聚焦生态建设,用好情报

图片 4

中新网1月17日电
1月17日,由国家网络与信息安全信息通报中心和国家互联网应急中心指导,中科院信息工程研究所CNTIC工作组和360威胁情报中心主办,烽火台威胁情报联盟和天际友盟支持的威胁情报生态大会成功召开。本次大会共吸引到了来自监管机构、安全厂商、媒体和咨询机构、行业用户等500余名业内专家莅临现场,共同推动威胁情报生态向前发展。

中新网1月17日电
1月17日,威胁情报生态峰会在北京举行,这是威胁情报领域首个聚焦生态的行业会议。

图片 1360企业安全集团总裁
吴云坤

来自公安部网络安全保卫局、国家保密局科学技术司、中科院信息工程研究所CNTIC工作组、国家互联网应急中心以及360企业安全集团、华为、中国人民银行金融信息中心、中国华电集团、天际友盟等多家机构和企业的领导、专家出席了大会,从威胁情报生态的不同角色,分享了威胁情报在安全信息通报、安全能力建设、安全体系建设、威胁捕猎等多个领域的应用,以及基于威胁情报生态的合作模式和实践探索。

本次大会以“协同安全能力•共建情报生态”为主题,公安部网络安全保卫局、国家保密局科学技术司、中科院信息工程研究所CNTIC工作组、国家互联网应急中心等领导和专家;计算机安全专家委员会主任严明、360企业安全集团总裁吴云坤,华为首席安全规划专家殷浩、中国人民银行金融信息中心信息安全部副主任吕毅、中国华电集团有限公司信息管理部副处长罗建东、天际友盟CEO杨大路、君源创投合伙人金湘宇等专家出席大会,围绕威胁情报应用和生态建设发表了致辞和演讲。

360企业安全集团总裁吴云坤发表了题为“情报驱动的安全体系建设”的主题演讲,他认为威胁情报的应用不单单是数据和技术问题,还是防御体系和生态的问题。威胁情报生态就是需要帮助生产者生产更优质的情报,帮助消费者更好地利用情报。

来自360威胁情报中心的报告显示,2018年全球99个专业机构发布了各类APT研究报告478份,涉及相关威胁来源109个,其中APT组织53个,各项数据相较于2017年都有大幅度增加,APT活动日益猖獗。在这样的形势下,传统的防护手段显得力不从心,大力发展威胁情报技术,加强威胁情报的生态合作,对于防御APT攻击非常重要。

图片 2

360企业安全集团总裁吴云坤在演讲时表示,随着数字化转型的深入,网络安全发生了巨大的变化,面对新的网络安全形势,网络安全建设必须从被动的威胁应对和标准合规的规划模式,走向面向能力的体系化同步建设模式,而威胁情报是构建积极防御能力体系的关键,同时也将在纵深防御乃至基础结构安全发挥作用。吴云坤强调,从生产高质量威胁情报,到使用威胁情报完善安全体系,充满各种挑战,难以依赖单方面的力量,需要多角色的分工协作,构建完整的威胁情报生态。

在数字化转型的大背景下,面对越来越多样化和未知性的安全威胁和新的网络安全形势,网络安全建设必须从被动的威胁应对和标准合规的规划模式,走向面向能力的体系化同步建设模式,在演讲中,吴云坤提出了面向能力的体系化建设的三个关键点:

值得关注的是,威胁情报交换联盟还现场启动了威胁情报联合开放计划,联盟成员360威胁情报中心开放三大云端情报服务:失陷检测情报API、文件信誉情报API、Alpha威胁情报平台,为生态合作伙伴赋能。

关键点1:关口前移,与信息化同步规划与建设综合防御能力体系。

此次大会,各与会专家分别从威胁情报生态的不同角色,分享了威胁情报在安全信息通报、安全能力建设、安全体系建设、威胁捕猎等多个领域的应用、以及基于威胁情报生态的合作模式和实践探索。

能力导向的安全体系建设,首先要改变过去“创可贴”式的安全模式,信息化与安全同步,尤其是在以云计算和大数据为核心的新一代信息化系统建设中,安全从“零”开始,与信息化和安全同步规划、同步建设防御能力体系。

参照SANS的网络安全滑动标尺基础模型,在规划与建设中分五个阶段组织安全能力,进而从能力的角度构建防御体系。

第一阶段的基础架构安全中把内设安全放进去,利用信息化系统自身的能力,缩小攻击面,在信息化的早期就可以做到;在第二阶段的纵深防御,是在信息化的基础设施之上附着安全,通过设备、软件、配置策略等进一步缩小攻击面,消耗进攻者的资源,这两阶段偏静态的防御能力体系,有大量的噪声攻击可能会被过掉,为之后的积极防御做更多可以辨识的工作,降低积极防御的工作量。这两个阶段能够共同实现偏静态的综合防御能力。强调“深度结合,全面覆盖”,覆盖信息化的每一个点,实现与信息化的深入结合。

第三阶段是积极防御,更多采用监测、识别、溯源、猎杀,还有可能通过指挥调度来做应急处置;第四阶段的情报体系,对于积极防御有非常大的作用,这两个阶段是偏动态的积极防御能力体系。强调“掌握敌情、协同响应”,实现对安全事件的快速应急处置。静态综合防御能力体系和动态积极防御能力体系的结合,构成了能力导向的安全体系。

关口前移,描述的是偏静态的综合防御体系,强调安全措施应该覆盖所有体系中不同层次的信息化系统,通过安全与信息化的深度结合,实现内生安全。比如做数据安全,规划必须回到云信息化的技术化层次描述各个层次的控制点,回到云信息化本身做内生安全。

图片 3

关键点2:威胁情报是构建积极防御能力体系的关键,同时也将在纵深防御乃至基础结构安全发挥作用。

在演讲中,吴云坤分析了威胁情报在检测与响应、安全狩猎、报警分析、事件响应与处置等积极防御体系中典型场景下的价值,同时提出对于威胁情报的消化理解不单单是用于检测和响应,更大的价值是在于对综合防御体系,基础结构安全和纵深防御体系有很大的指导作用。

在综合防御体系中,将情报消化理解到安全措施,安全措施既包含相对静态的防御措施又包含动态的防御措施,情报的利用是整体的完善的体系。用一句话描述就是“从IOC转化成为监测特征,从TTP转化成为态势感知的心智模型,从漏洞情报转化成为资产匹配筛选模板以及从覆盖全环境/情报发现者环境的威胁情报,做减法匹配到实际的具体信息化环境(资产、配置、拓扑等)。”

简单说就是威胁情报可以通过积极防御当中的态势感知消化威胁情报后在积极防御、纵深防御乃至基础结构安全中发挥作用。

图片 4

关键点3:威胁情报能力构建,需要从生态开始。

从生产高质量威胁情报,到使用威胁情报完善安全体系,充满各种挑战,难以依赖单方面的力量,需要构建完整的生态。

从威胁情报的典型应用场景我们发现单单的威胁情报不会发挥作用,只有融入到总体的防御体系中才能体现价值,所以威胁情报能力的构建必须要从生态开始,如何有效利用威胁情报不是一个在实验室研究数据的过程,它是一个综合的防御体系如何有效把态势感知消化威胁情报的结果应用于防御体系的过程,这个过程当中涉及到非常多的生态角色,有网络安全监管机构、信息化服务商、行业用户、研究机构,也有安全厂商,这些生态角色相互协作,构建形成威胁情报生态。

吴云坤认为,威胁情报生态就是需要帮助生产者生产更优质的情报,帮助消费者更好地利用情报,有效的形成这样的安全防御体系。

他介绍,早在2017年的ISC互联网安全大会上多家机构就发起成立了威胁情报交换联盟,推动威胁情报生态建设,作为该联盟成员,360威胁情报中心向生态伙伴开放云端ALpha情报分析平台、开放情报API等多种平台和工具,为推动威胁情报生态建设做务实探索。

发表评论

电子邮件地址不会被公开。 必填项已用*标注