胁情报厂商天际友盟举办的“TI Inside威胁情报应用生态协同峰会”上,安全419关注到,天际友盟数次提到旗下一款Leon威胁情报网关产品,依照天际友盟的描述,威胁情报网关产品可以帮助中小型企业更好的消费和应用威胁情报,成为了填补当下市场需求空白的新生代威胁情报应用趋势。
据安全419此前了解,当前威胁情报领域主流的应用方法是通过SaaS订阅的方式,将威胁情报融入威胁检测、态势感知、安全运营和安全管理产品中,为传统的安全设备赋能,以更好的提升对已知威胁的发现能力。
那么,作为一家在威胁情报领域积累丰厚的威胁情报专精厂商,天际友盟为什么会推出这样的一款威胁情报网关产品?在这个动作之下,是出于对威胁情报市场发展趋势的哪些考量和思考?
带着这些问题,安全419找到了天际友盟技术总监刘广坤,请他就天际友盟研发威胁情报网关产品背后的来龙去脉进行了一次分享。
威胁情报网关
让威胁情报安全能力在中小企业中快速落地
什么是威胁情报网关?
威胁情报网关(Threat Intelligence Gateway)是Gartner提出的一种新的情报产品形态,它是一种集成威胁情报检测+响应处置的一体化设备形态。在Gartner的定义里,威胁情报网关必须具备两个特点,首先是它必须能够使用海量威胁情报,其次,威胁情报网关必须具备阻断功能,能够基于威胁情报的识别,对安全风险进行及时有效的响应和处置。
刘广坤谈到,近年来随着威胁情报概念的逐渐普及,安全从业者已认识到威胁情报海量、丰富的上下文信息,在网络安全攻防对抗中的关键作用,大量的企业用户逐渐表现出了对威胁情报的浓厚兴趣和强烈需求。
但对于其中大部分用户而言,威胁情报的数据量级是海量的、难以应用的。“威胁情报产生以后,大家发现情报数据量往往是几千万,甚至是上亿级别的,而传统的数据技术通常情况下只能够支持数十万级别数据的处理。因此随之而来的一个问题是,拿到了这么大的数据量,却很难真正的用起来。”事实上,只有将威胁情报数据应用起来,将情报数据与企业自身的安全要素和安全体系融合,才能体现它的真正价值。
刘广坤表示,尤其对于中小企业来讲,采购威胁情报本身的成本可能并不高,但是使用威胁情报本身,以及维护威胁情报的更新,需要大量安全人员的投入。但中小企业往往受到预算的限制,很难投入太多的人力成本专注于应用和处理威胁情报。
因此,架构简单,能够自动化应用和处理的威胁情报网关产品就成为了这类用户的必然选择,使用威胁情报网关可以让他们快速获得和大型企业一样的防御能力。
对于大型企业而言,其集团总部的安全实力往往都是比较强的,但地方分支机构的安全能力却参差不齐,如何快速部署防御产品,填补地方安全能力的空白是大型企业的共同需求。而部署一台威胁情报网关产品,从拆箱到上架再到应用,整个配置流程可以在数小时之内完成,可以为企业节约大量的研发精力和时间成本。
构筑企业安全防御的第一道防线
威胁情报网关与防火墙是友非敌
威胁情报网关相较防火墙、IDS、IPS等设备存在哪些差异性?是否会取代传统安全产品的一些功能属性?
刘广坤告诉安全419,这个问题的答案是否定的,“可以明确的是,既然叫做‘情报’,那么一定是已知的风险。所以对于现有的安全设备来讲,他们必然是互补性关系,A无法替代B,B也同样无法替代A,不同产品的组合只会加强企业的安全能力,让企业的脆弱暴露面减少。”
首先,防火墙本质上就是一种典型的安全网关,防火墙基于访问控制规则(ACL)对网络流量执行放行与阻断,它的优势在于快速的数据包过滤、地址转换、数据包状态检测。IPS入侵防御是对防病毒软件和防火墙的补充,IPS的原理是根据一定的特征和异常行为进行检测,以切断攻击扩散的风险。IDS入侵检测则是依照一定的安全策略和规则,检测网络安全状况,对有可能存在的安全风险进行报警。但这三款产品的共同点是,他们都没有使用到海量的情报。
刘广坤谈到,如果存在一款防火墙产品,它的性能是无限的,那么就可以把威胁情报直接放到防火墙中,只要防火墙无限扩展它的协议,增加处理能力,就可以直接利用威胁情报实现响应的安全功能。但事实上这款产品是不存在的。
“防火墙已经把大量的计算能力分出去做路由地址的转换工作,以及基础规则的运算和处理,就很难再分出资源来处理海量的威胁情报数据。如此庞大的威胁情报数据必须要有一个专业的设备来专门处理,这个设备就是威胁情报网关。”
威胁情报网关对于防火墙来说是一种有益补充,可以有针对性的利用威胁情报数据进行网络攻击阻断。在刘广坤看来,应当将威胁情报网关作为组织的网络防御第一道防线,部署在防火墙之前,以阻断大部分的已知(已验证的威胁情报)网络攻击,减少到达和经过防火墙的流量,让专业的设备完成更专业的事情。
广纳多方情报数据
探索推进威胁情报共享
刘广坤表示,抛开威胁情报本身不谈,威胁情报网关首先是一个网络安全设备,这个设备既可以使用天际友盟的威胁情报,也可以使用IBM或者任何其他情报厂商的威胁情报。在他看来,“一定不会存在这么一个情报厂商,能够把所有网络的威胁情报收集齐”,一些企业客户自身也要考虑情报数据纳入的多源性,因此威胁情报网关产品需要支持第三方数据接入。
因此,在天际友盟的leon威胁情报网关中,天际友盟将自身安全实验室的情报分析能力,以及一部分基础版的威胁情报数据汇集到了威胁情报网关中,以帮助用户能够对近期高发的安全威胁情况进行发现、报警和阻拦。此外,用户还可以将第三方的威胁情报数据以特定的格式导入到网关中,以提升威胁事件的检出率和拦截率。
Gartner在《2019 安全威胁情报产品&服务市场指南报告》中曾经指出,“ 网络安全厂商可以先预打包海量多源机读情报(支持数百万甚至数十亿的威胁指标),并集成到一个特定设备中进行检测和防御,用于扩充现有网络安全解决方案。”
这与天际友盟leon威胁情报网关的设计理念不谋而合。此外,作为专业的威胁情报供应商,天际友盟还倡导通过TI Inside协同,实现威胁情报能力与安全厂商的联动,形成新的协同生态效应。据刘广坤介绍,天际友盟目前已经汇聚了全球200+各情报源,每日更新2000万+热情报,通过场景化应用赋能,协同联动60+专业安全厂商,与生态合作伙伴一起,共同最大化发挥威胁情报的价值。
谈及天际友盟威胁情报应用未来的发展规划,刘广坤认为当前行业里各大威胁情报厂商提供的都是网络威胁情报,也就是集中在传统领域的因特网,或者说基于IP协议的网络里面的情报。而随着工业互联网的突飞猛进,工业互联网的应用场景越来越丰富,其中潜在的安全风险也前所未有的严峻。静态、滞后的传统工业安全技术面对自动化、多样化、智能化的网络攻击已有些力不从心。
刘广坤表示,天际友盟未来会在工业互联网威胁情报获取和分析方面投入一定的精力,以保证对整个网络情报的覆盖度更加全面,将自身的威胁情报能力赋能给工业互联网领域的安全厂商,挖掘隐藏在工业大数据中的安全风险,为构建我国的工业互联网安全防护体系做出力所能及的贡献。