威脅情報的應用價值:聯動協作
作者:星期三, 十一月 6, 20190

能夠解決問題的威脅情報體系,才是對客戶有價值的威脅情報體系。

過去四年間,天際友盟的威脅情報方案與能力,已在近百家企業客戶的實際生產運營中,得到了廣泛的應用。其中,除了通過企業用戶直接使用威脅情報數據或溯源查詢服務之外,通過與各類專業安全解決方案廠商能力結合,將威脅情報的價值間接傳遞給客戶,共同在客戶現場發揮價值,也是威脅情報應用中的一種特有場景。

我們稱之為 Threat Intelligence Inside,TI Inside 模式。

迄今,通過 TI Inside 模式,天際友盟的威脅情報能力已實現與國內三十多家安全廠商產品的集成聯動,不僅增強了廠商原有產品的情報能力,提升了其安全解決方案的綜合實力,也更加貼近企業客戶的實際應用場景,共同為客戶解決實際問題,創造價值。

不同安全廠商的方案,情報的聯動方式也各不相同。本系列將對 TI Inside 模式中的幾個典型場景做分析,展現情報與安全廠商聯動的場景與特性。

大型企業客戶,經多年安全體系建設,大都已在安全可視化項目中投入不菲。

企業客戶通過整理和完善關鍵數字資產、匯總安全事件日志,同時輔助以網絡數據包分析、部署終端檢測及響應,來構建企業整體網絡安全態勢感知平臺。進而,通過多維度的安全大數據分析,試圖實現安全視角下的運營及運維。

《IDC Market Scape: 中國態勢感知解決方案市場 2019 年廠商評估報告》中指出,態勢感知解決方案/平臺是構建主動網絡安全防御體系的重要組成部分,基于情報、分析、響應和編排構建的態勢感知解決方案/平臺,將真正的成為主動安全防御體系的 “智慧大腦”。

2019年10月, IDC Market Scape – 中國態勢感知解決方案市場 2019 年廠商評估

Gartner 在 2018 年的 SIEM 魔力象限報告中提出,威脅與情境感知能力,需要結合威脅情報。Gartner 在 2019 年的《全球威脅情報市場指南》中更特別指出,應基于使用場景和安全目標來選擇威脅情報服務和產品。

SANS 2019 年的 CTI 現狀調研報告中,認為網絡威脅情報的應用已漸趨成熟,發揮的價值也越來越大,企業越來越關注情報的應用,而非數據的收集和處理。報告顯示,SIEM平臺依然是威脅情報最主要的使用手段 (82%)。

圖例:The Forrester New Wave TM: External Threat Intelligence Services, Q3 2018

《The Forrester New Wave TM: External Threat Intelligence Services, Q3 2018》報告也指出,數據應與分析解耦,企業客戶可以自行結合威脅情報進行安全分析,業界也正是如此實踐的。Splunk 公司通過整個殺傷鏈的角度來更好地快速定義和阻止新的數據威脅,從不同數據來源搜索和關聯以更高效地進行高級威脅追蹤檢測。IBM 公司則提出結合 QRadar SIEM 與 X force 威脅情報,通過首先集成威脅情報到態勢感知平臺,再利用自動化編排 Resilient 提供安全事件響應能力。IBM 利用威脅情報建立全球安全生態體系,期望威脅情報能夠幫助這款 SIEM 產品更好地發現、驗證攻擊,并且支持采取更加有效的響應方式。

圖例:QRadar與天際友盟情報系統的集成

市場中,威脅情報與態勢感知平臺結合的需求,正此起彼伏。

自 2016 年始,天際友盟也在市場上推出了與態勢感知平臺的集成解決方案,并陸續在國內部分大型客戶環境中部署實施,也正是這一趨勢的印證。國內眾多廠商的態勢感知或 SOC 平臺,通過 SIC 安全情報中心,進行安全大數據關聯分析,在建立內部情報和外部情報相互結合的基礎上,實現對企業網絡安全的態勢感知或者安全可視化。

同時,在安全管理平臺項目中,大量安全廠商提供基于安全威脅情報的關聯分析和深度分析能力;還有一些安全廠商在溯源能力中,利用威脅情報結合安管平臺,進行攻擊者畫像,在 APT 攻擊的監測與溯源能力上,取得了長足進步。

態勢感知平臺的普遍存在問題,是如何將威脅情報充分應用。如果不能將已知情報全量地用于態勢分析,就無法從局部信息準確預判全局態勢,或者無法從當前狀態預判未來發展趨勢。

要做好這一點,需要雙方面的努力:

威脅情報廠商需給出全面的、當前所掌握的情報的明文,而非通過問答模式,給出片面的數據。

態勢感知廠商應充分結合威脅情報,采用優化的分析模型,實現對全局態勢的把握和對未來的預判。

在與數十家態勢感知平臺廠商的長期協作中,我們總結了如下幾類常見的情報聯動協作方式。

方式1: 基于日志的安全分析

對安全事件日志的深度分析,已經成為建設態勢感知平臺的第一要務。在擁有了安全事件日志的數據基礎之后,大型企業客戶和態勢感知廠商會逐步結合威脅情報,補充日志的一些安全屬性字段;同時在安全事件的關聯分析和深度分析中,也需要威脅情報信息輔助。

SIC(安全情報中心)可以提供威脅情報的屬性信息,能夠對現有的安全事件日志增加威脅情報字段,進行完善和豐富。通過建立企業內部的情報數據,利用補充豐富后的日志,再深度結合來自內部及外部的威脅情報,便能在安全管理平臺和態勢感知平臺中,進行展現和關聯分析。

態勢感知廠商和企業客戶,可以利用威脅情報來標識和關注企業內部和外部的安全事件,在發生安全事件的初始階段進行檢測和干預,提升檢測能力,減少誤報,建立本地的安全響應指令集和響應策略集,實現安全產品之間的無縫聯動。其中,安全響應策略集應承接企業的網絡安全方針,并能夠利用自動化手段分解為可執行的響應指令集,分解示例如:威脅情報網關響應指令集(阻斷、放行、審計)。同時,將復雜和多維的安全事件和網絡流進行深度關聯分析,檢測到來自內和外的安全威脅。

案例:某航空類集團客戶,在安全日志采集后的標準化階段,對日志進行威脅源IP的所屬組織、地理分布、威脅信譽值等數據補全工作,從而在后續分析階段,可以從更加豐富的維度,進行威脅分析和預警。

方式2: 威脅情報與安全運營中心結合

對于已建立企業級安全運營中心的企業,安全情報的樞紐作用日益凸顯,單一情報源已經無法滿足企業的要求,更多的大型客戶選擇了多情報源,對威脅情報平臺的能力提出了新的挑戰。

作為企業級安全情報樞紐,SIC 可為企業用戶提供本地化的內外多源情報協同平臺,具備獲取、解析、評價、聚合、發布、展現、統計、查詢、關聯告警、協同對接等情報應用管理功能,既可實現與 SOC、SIEM、IPS、WAF 等多種安全設備的情報協同工作,又可通過級聯模式來實現在復雜網絡環境下的多級情報聯動管理,或是輔助用戶構建基于情報的內部共享機制。

威脅情報進入態勢感知平臺或者安全管理平臺后,可以輔助企業客戶建立和管理自有安全響應策略庫和安全響應指令庫,實時更新來自安全廠商的建議威脅類別庫,最終形成企業可以利用的特征類別動態列表+響應方案列表的組合;還同時能夠支持企業客戶,在平臺中自行建設和維護企業自定義類別庫,形成落地的最佳實踐方案。

最后,在威脅溯源能力建設方面,SIC 還可以提供攻擊者來源數據,輔助客戶進行攻擊行為的溯源分析,以及企業安全運營團隊進行安全事件的預測。

案例:某國家級監管機構,SIC將來自多方的威脅情報進行聚合,并結合其掌握的獨有的數據,形成具有高等級互聯網應急中心級特色的威脅情報,用于指導關鍵信息基礎設施單位的安全防護工作。

方式3: 威脅情報支撐企業安全防護體系

企業安全體系建設中,安全可視化是重要的組成部分。客戶普遍期望態勢感知平臺作為安全體系的大腦,完成指揮的功能,而威脅情報就變成了大腦的決策依據。提供準確的威脅情報,是天際友盟 SIC 產品的核心應用價值,也將成為安全防護體系的支撐點。

隨著企業業務發展,威脅情報將在安全防護體系建設中,貫穿整個建設過程。比如在防護體系內,可以利用威脅情報進行狩獵,對攻擊來源進行威脅溯源分析,還可以配合蜜罐等安全設備對進攻方式方法進行深度分析。

眾多安全廠商,利用威脅情報管理中心,進行威脅情報的二次集合整理,方便其在安全平臺及設備讀取使用,建立更加匹配產品的特征集合,將威脅情報第一時間推送到前線安全設備及系統中,甚至在終端檢測系統及網絡設備里,還可以直接使用威脅情報相關的策略集合。

天際友盟可以靈活的提供情報,且擁有強大的關口前置能力,來提升安全設備的前置處理能力;同時威脅情報在態勢感知平臺中也能深度集成,輔助決策,對網絡攻擊態勢進行預警,在事件發生過程中進行跟蹤、定位和溯源,以及事件后的取證調查分析。

部分企業客戶,還在安全應急響應階段,結合威脅情報數據進行比對判斷,同時在溯源能力上進行建設加強。另外,一些系統集成商或者安全服務商還提出了更高標準的要求,比如豐富的威脅情報接口和多樣性的數據格式,更加高效的用于響應團隊等等,這些都是他們在建設安全防御體系中考量的重點功能。

威脅情報使得態勢感知平臺更加開放,高效。企業客戶紛紛建立內部威脅情報體系,再結合外部威脅情報完善安全體系建設。將威脅情報貫穿企業安全體系,而具備威脅情報支撐的態勢感知平臺,也成為安全防護體系不可或缺的的支撐點。

案例: 某大型央企集團的安全運營團隊,已建立較為完善的安全防御體系,并通過安全管理平臺進行統籌安排。客戶利用天際友盟威脅情報平臺數據,針對異常攻擊事件進行溯源分析,定位攻擊來源及特征,從而在后續分析階段,可以從更加豐富的維度進行威脅分析,進而實現預警能力。

方式4:(不建議) 遠端實時查詢威脅情報

態勢感知平臺多數建立于企業內部安全運營平臺之上,如果采用查詢和驗證模式,不僅會降低態勢感知平臺的工作效率,也無法充分發揮威脅情報的催化效應。盡可能利用全部、及時、準確的情報,才能夠分析出更加可靠的預測結果,而人為屏蔽,僅采用局部情報,會導致樣本偏差,這是預測模型中需要盡力避免的情況。

案例:無。天際友盟的客戶和合作伙伴,目前都能夠以明文方式使用天際友盟的威脅情報,無需擔心查詢模式的局限性。

結尾

客戶首先關注防御效果,其次才關心實現方式。

多數的態勢感知類項目中,企業客戶會將多個情報來源的數據進行對比和交叉分析。多源的威脅情報帶來了豐富的威脅情報信息,但也增加了錯誤幾率。隨著情報在企業中的運用日趨成熟,企業客戶的關注點也在調整,逐步從僅僅關注單一來源情報的質量和數量,轉為更加關注情報的利用率和能效,以及如何衡量情報對企業安全建設的價值和貢獻度。

企業客戶應謹慎關注那些在企業的內情報系統中,零星出現的威脅情報內容,特別是在態勢感知平臺自動化關聯分析中,很多時候需要結合企業自身的安全體系架構和數字資產情況,才能給出相對準確的判斷。在企業網絡安全風險管理的模型下,威脅情報的權重配比,更應該為企業安全運營團隊所關注和持續跟蹤的重心,直至最終擁有溯源的能力。

此外,本地安全情報中心還可以協助企業在態勢感知項目建設中,做到深度分析、威脅溯源。通過實時利用外部情報進行關聯分析,對態勢感知平臺做進一步的完善和優化,可以更好的解決客戶對安全威脅的困惑。

TI Inside 模式,將會是未來專業情報廠商與專業安全企業的普遍合作實踐。天際友盟在堅持打造威脅情報體系能力的同時,也不斷同業界優秀的安全設備廠商進行合作,共同建設安全生態圈,為行業的發展貢獻自己的力量。

 


相關文章

寫一條評論

 

 

0條評論