新冠疫情的爆發給社會帶來了巨大的影響,吹哨人的作用也因為這場意外,愈加收到重視。威脅情報作為網絡安全體系的重要組成部分,其準確性、相關性和時效性的特點,使得防御者能比攻擊者更快地找到反擊措施,為安全團隊的正確決策和安全事件的快速響應作出了重大貢獻。6月18日下午,由北京天際友盟信息技術有限公司主辦,以“新IN力 御萬象”為主題的 TI Inside 威脅情報應用生態協同峰會在北京舉行。會議分享交流威脅情報在各個行業的具體應用方案以及取得的良好效果,探討“TI Inside”生態共建戰略,推動安全行業威脅情報生態協同的進一步發展。
天際友盟倡導通過TI Inside協同,實現威脅情報能力與百大安全廠商的集成聯動,形成新的協同生態效應。天際友盟 CEO 楊大路認為,安全生態是一種態度和信仰,已經深深融入天際友盟的產品和技術理念之中。
天際友盟 CEO 楊大路
正是基于這種態度和信仰,天際友盟率先將高成本投入換來的情報明文輸出,以實際行動加大生態開放力度,進一步降低廠商合作和企業使用的門檻兒。同時作為專業、中立的威脅情報供應商,天際友盟堅持不與傳統安全廠商競爭,堅持開放的合作態度。這看似愚蠢的行為,恰恰贏得了市場和合作伙伴的高度認可,形成了“廠商踴躍加入,威脅情報不斷完善,企業積極采購”的正反饋機制。
什么是威脅情報?
根據Gartner對威脅情報的定義,威脅情報是某種基于證據的知識,包括上下文、機制、標示、含義和能夠執行的建議,這些知識與資產所面臨已有的或醞釀中的威脅或危害相關,可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。業內大多數所說的威脅情報可以認為是狹義的威脅情報,其主要內容為用于識別和檢測威脅的失陷標識,如文件HASH,IP,域名,程序運行路徑,注冊表項等,以及相關的歸屬標簽。
威脅情報的生產就是通過對原始數據/樣本的采集、交換、分析、追蹤,之后產生和共享有價值的威脅情報信息的過程。生產者可以通過使用蜜罐、沙箱、終端等手段收集大量的信息,經過初級或者專業技術分析后提供給消費者,滿足消費者的服務安全運行的需求。
威脅情報之于企業的重要意義
威脅情報在自然界中廣泛存在,在非洲的樹林中經常會有狒狒的身影,由于狒狒在樹上,視野較遠。當獅子等捕獵者接近后,任何一只狒狒有所覺察就會向周圍的動物發出危險信號,周圍動物的安全性得到很大的提高。人類世界要比動物社會更加復雜,尤其是在攻守進化過程中的網絡安全。
當前網絡威脅的專業化趨勢不斷凸顯,迫使網絡安全廠商的產品愈加細分、垂直。傳統安全廠商多只能獲取自己產品、用戶相關的相對局部的威脅情報,自建完整的威脅情報體系又需要極大的設備、軟件等資源投入,同時還需要持續維護情報專家團隊。目前面向情報溯源和分析能力的分析師至少需要具備日志分析能力、數據洞察力、安全消息源、樣本淺層次分析能力和安全運維能力,但目前市面上合格的人才少之又少。因此,企業需要專業的第三方情報供應商,獲取到全產業鏈、多源威脅情報的整合。
根據權威研究機構 IDC 的調研數據顯示,威脅情報可以顯著降低風險,同時推動安全和運營效率的提高,將企業發現威脅的速度提高 10 倍,響應和解決威脅的速度提高 63%,并在受到攻擊之前主動識別出 22% 的安全威脅。
現階段TI Inside的發展狀況
采用明文方式輸出,不設置信息壁壘是TI Inside模式顯著的特點,這需要充分的信心和過人的勇氣。天際友盟實時匯聚全球200+情報源,每日更新2000萬+熱情報,通過場景化應用賦能,協同聯動60+專業安全廠商,與生態合作伙伴一起,共同最大化發揮威脅情報的價值。
企業的發展階段不同、側重點不同,其所需的功能、數據量也不相同。根據不同類型安全產品的定位、性能和應用場景,天際友盟TI Inside設計出三種典型的情報融合策略,包括處置類集合、分析類集合、EDR集合,針對不同的集合篩選出適用的威脅情報數據,滿足不同類型的安全產品與威脅情報進行高效的融合,幫助網絡安全廠商高效、便捷、低成本使用TI Inside服務。
按照不同的情報來源和威脅類型,天際友盟的威脅共享與協同機制包含網絡安全、應用安全、終端安全、數據安全、數據分析、事件處置、風險管理和犯罪中止共計八個領域、二十多項細分技術。
除了輸出實時的通用情報數據之外,TI Inside還支持對情報的IOC字段和歷史數據字段等進行定制,進一步方便企業的訂閱和查詢。
TI Inside可靠性如何?
高可靠性和完善的售后服務是企業加入的首要考慮因素,也是生態得以健康發展的根本。
在情報可靠性方面,目前可達到IOCs的更新頻率不低于24h/次,IOCs準確率不低于99.9%,漏洞情報覆蓋率不低于70%;API接口可靠性方面,服務可用性不低于99.95%。
售后支持方面,標準正式簽約服務包含技術培訓、技術支持和人工IOCs校驗服務,同時還具有調查分析的增值服務,可以使大多數企業較低成本地滿足情報需求。
