这样的防御具有一定的狭隘性和滞后性,受限于对攻击及整体态势的识别和溯源,大多也只是“就事论事”,容易造成同类攻击的反复中招和影响。如今,业界普遍认同被动防御已经远远不够,需要实时掌握敌方的动态和趋势,以做出更完备的分析和响应。威胁情报,就像这八百里加急快报送来的敌情。
根据Gartner的定义,威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
简言之,威胁情报可以帮助企业快速了解到攻击方对自身的威胁信息,从而帮助提前做好威胁防范、及时调整防御策略,提前预知攻击的发生,从而实现较为精准的动态防御,更高效地进行事后攻击溯源。
不同行业、不同规模企业对威胁情报需求各异
威胁情报在国内起步较晚,但近几年发展势头迅猛,在国内网络安全环境和国家政策的双重推动下,威胁情报已成为政企机构信息安全防护体系的标配。头豹研究院数据显示,预计未来五年中国威胁情报市场规模有望达到26.6亿元,金融、政府、互联网等信息化程度较高、受黑客黑产关注和攻击较为严重的行业企业,是威胁情报消费的主要用户。
安全419关注到,沙利文联合头豹发布的《2022年中国威胁情报市场报告》(以下简称报告),对不同行业领域、不同规模企业的威胁情报需求和市场特征进行了梳理,并对中国威胁情报市场发展前景做出分析和推测。
根据报告,不同行业用户对于威胁情报的需求不完全相同。金融行业饱受钓鱼欺诈、安全漏洞及数据泄露的侵害,针对已经进入内网的威胁无法进行及时发现、响应,安全人员无法定位关键威胁并进行处置。亟需提升内网失陷威胁检测能力,需要用情报赋能安全产品的分析能力。
政府行业是勒索病毒和钓鱼欺诈的高发领域,高级威胁事件发现能力普遍较弱,安全运营人员短缺,威胁检测分析工作主要依靠厂商人员,安全运营工作自主化、自动化、智能化、可视化程度低。需要将情报能力融入传统政务安全,建立检测、分析、响应三位一体的安全体系,依靠取证溯源提升安全专业能力。
互联网行业长期面对层出不穷的新型攻击手段与未知威胁,攻击呈现出复杂性、隐蔽性、针对性的趋势,被动防御模式很容易被绕过。构建情报驱动的业务安全体系迫在眉睫,以实现云端和本地的全面监控。
能源行业的内网易被感染,隔离内网无法做到万无一失,且通常分支机构多、分布地域广,资深安全分析人员短缺,安全运营集中管控难度大。隔离内网威胁检测能力和威胁事件分析及处置能力亟需提升,运用情报加持总部分部集中管控,一点感知、全网联动。
医疗行业信息系统安全建设能力相对其他行业薄弱,医院业务系统80%部署于虚拟化环境,缺乏东西向安全防护,终端数量多、分布范围广,运维工作难度大。利用情报辅助及时发现、处理潜在威胁,加强对未知威胁的感知,加强对终端安全管理和数据中心虚拟化安全防护。
而如果从企业规模的维度来分析,威胁情报服务按照需求分层发展。
大型企业将威胁情报作为基础设施的一环,意在建设自身威胁情报能力,实现对多源威胁情报采集、处理、分析、生产,结合自身业务需求构建网络安全威胁情报运营的闭环,因此多倾向投资威胁情报数据、威胁情报平台建设能力与定制化服务。
中小企业重视在第一时间识别和检测网络中的攻击事件或异常行为,多采购可直接消费的威胁情报,如可定性、可研判、可拦截、可溯源的高质量威胁情报,或内嵌威胁情报能力的集约化安全服务(威胁检测、响应处置、安全运营、事件分析等)。
威胁情报服务痛点明显 标准化赋能安全协同生态建设
再来看威胁情报服务提供端,报告分析,中国威胁情报服务目前存在门槛高、共享难、用户选择困难、情报利用率低等痛点;许多厂商基于自身技术优势,将情报分析的研究重点放在信息采集和终端态势感知技术方面,而对威胁情报分析和质量关注较少。
然而,威胁情报服务的关键不在于情报收集,而在于对信息化数据、业务数据和安全数据的整合,从海量数据中深度挖掘线索,发现真正有价值的攻击事件和藏匿很深的APT攻击,这对于很多组织机构而言门槛较高。类似威胁捕手、安全大数据分析师这样的威胁情报相关新兴安全职业岗位的人才严重匮乏。
微步在线构建了一个广阔的威胁情报云,通过对互联网以及多个渠道中开放数据的不断采集,再对这些数据进行加工、分析,进而生产出威胁情报,去感知攻击者的行为、动态以及新变化。近期,微步在线品牌升级定位为数字时代网络威胁应对专家,基于海量情报数据的安全云为核心能力,推出了全面覆盖从检测到响应的产品矩阵,包括威胁感知、威胁情报管理、云化端点响应、云化互联网安全接入、安全分析社区和应急响应服务等多个场景,不断将领先的威胁情报能力产品化,为企业威胁发现与安全运营工作更好的赋能。
永安在线长期致力于威胁情报领域技术的研究和应用,曾推出业内首个业务情报搜索引擎、面向全球开源星云风控系统、发布首个业务安全蓝军测试标准、业内首发IPv6风险识别引擎等。其新一代业务风险情报平台,基于对黑产产业链的长期跟踪挖掘,通过全网部署的蜜罐体系和风险感知技术,每日数亿的情报收集、运营和实时更新能力,从情报维度帮助企业提升业务风控攻防效率和数据安全防护能力,保障企业在线业务健康发展。
天际友盟定位于威胁情报的分析者、加工者和搬运者,指出“生态协同”是真正将威胁情报实现价值共享的方式,其打造TI Inside模式,除了自身产品产生的威胁情报外,还实时汇聚全球200+情报源,包括开源数据、商业数据,以及其他从合法渠道获得、再经过加工、分析、整理而成的数据,打造可靠、有效、易用、适用性强的威胁情报解决方案。
报告认为,标准化是威胁情报共享的必要前提,中国国家标准体系的建设尚处于起步阶段,在未来将进一步完善威胁情报共享体系和机制,夯实威胁情报基础,赋能安全协同生态建设。为加强多源异构威胁数据整合、提取和分析,提升网络威胁情报准确性,可基于网络安全知识图谱技术,实现关键威胁要素的融合与关联分析,形成统一高质量的威胁基础知识库,构建威胁情报能力。