在当今高度互联的世界中,网络安全与、企业利益、个人隐私息息相关。随着技术的迅速发展,网络攻击和数据泄露事件频频发生,攻击者使用不断增强的工具和手段来攻击目标,网络威胁已经变得越来越大,他们的动机可能是为了利益进行数据窃取、贩卖、加密,也可能是为了引起关注或目的而肆意破坏。并且由于云计算、物联网等新技术的广泛应用,数据流动性和网络边界变得越来越模糊,这也为攻击者提供了更多隐藏空间。传统的防御策略往往难以应对不断变化的攻击模式,而威胁情报作为一种主动的、预防性的安全策略,能够提供关于攻击者行为、工具、技术等方面的深入了解,从而更好地预测和应对潜在威胁。
网络威胁情报概念衍生自军事情报,Gartner认为网络威胁情报(CTI,简称威胁情报)是一种基于证据的知识集合,包括具体场景、运行机制、评价指标、后果影响、操作建议等,用来发现信息资产已经存在的问题或可能面临的威胁。然而,威胁情报也面临着一些挑战,如何在保证安全的同时实现有效的共享和合作是一个亟待解决的问题。本洞察旨在从定义、总体框架、流转要素等多方面阐明威胁情报内涵与关键元素,分析安全数据价值在情报流转过程中的释放形式;通过解析与防火墙、WAF、安全运营中心的联动,明确威胁情报能力集成为传统工具带来的能力提升;结合威胁情报供应侧生态特征与应用侧实践效果分析未来发展趋势,分析威胁情报如何解决企业数字化时代面临的安全痛点;最后给出威胁情报的发展建议与展望。
网络防守者较之攻击者处于非对称性对抗的不利地位。一是技术不对称。通常防御措施是面向特定的攻击形式进行针对性防护,但是并非每个漏洞或攻击形式均存在相应的有效防御,同一漏洞可能存在很多种攻击或利用方式,只有在对攻击手段进行研究后才能开发针对性防护手段,因此防御措施的开发相对于攻击手段演化存在滞后性。二是成本不对称。防御者需要建设全面且完备的安全运营体系才可以保证企业不被攻击者侵害,攻击者则仅需突破安全建设的某一个环节便可以实施不法行为。三是信息不对称。攻击者对目标的信息收集已经不局限于对网络设施的扫描与漏洞挖掘,还包括对目标员工进行钓鱼攻击、社工攻击,调查员工社交媒体信息,目标参与的公开招标文件、互联网公开信息等,而防御者则对攻击者完全不了解。四是时间不对称。一方面,攻击者占据主动位置,可以选择在任意时间发动攻击,而防御者则只能在攻击者发动攻击并被发现之后进行响应,处于被动挨打的局面;另一方面,攻击者可以长时间对同一目标进行攻击,通过自动化工具实现24小时不间断的渗透,而防御者拥有的部分安全工具或机制则是以周期为单位进行安全防护。
防护策略从传统以漏洞管理为核心的被动防御,转化为以情报为中心的主动防御。主动防御是指对未发生的网络威胁采取主动出击的形式,防止潜在的攻击发生以保护网络系统和数据的安全,如通过传感器监测网络中的异常活动甄别潜在的攻击行为、利用大数据平台对采集到的流量与数据进行分析预测网络攻击、溯源追踪攻击者IP行为等信息建立攻击者画像、通过已发生的数据泄露行为反推安全建设漏洞等。威胁情报是主动防御的核心驱动引擎。一是通过威胁情报收集和分析恶意行为或恶意流量的特征与攻击方式,在发生安全事件前预先给出响应方式,以实现占据对攻击行为的先发优势。二是通过威胁情报增强对攻击者的了解,如惯用攻击手段、发动攻击的驱动原因是谋取利益还是因素、下一步可能进行的行为、甚至销赃途径,综合制定威胁阻断策略,减少损失并降低恢复时间。三是通过威胁情报共享建立完整的安全协作生态系统,与其他组织和专家共享威胁情报,加强全球网络安全的合作和协调,共同应对日益复杂的网络威胁。
自从1986年Cliff Stoll首次对以伯克利国家实验室网络作为跳板的黑客进行攻击者画像记录开始,威胁情报已经发展了几十年。在此期间,网络威胁变得越来越严重,攻击者使用不断增强的技术手段进行数据窃取与肆意破坏,威胁情报作为事件响应的关键组成部分也从简单的攻击者画像发展为了包含恶意活动详细信息和元数据、可能的攻击媒介、攻击方法、攻击意图、可以采取的遏制措施等信息的综合信息。
美国作为网络技术的起源地,威胁情报研究发展较早,充分意识到前沿信息技术分析能力对维护的重要性,通过建立制度保障形成较为完善的公私合作模式与产业链。2009年《确保信息通信基础设施的安全性和恢复力》要求建立有效的信息共享和事故响应机制,以便加强政府与业界合作;2015年通过《网络信息共享法》,要求联邦政府部门加强与组织合作,促进网络安全信息共享。在得到自上而下的推动后,抓住先机的网络安全公司快速发展成熟、完整的威胁情报产业链,FireEye、SecureWorks、CrowdStrike、Lancope、Lookingglass这样主营威胁情报的公司得到了政府、金融、能源、电信等行业广泛的认可。
中国的威胁情报发展基于《中华人民共和国网络安全法》的推动。从国家建立网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息,到负责运营关键信息基础设施的部门建立网络安全监测预警信息通报制度,再到要求政府部门及时收集、报告有关信息,加强对网络安全风险的监测,这一系列政策强有力的推动了威胁情报数据的共享与生态建设。
标准化方面,国外威胁信息共享格式相对成熟,STIX结构化威胁表达式、CybOX网络可观察表达式以及指标信息的可信自动化交换TAXII等都为国际间威胁情报交流和分享的事实标准。我国2018年发布《网络安全威胁信息格式规范》定义了一个通用的网络安全威胁信息模型,从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施八个组件进行描述,意味着我国网络安全领域又向标准化、规范化前进了一步。然而我国威胁情报属于行业先行模式,早在国标发布之前,国内安全厂商已根据主流标准或自身实践进行自定义描述,收集并使用威胁情报,用户购买后无法统一使用。除此之外,由于国内安全厂商将自身拥有的情报数据商业化,统一威胁情报标准意味着弱化厂商的自身优势,降低商业利益,因此需要探索适合我国行业特色的威胁情报发展方向。
网络威胁情报概念衍生自军事情报,Gartner认为,网络威胁情报(CTI,简称威胁情报)是一种基于证据的知识集合,包括具体场景、运行机制、评价指标、后果影响、操作建议等,用来发现信息资产已经存在的问题或可能面临的威胁,使防御者及其组织能够更有效地进行决策以降低安全风险。
威胁情报通过五个阶段的流转充分挖掘数据价值,赋能安全运营建设。情报规划阶段贯穿整个情报活动,对情报流转的全过程进行计划和指导;情报搜集阶段CTI团队通过开源情报源、付费情报源、安全设备数据、媒体报道等渠道搜集数据,作为下一阶段的原始积累;情报处理阶段利用威胁情报平台对原始信息进行数据预处理、分析建模等,提供给情报分析和预测人员;情报分析阶段分析预测人员根据客户需求,对前置信息进行加工整理、评估分析,使情报更加系统化、有序化,并对潜在威胁进行合理预测。情报分发阶段将上一阶段的产出物以情报产品的形式传递给客户,如API接付、SaaS服务交付、SDK集成、安全服务等,帮助客户吸收利用威胁情报,并做出决策和行动。
按照目标受众、影响范围和作用,威胁情报可分为战术情报、运营情报、战略情报三类。战术情报以自动化分析为主,面向安全设备、运维团队,是有关特定攻击活动的详细信息,用于发现威胁事件、对报警确认和优先级排序。运营情报面向安全负责人、威胁分析团队,描述攻击者的工具、技术及过程(TTP),是战术类威胁情报的抽象,提供安全事件的背景。战略情报面向安全管理者,是关于对手现状和威胁形势的高级信息,以辅助决策。
随着企业高层次安全需求提升,威胁情报市场逐渐扩大,业内进行了大量探索,通过多种赋能手段尝试打通与多样化安全机制间的壁垒,形成整体解决方案。威胁情报以赋能手段为核心,通过多种情报源收集信息,经过分析整理,实现不同场景的情报价值赋能,联动各类安全工具进行最终操作,实现情报流转,在风险入侵的过程实现持续收敛。威胁情报流转总体框架如图1所示。
威胁情报流转总体框架可以分为四个部分,威胁情报源负责收集多源信息,直接输出原始数据或提供专家团队将原始信息进行分析整理,根据受众输出可读格式的数据;威胁情报赋能负责传递数据,根据不同的使用场景与应用需求变换赋能模式,保证信息传递过程中的准确性、完整性、时效性的同时,尽可能降低情报数据的使用门槛;威胁情报覆盖阶段使数据价值在对抗威胁的全流程中均能发挥作用,实现闭环管控;价值释放阶段将威胁情报的应用具象化,全面释放威胁情报蕴含的数据价值。
威胁情报源与威胁情报赋能两个阶段属于流转框架中的运营层,考察多层次、多渠道的信息收集能力,需要投入大量技术、资源、人力,与试错成本进行基础建设,对情报提供者的原始积累有较高要求;威胁情报覆盖与威胁情报价值释放两个阶段属于流转框架中的操作层,考察与威胁的直接对抗能力,对情报应用者的威胁对抗经验、技术、联动等能力有较高要求。因此,与各自为战,从零开发独立的情报产品相比,主动发挥自身优势,开放能力接口,形成情报流转生态是更为高效和可行方式。
社区威胁情报源通常具有实时更新的特点,鼓励信息共享,使得安全专家可以相互协作,共同应对安全威胁,且可以根据不同的安全场景和需求进行适应和调整,以提供更加准确和实用的威胁情报信息。由于其极高的开放性与极低门槛的发布渠道,社区威胁情报通常对分析与鉴别能力有较高要求。
商业威胁情报源通常针对特定的行业、地区或威胁类型,具有较强目的性,帮助企业或组织了解来自外部的主要威胁,以便做出相应的安全决策和防护措施。同时,商业威胁情报拥有良好的可定制性,可以根据客户的客观需求如业务方向、当前安全建设、预算等综合因素进行定制。
威胁研究情报源可以提供对特定威胁或攻击的深入了解,包括攻击者的身份、动机、能力以及攻击手段等。威胁研究情报源产出的威胁情报的准确性通常较高,但需要投入大量的人力、时间和资源进行收集和分析。
国家威胁情报源主要由政府机构或安全部门收集和分析,主要针对国家层面的安全威胁。优势在于能够获取到更为全面和准确的威胁情报,但由于其机密性较高,一般不公开披露。
互联网监控威胁情报源可以降低收集和分析威胁情报的成本,在传统人力等情报能力无能为力的情况下,互联网监控可以为分析人员提供启示或向导,支持决策者或指挥员计划活动,通常在全源情报最终产出中的比重超过40%。
威胁情报平台通常面向终端用户,直接提供情报赋能服务。平台通过SaaS、API等多种交互方式满足不同用户需求,直接获取威胁情报数据或将机读数据与本地安全工具联动,提升安全检测与响应能力。同时平台通常支持人工查询,根据关键信息筛选人读格式情报。
安装包通常面向私有化安全场景,在不连接公网的情况下提供威胁情报赋能服务。安装包将威胁情报中心的基础情报能力模型灌入本地,实现数据本地下沉,支持与现有安全产品深度结合,全面提升用户信息安全性。
专家服务通常面向战略规划场景,在宏观安全战略发展层面根据威胁情报提供针对性提升建议。威胁情报原始数据结合专业人工整理和专家分析咨询,将抽象繁杂的机读数据转化为人类可以理解的逻辑关系,最大化威胁情报价值,为重保、战略规划等特殊场景保驾护航。
SDK通常面向威胁情报生态合作伙伴或有较强开发能力的终端用户,根据自身需求进行二次开发。SDK支持使用者以更加便捷地形式接入威胁情报服务,灵活地使用威胁情报数据。SDK在性能与适配性两方面具备独特优势。性能方面,集成SDK的赋能模式可以大量降低情报匹配与检索时间,减少CPU占用率,支持高并发的情报检索需求,保障集成产品的业务效能,使本地实施阻断成为可能。适配性方面,不依赖数据库等任何中间件,支持多种编程语言与操作系统,降低开发负担和迭代周期。同时内置的分布式智能引擎可以在不上传用户数据的情况下实现一点感知,全网更新的效果。
入侵前,持续开展网络空间安全监测,通过情报平台输出战术类情报,联动防火墙、IDS、WAF、SOC等安全产品,持续检测漏洞安全、互联网暴露面测绘、信息泄露、黑灰产等风险。
入侵时,平台识别威胁行为和类型进行漏洞情报查询,结合威胁告警工具将安全事件及时告知用户,并触发EDR等安全产品迅速作出响应。
入侵后,重点关注出站类威胁情报(Indicator of Compromise,简称IoC),检测失陷主机,减少资产暴露时间。IOC可适配能够识别发起对外连接的安全产品,如防火墙、SIEM等。事后可结合威胁追溯等工具进一步开展威胁溯源分析研判。
企业安全运营的核心目标是通过安全工具和安全人员的高效协同,避免安全事件的发生。将威胁情报产生的数据应用在安全工具对抗威胁的第一线,能够推动安全信息在各类安全工具之间有效流转,充分发挥数据蕴藏价值,打破安全孤岛,支撑安全分析,化被动为主动,助力企业掌握安全主动权。
防火墙对云环境或私有化数据中心的内外恶意流量进行监控与防护,与威胁情报联动,能够有效提升恶意访问行为和外联行为的识别准确率。1)防火墙结合IP画像情报、IP入站情报等入站类威胁情报(IoA,Indicator of Attack),对云外恶意IP和域名的流量进行识别,发现外部的勒索软件、恶意扫描等风险;2)防火墙结合IOC发现云内向外部访问恶意IP、域名等的异常行为,帮助FW快速定位失陷主机;3)防火墙与可机读战术情报无缝衔接,实现高度自动化,提升互联网业务区、DMZ区访问控制敏捷性。
Web应用防火墙(WAF)通过过滤和监视Web应用与互联网之间的HTTP通信来帮助保护应用程序和API,结合应用层和业务层威胁情报能够实现更精准的保护云环境与传统网络环境下的业务安全。1)WAF根据情报匹配结果直接阻断经过的流量,实现入站访问的高精度控制;2)WAF产品根据情报标签、置信度、时间、威胁等级等维度,与自身Bot IP识别模块结合,有效提升Bot IP的识别率,并大幅度降低误判概率;3)WAF产品可以结合自己业务特性,在严格模式下直接拦截不可能访问业务的IP画像,如IDC,VPS等;4)威胁情报提供的IP画像数据,在WAF拦截场景下,可有效降低WAF误报率。
安全运营中心(SOC)集合了入侵检测、应急响应、安全监控等支撑企业业务正常运行的安全功能,威胁情报能够有效促进SOC各个子模块之间的相互配合与协作,从而提升企业整体安全运营能力。1)威胁情报提供完整攻击信息,如URL情报、IP地址、文件情报等,有利于SOC结合历史情报信息发现失陷资产;2)威胁情报度描述一个IOC信息,包括网络流量特征,主机特征等,帮助SOC实现告警分级和多级决策;3)SOC利用黑客画像相关情报挖掘衍生的安全事件,提升溯源画像和关联分析能力;4)威胁情报提供行业视角、热点事件和高危漏洞等情报,驱动SOC基于情报在防护设备增加对应策略,主动进行有效阻断和响应恢复。
根据Gartner《2023安全威胁情报服务和产品市场指南》的预测,到2026年,全球威胁情报市场将以15.5%的复合年增长率增长,达到28亿美元。国外威胁情报供给生态较为成熟,各大主流安全厂商均已基于自身技术积累形成威胁情报服务能力。
Forrester在2023年3月发布的报告《The External Threat Intelligence Service Providers Landscape》中提出目前外部威胁情报供给市场处于建立阶段,主要发展趋势为与其他安全技术相集成。Forrester根据市场规模将Accenture、CrowdStrike、Google、IBM、腾讯等威胁情报供应商定义为威胁情报市场大型供应商。其中除了埃森哲主要提供人工分析服务,其余供应商均具备基于工具的威胁情报解决方案。
CrowdStrike将威胁情报和威胁狩猎能力整合到一起,以此增加攻击者对防御者发起攻击的运营难度,同时CrowdStrike通过机器学习分析和自然语言处理加强了暗网监测模块,以更好地理解非英语母语黑客的俚语和上下文。
Google通过对Mandiant的收购,实现了基础设施与威胁情报的结合,将威胁情报融入产品,如Chronicle安全运营与Mandiant的托管检测和响应服务,Google可以更快、更好地理解威胁产生的根本原因。
IBM Security®QRadar®基于威胁情报进行检测和响应,利用威胁挖掘与案例管理组件协同查找需要调查的案例,并开始挖掘案例背后的相关数据。当完成多轮数据挖掘后,会生成事件的时间轴,包括MITRE ATT&CK策略和技术以及事件的攻击链溯源情况,帮助安全团队进行决策,提高事件生命周期中的响应速度。
与国外主流安全厂商均发展自身的威胁情报服务不同,国内以威胁情报生态建设为主,威胁情报产品提供商在向客户进行直接威胁情报赋能的同时,主动向其他安全厂商开放产品能力,发挥自身的海量数据源与资深安全数据分析经验的优势,与合作伙伴一同为用户打造主动网络安全防护机制。腾讯安全TIX威胁情报矩阵依托腾讯安全在云、管、端以及业务侧积累的安全产品和能力,拥有完整的情报数据触点,覆盖网站风险监测、互联网暴露面测绘、信息泄露监测、黑灰产情报监测、仿冒监测、互联网态势监测等服务。能力覆盖方面集成了基础情报、攻击面管理、业务情报三大情报能力,助力用户快速进行威胁研判,帮助实时风险监测及互联网暴露面收敛,辅助进行安全战略决策。情报赋能形式支持SaaS、API等多种交付方式满足不同的用户需求,并且支持通过集成SDK的方式,满足根据使用场景进行定制化二次开发的需求,提高威胁检测与响应效率,灵活适配不同用户的实际诉求。
应用侧客户根据应用场景不同主要有以下三种类型。一是自建型客户,此类客户拥有充足的资金支持,齐备的安全团队,专业水平较高,对于自身安全有更高的追求,在维护自身安全的同时,投入大量资源以达到产出具有行业属性的威胁情报、引领探索行业安全建设方向、分享自身安全运营实践、全面提升行业安全运营的目的。二是集成型客户,此类客户通常将威胁情报根据实际适用场景进行二次开发,与自身的产品、服务、解决方案相整合,为其用户提供服务。威胁情报作为其服务能力的额外补充,为安全决策提供了角度更全面的信息,增强其客户服务能力,提高市场竞争力。三是应用型客户,此类客户每年在安全有固定投入,拥有明确的安全建设规划。作为终端安全能力使用者,此类用户倾向于将有限的安全资源投入到维护自身网络安全的“守城”工作中,对威胁情报进行多样化开发利用会对用户带来额外的资源与工作负担,对安全运营工作带来负面影响。
在自建型用户的使用场景中,威胁情报为用户提供了云端威胁情报查询能力,通过提供威胁情报原始数据,辅助用户构建内部独立的威胁情报中心。基于用户自身数据挖掘产出的情报与行业有天然结合的优势,可以最大限度发挥情报的作用,针对性地对企业面临的威胁进行分析和追踪,有效预判攻击信息和手段,同时通过构建完善的情报共享机制,将自身的安全能力辐射至全行业,提升企业的行业安全影响力。
在集成型用户的使用场景中 ,SDK带来的二次开发能力使威胁情报的定制化适配成为可能,将情报原始数据以最适配用户服务的形式进行结合,最大限度发挥蕴藏的数据价值。以安全服务为例,威胁情报可根据安全工具不同模块的需要,将自身原始数据以标签的形式进行分类,根据模块需求与之相结合,提升风险识别能力,大幅降低误判概率。并且可以打破时间壁垒,与历史攻击信息进行结合,形成攻击者画像,利用画像信息进一步挖掘衍生的安全事件,实现自身提供的安全服务防护能力的螺旋式上升。
在应用型客户的使用场景中,有限的安全资源与人力资源使得直接拉取威胁情报原始数据构建独立威胁情报中心或是通过SDK进行二次开发的门槛过高,用户需要更加直接的威胁情报赋能途径。整合了威胁情报能力的安全工具、引入综合威胁情报的专家咨询服务等成型威胁情报解决方案可以帮助用户通过有限的安全资源实现最大程度上安全能力的提升。一方面打包方案可以“开箱即用”,省略了大量的前期工作,直接发挥安全能力,缩短了用户资产的暴露时间;另一方面用户无需负责打包方案的情报数据维护、分析模型调整、工具版本维护等技术运维工作,可以集中精力进行安全运营。
《孙子兵法·谋攻篇》中提到:知彼知己者,百战不殆;不知彼而知己,一胜一负。在网络对抗愈发白热化的今天,威胁情报将改变传统安全对抗中“不知彼而知己”的现状,从“一胜一负”向“百战不殆”迈进,摆脱安全建设面对的非对称性对抗中的不利地位。
一是摆脱技术不对称。威胁情报通过汇总海量安全数据,通过智能分析引擎进行联动分析,从高维视角挖掘威胁在时间、空间、内外部等维度的关系,预测未来安全态势与攻击技术演变方向,一方面帮助终端用户提前制定安全战略明确资源投入重心,另一方面引导安全供应商研发威胁应对技术。
二是摆脱成本不对称。威胁情报将整个攻击流程进行切片分析,明确攻击者对暴露面叠加利用的方式与各阶段主要行为,用最直接高效解决方案阻断非法行为,避免发生“头痛医头脚痛医脚”这种追着异常告警处理的无效行为,直接封堵威胁突破的切入点,实现“打蛇七寸”般的精确防御,有效节省安全资源的投入,避免有限的安全资源浪费。
三是摆脱信息不对称。威胁情报除了会产出针对威胁事件本身的技术向情报外,同时会针对发动攻击的主体进行全面调查,如组织规模、成员背景、倾向、活跃时间段、常用攻击手段、主要目标群体等信息,根据攻击方信息结合自身安全能力针对性制定防御与反制策略。
四是摆脱时间不对称。威胁情报通过信息共享的方式将上游情报供给方、中游集成情报能力的安全工具供给方、下游安全能力应用方结合成为一个整体。通过引入威胁情报能力,下游用户不仅在与威胁对抗的一线应用威胁情报提供的能力提升,同时也会将一手数据作为新的情报向上传递,形成情报级联动与共享生态。当生态中的单一用户被攻击后,整个生态都会获得预警,知晓攻击的全部流程,针对性提升安全建设,部署相应安全能力,形成“一点受击,整体免疫”的生态免疫能力。
全球网络信息化高速发展,新兴信息技术不断涌现,企业的业务模式和网络环境正面临快速变化。随着全球网络安全威胁不断加剧,攻防对抗对于信息的需求程度也大大增强,威胁情报作为搭建信息流转生态的重要推手,在企业安全运营中将越发凸显其重要性。
威胁情报的发展需要进一步推动形成分工明确的情报流转生态。从建设的角度来看,威胁情报收集需要投入大量的资源进行信息渠道建设,收集到的数据同样依赖于经验丰富的安全分析专家或大数据分析模型进行整理,独立建设与运营一套完整威胁情报系统不仅成本很高,还会弱化情报通过海量安全数据关联分析营造的核心优势。从应用的角度来看,一方面威胁对抗一线的情报运用情况反馈回分析端后也将对未来的收集与分析方向产生影响,形成良好的正反馈机制;另一方面通过SDK等赋能方式搭建的威胁情报应用环境可以在不上传用户数据的情况下成为新的威胁情报收集端,进一步扩大深化威胁情报数据湖。
威胁情报将进一步打通网络安全与业务安全的边界。传统网络攻击的是通过中断对方业务或损害数字资产达成侵害目的。但是诸如仿冒资产、侵权资产、异常交易等行为虽然没有对企业发动攻击,但是也切实损害到了企业的合法权益。未来威胁情报不局限于网络安全,通过与业务安全相结合,打络安全与业务安全的边界。网络安全方面,以恢复业务运行,保护数字资产为优先;业务安全方面,以降低业务风险,减少业务成本为目标,保护企业核心利益不受损害。
威胁情报将向更加灵活多变的格式与赋能形式发展。随着应用场景的不断扩大与细化,威胁情报也根据实际使用需求逐渐出现细分特征。不同行业的威胁情报会根据业务特点调整关注点,如教育行业关注挖矿与双非资产整顿,金融行业关注勒索软件攻击与信息泄露事件。不同安全工具在联动威胁情报时对数据的需求也不同,如防火墙进行流量过滤与拦截时对联动威胁情报时的稳定性和实时性要求高,对数据量丰富度需求较低,而安全运营中心在进行分析与溯源时则对威胁情报的数据丰富程度需过任何有用信息。未来在威胁情报的应用过程中将进一步以SDK、专家分析等赋能形式为基础,开发多样化的应用形式以适配具体的使用场景,充分发挥数据价值。
威胁情报的发展需要进行标准化规范。国标GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》规定了标准威胁情报模型八个组件的基本要求,聚焦于情报本体。由腾讯牵头、信通院和天融信、锐捷、深圳市网安计算机安全检测技术有限公司参与编写的团标《威胁情报能力集成技术要求》正式立项,从威胁情报的集成方式与协同模式两方面出发,旨在探索威胁情报在应用阶段时向外赋能的标准规范。未来应继续积极探索适合行业特色的威胁情报标准体系,通过多样化的赋能模式,保留不同威胁情报供应商的厂商特性,保护厂商探索研发积极性,促进威胁情报供给多样化发展。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。