威胁情报就像圣经,每个人都在谈论它,但很少有人读懂它,更少有人践行它。
2020 年,众所周知的 “灰犀牛年”、奥运年、大选年、周期年、冲突年…… 同时也是企业数字化转型和颠覆性技术集体发力的第三次数字革命的关键年头。
2020 年,对大多数企业的领导者来说,最大的两个挑战是如何以最低的成本:控制风险,把握机遇。
而信息安全风险,无疑是数字化时代企业面临的最大风险。但更大的风险来自于:企业安全防护体系的有效性不进反退,因为:安全威胁更加难以防范,过去的安全防护体系存在 “大坑”,“安全债” 高企。
面对安全风险与企业防御能力的不对等,一个业界共识的重大安全防御变革方向是:围绕威胁情报建设 “内生化” 的全新安全体系。
威胁情报就是通过暴露未知威胁,提供更优决策支撑信息,降低企业整体风险,并大大提高安全团队和工具有效性的理念,是企业应对 APT、网络犯罪、新兴安全威胁(例如人工智能增强攻击)的 “预警机”,是企业建设能力导向的网络安全体系的战略和战术双核心。
但是,企业界对威胁情报的现状、价值、趋势和最佳实践路径的理解还存在颇多误区和盲区。
带着这些问题,安全牛作为支持媒体应邀参加了国内威胁情报的第一峰会——2020 年 1 月 3 日北京举行的奇智威胁情报峰会。
奇智威胁情报峰会现场
本次大会主题是 “情报内生、聚合应变”,目的是帮助企业“构建内生的威胁情报能力”。来自威胁情报央企用户、主要服务提供商、相关国家和行业机构以及专业咨询服务商的专家分享了中国威胁情报技术应用现状与趋势、用户痛点与心得、市场挑战与机遇的关键信息。
演讲嘉宾包括:国家网络与信息安全信息通报中心处长盘冠员、国家互联网应急中心运行部工程师周昊、奇安信集团总裁吴云坤,建设银行金融科技部信息安全管理处处长陈德锋、国家电网信通公司调度中心主任胡威、华泰证券威胁情报中心主任周正虎、普华永道风险控制及服务部高级经理张伟等专家出席大会,围绕威胁情报技术创新、基于威胁情报的安全体系创新、威胁情报在垂直行业的应用实践及价值挖掘、情报共享及合作等多个层面,发表了精彩演讲。
以下安全牛结合会议嘉宾观点,为读者梳理当下威胁情报市场面临的机遇、趋势、最佳实践和痛点。
威胁情报进入爆发期
Gartner 对威胁情报 (TI) 的定义是:威胁情报产品和服务提供关于信息安全威胁和其他安全相关问题的知识。威胁情报可提供的信息包括攻击者的身份、动机、特征以及方法。这些信息来自技术工具(例如流量分析)和人员行动,例如对黑客和诈骗团伙的调查,以及与司法部门和行业组织的信息分享和协作。
与基于漏洞的防御思路不同,威胁情报面向新的威胁形式,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。
威胁情报在企业安全市场的崛起,主要来自以下两个方面的驱动力:
驱动一:威胁情报是企业安全变革的催化剂
威胁情报的应用场景和服务对象无处不在,EDR、SOC、SIEM、SOAR、TIP、下一代防火墙到企业行业情报联盟,从端点到云端、从一线安全分析师到CISO,从业务人员到总裁CEO。威胁情报是真正的“国民”安全服务,所有人都能从中受益,因而也是安全与IT融合和内生的催化剂和粘合剂。
威胁情报服务/应用场景在企业信息安全体系中的分布
威胁情报的直接受益人:
SOC 团队:威胁情报利用加速分流所必需的外部信息和上下文丰富了内部警报,加快了 “无为时”,减轻了警报疲劳,最终帮助 SOC 团队做出更快的基于风险的决策。威胁情报还可以帮助SOC团队简化事件分析和控制。
事件响应团队:威胁情报可以帮助弥合巨大的网络安全技能差距,减少误报,并提供快速识别,确定优先级并应对可能的威胁所需的可行见解。
漏洞管理团队:威胁情报可为特定漏洞提供必要的上下文,这些漏洞代表了组织面临的风险,并使他们可以了解利用漏洞的可能性。有了这些知识,团队就可以快速权衡针对漏洞所造成的现实威胁应用补丁的潜在中断,并迅速做出明智的决定。
安全领导者CISO/CSO/安全总监:威胁情报可帮助他们全面了解网络风险状况(包括可能影响业务的新兴威胁和未知风险),确定合适的策略和技术来规避或减轻风险。
欺诈防护团队:威胁情报可以通过监视对业务的直接威胁(域,凭据,管理人员提及,BIN / PIN号码等),警告来自暗网的威胁,帮助保护企业的声誉、品牌和网站等),并减少社交媒体的滥用和域名抢注。
风险管理团队:威胁情报可帮助所有供应商和合作伙伴中全面了解以威胁为中心的第三方风险视图,从而有助于他们更快,更自信地理解,分析和解决问题。
威胁情报可帮助网络安全体系中的每个人(从分析师到 CEO)预测威胁,更快地响应攻击并就如何降低风险做出更优决策。威胁情报可以应用于企业安全策略和安全体系的各个层面,帮助企业安全防护体系转向更主动,更全面的安全方法。这就是安全情报——一种通过暴露未知威胁,通知更好的决策并达成共识以最终加速整个组织的风险降低来提高安全团队和工具有效性的理念。
驱动二:投入少,见效快的威胁情报价值被严重低估
根据研究公司 IDC 的调研,威胁情报可以显着降低风险,同时推动安全和运营效率的提高。威胁情报可以将企业发现威胁的速度提高 10 倍,响应和解决威胁的速度提高 63%,并在受到攻击之前主动识别出 22% 的安全威胁。通过用自动化取代手动任务和研究,威胁情报可以将整个IT安全团队的生产率提高32%。
随着网络犯罪和安全威胁复杂性的不断增加,威胁情报正在成为网络安全市场最具潜力、市场规模增速最快,创业投资融资最活跃的 “估值洼地”。
根据 Market Inside Report 的报告,2016 年全球威胁情报市场的价值约为 30.2 亿美元,在 2017 年至 2025 年的预测期内,将以超过 17.40% 的健康增长率增长,亚洲尤其是东亚市场的增速要高于全球水平。到 2025 年,全球威胁情报市场将达到 128 亿美元。
根据 Gartner 的调查报告,过去两年威胁情报的认知和需求都在快速增长,尤其对政府主导和商业化威胁情报服务感兴趣的企业激增。此外,除了传统的政府和金融机构外,能源、航空、医疗、医药、零售、制造等行业用户对威胁情报的兴趣和需求都在快速增长。
市场需求刺激了威胁情报市场的快速成长,除了众多大型安全公司以外,创业公司也不断涌入这个充满活力和生机的市场。报告显示:到 2022 年,20% 的大型企业都将使用商业化的威胁情报服务,而 2019 年只有不到 10% 的大企业。换而言之:
在未来不到两年时间内,行业用户和大型企业的威胁情报市场规模将增长100%。
此外,中型企业的威胁情报市场虽然才刚刚起步,但增速更为惊人,根据Gartner报告,2018年只有不到1%的中型企业购买商业威胁情报服务/工具,到2021年,购买比例将增长至5%,三年内增长五倍。
威胁情报市场为何如此 “牛气”?让我们先回顾一下企业安全目前面临的两大挑战:
2020 年企业安全信息化建设面临两大挑战:一方面,安全威胁的技术、方法、形态、路径多样化、复杂化,安全防护难度急剧增加;另一方面,企业信息化的安全债不断累积。
挑战一:威胁升级
在奇智威胁情报峰会上,奇安信集团总裁吴云坤指出:静态的标准规范、陈旧的技术方法都难以应对日益复杂和常态化的安全威胁,“你不能用三五年前的技术和产品去对抗未来的威胁”。
如今,实网攻防演习已经成为常态化的监督检查手段,企业安全防护体系建设需要从合规导向转向能力导向。吴云坤将企业面临的新安全威胁总结为 “四化”:攻击组织化、环境云化、目标数据化和战法实战化。
以攻击的组织化为例,根据埃森哲公司的报告,APT 攻击者们一直在往组织化的方向发展,以便共享战术和工具以进行大规模攻击。例如,据报道,俄罗斯的 Silence APT 集团正在积极瞄准金融机构,并成功地从全球各家银行盗窃了数百万美元。 安全威胁的另外一个趋势是 “小微化”,表现为 DDoS 和 APT 等攻击规模的小型化和低成本化,而且针对的对象也覆盖更多中小企业和生态链企业。任何易受攻击的基础架构都可能被破坏。这意味着对于所有企业和组织来说,都有必要了解新兴安全威胁的运行方式和实施,威胁情报能力建设也需要 “常态化” 和 “民主化”。
挑战二:安全债
奇安信集团总裁吴云坤将企业安全防护与运营体系的 “安全债” 总结为 “四个大坑”:
(1)缺规划:创可贴式的安全防御,导致产品堆砌,防护失衡,手段碎片化。
(2) 缺运营:IT 和安全两层皮,摩擦和隔阂难以消除、安全团队不能站在信息化角度思考安全,而IT部门的开发运维也没有 “安全基因” 和 “安全思维”,没有树立正确的安全价值观,对安全还停留在 “成本中心” 和 “拖后腿” 的陈旧观点。IT 和安全技术、运营的融合与 “共生”,是 2020 年摆在所有企业 CIO 和 CISO 面前的最大难题之一。
(3) 缺预算+成本高:企业一方面缺预算,根据 Gartner 的数据测算,我国网络安全在 IT 总投入中的占比 2016 年为 0.84%、2017 年为 0.88%。对照全球平均水平,我国网络安全在 IT 总投入中的占比与全球平均数据相比存在约 1.8 倍的差距。另一方面,(可选择)安全工具过剩且集成和使用成本过高。
(4) 效率低、反应慢:即使是最先进的 SIEM 和 SOC 方案对未知威胁的检测和响应的 “反射弧” 也是过长。在安全牛报道的小米生态链企业 Wyze 在北美泄露 240 万用户隐私数据的重大安全事故中,Wyze 在漏洞信息被公开披露后居然毫不知情,在安全媒体 IPVM 的善意提醒下才紧急响应。对安全威胁的预测、感知和响应如此迟钝,与小米生态这个全球最大的物联网生态链的高速发展是完全脱节而且极其危险的。
威胁情报两大趋势:内生化、平台化
数据驱动的云大物移人新一代信息技术普及、企业业务前置、零信任环境、隐私合规、人员意识、物联网、与区块链人工智能等新技术融合应用演化,这些趋势都是企业构建新一代信息安全防御体系的 “变量”:
数据驱动的安全2.0 图表来自:吴云坤
而内生安全的关键特征,就是安全与企业 IT 系统的深度集成,以及对企业业务数据的深度利用,打造出符合企业需求的,独特的安全竞争力。
目前在医药研发领域,最热门的研究领域就是 “免疫疗法”,而内生安全的核心价值,也正是通过提升企业内在的 “免疫力” 来构筑企业防御安全威胁的核心能力。根据吴云坤的演讲,企业内生安全防护系统应当具备三大特征:自适应的免疫功能、内外兼修的自主可控、自成长自进化的学习型实战型团队。而打造内生安全的四大要素分别是:新机制、技术聚合、数据聚合、人的聚合(包括与业务流程的集成)。
与此同时,在内生安全、数据驱动、主动防御、自动化与智能化等新的安全理念驱动下,威胁情报也正在经历内生化和由点到面的平台化变革,其技术、方法、定位和交付方式都在发生巨大变化。
从边缘到核心:威胁情报是内生安全新体系的核心
威胁情报在安全内生化趋势中重要性正在不断凸显,成为企业防御体系的轴心和大脑。过去,网络安全三要素是 “人员、技术、流程”,而在内生安全时代,“人员、情报、技术” 构成了新的三要素。企业应当以威胁情报为核心建设新业态下的安全体系:
制图:普华永道风险控制及服务部高级经理张伟
从功能到平台:从初始消费到支持运营
奇安信威胁情报中心负责人汪列军认为,在威胁情报初级阶段,消费外部输入的威胁情报效果立杆见影,但有其先天的限制,作为弥补和进阶,需要建立基于自有基础数据的威胁情报生产能力,这将使企业组织的威胁对抗水平更上一个台阶。
根据 Gartner 的威胁情报成熟度模型(上图),大多数企业在进入 “支持运营” 阶段后,就会面临威胁情报的平台化运营,向内部提供定制化的威胁分析和调查服务,同时开始建立威胁情报的可信伙伴分享联盟。
其中,以 TIP 为 “大脑” 的安全中台是信息安全内生化的一个重要概念,从上图可以看出,威胁情报平台 (TIP),在安全自动化编排和响应平台中,威胁情报扮演着 “大脑” 的重要角色,而不仅仅是被编排的对象:
制图:普华永道风险控制及服务部高级经理张伟
奇安信集团总裁吴云坤强调从信息化的角度看待威胁情报运营建设;威胁情报驱动的威胁运营是一个运行闭环(上图),要嵌入到信息化流程中并作用于积极防御,建立自身的情报生产(来自内部信息化业务数据和外部多源情报)和消费能力,挖掘出潜在和未知威胁,并及时有效的弥补防御弱点。
国家互联网应急中心运行部工程师周昊认为(上图),企业应当以威胁情报为纽带构建安全中台,统一威胁情报体系,扩展不同类型情报,和其它引擎联动,形成具体响应动作,向各部门提供统一服务,实现情报赋能,情报即服务。
威胁情报内生化的最佳实践与痛点
建设银行金融科技部信息安全管理处处长陈德锋:三步走打造智能主动防御体系和运营平台
在当下建设银行电子银行快速发展时期,不能仅依靠内部安全体系,必须利用威胁情报,预防、拦截、追溯、优化控制。在系统漏洞预警、数据泄露监测、钓鱼网站发现关闭等多个领域构建威胁情报共享机制,逐步加大、加深威胁情报和安全体系的结合。
分三步走打造智能主动防御体系和智能运营平台,以安全大数据和资产大数据为基础,安全对抗为核心,结合威胁情报,应对有组织的大规模网络攻击。
痛点
数据驱动的安全分析模型精度与隐私保护严控之间的矛盾;
资产管理的数据覆盖和维度不够;
人才短缺;
缺乏有效的情报分享机制;
国家电网信通调度中心主任胡威:主动防御体系需要以情报驱动安全
情报驱动安全:国家电网网络安全保障体系总框架
2017 年勒索软件肆虐之后,电力行业的安全感就没了。如今,电力关键信息基础设施已经成为网络打击破坏的重要目标,攻击的持续性隐蔽性显著增强,防护难度加大。今年三月提出的电力泛在物联网,给相对封闭的内部工业系统和工业互联网带来了“无限大”的攻击面,加之电网公司信息化近年来自我加压,紧追并引领行业潮流,新技术和应用带来网络结构复杂化,威胁形态和攻击面也在同步增多。
在全新的安全威胁形势下,我们的安全防御体系开始从被动走向主动,过去网络安全建设的技术设备,例如防火墙、IPS以及其他基于标记检测的设备,发挥的作用越来越小。在新的主动防御体系中安全感知、安全情报的比重越来越大。
如今我们的防御体系建设思路,是以情报驱动安全,建设情报搜集和分享体系,实现对威胁情报的高级分析,通报预警应急处置,技术支撑闭环评估,24小时协同联动机制。
打造一线人员看得懂的态势感知,是我们一直以来的目标。
痛点
威胁情报方面面临五大问题需要解决:威胁预警如何更及时、态势感知如何更精确、智能分析更深入、情报共享更贯通、协同联动更充分。
厂商的感知相关产品很多,但是真正了解和适合国家电网业务特点的不多。
华泰证券威胁情报中心主任周正虎:将威胁情报体系建设成情报 “赋能中心”
我们引入 NIST 网络安全框架构建威胁情报体系,覆盖八大领域(上图):IOC情报(商业+开源)、数据泄露(GitHub+百度网盘)、黑灰产监控、漏洞情报、规则情报、Hash情报、响应情报、蜜罐与IP监测情报。此外,华泰证券还把一些安全运营中比较固化的的流程利用SOAR进行安全的自动化编排和响应。
痛点
缺乏威胁情报数据(IOC)
国家互联网应急中心运行部工程师周昊:用情报集市打破威胁情报共享瓶颈
威胁情报的生产、共享、赋能应当形成一个闭环的生态系统,解决情报分享痛点的关键是调动各单位分享的积极性,打破制约情报分享的 “纳什均衡”。过去威胁情报市场主要是 P2P 的私下拓展方式。厂商不知道用户在哪,用户不知道厂商优劣,导致优质情报价格上不去。一种解决方案就是我们正在探索的一种平台型的双边情报市场,由厂商、平台以及用户三方构成。加入的厂商越多,吸引的用户也越多,而更多的用户使用,同样也会促进更多厂商加入,情报来源和可选择性不断增加,成本逐步降低,形成一个良性循环。目前国家互联网应急中心已经构建了一个多元情报汇聚和服务平台,预计年后发布,平台充分利用了国家级的平台和数据优势,联动威胁情报智利能力,形成国家级一站式威胁情报服务。
北京盛华安信息技术有限公司联合创始人、副总裁叶蓬:威胁情报应当落地内部大数据平台,SOAR是能力驱动的信息安全建设的重大方向
企业 SOC 从最初的面向资产到面向业务,再到现在的数据驱动,一步步演进。威胁情报在企业安全运营中的地位也在不断提升,现在是情报引领的安全体系建设,但是要解决威胁情报 “最后一公里” 企业侧落地的需求匹配问题,需要集成商、安全托管服务商多方协力。不管是国外的经验或者国内的实践,比较好的落脚点还是聚焦在企业侧的大数据平台,不管是外部情报平台数据还是内部数据,都需要在这个平台上汇聚、碰撞和处理。但目前的问题是情报对比仍然是老的方式,误报率下不来,不能根本解决报警疲劳的问题。解决途径就是结合多种威胁检测手段和上下文信息比对,要把情报和企业内部业务数据,以及安全防御体系结合起来,安全运营的自动化和编排是未来安全发展的重大方向,通过编排,很多安全公司的产品都会在甲方的要求下能力化,例如防火墙、IDS 系统是一个能力集合,不是孤立的输出,而是变成一组 API 或者服务的概念。
在所谓软件定义安全或者软件定义的安全运维中,威胁情报是一个可以被编排的功能。
总结:痛点即机遇
痛点一、用户选择困难
安全牛 2019 版全景图中的威胁情报厂商分类(将于2020年1月更新版本)
威胁情报产品概念繁多、价格不透明、缺乏综合方案。Gartner报告。也指出了目前威胁情报市场的问题:市场提供的服务五花八门,但没有一家企业能够提供整体方案,只有极少数的供应商能提供定制化的情报服务;企业用户比较选型难度大,“选择困难综合征“非常普遍。
痛点二、情报分享难
企业和行业情报联盟容易陷入“纳什均衡”,导致情报很难聚合、流通和分享。
痛点三、观念转变难
安全厂商和企业安全团队需要从信息化的角度看安全,从数字化转型战略和业务价值的角度而不是单纯的安全指标来指导内生化的,以威胁情报为中心的安全防御体系的规划和运营。
痛点四、人才短缺
类似威胁捕手、安全大数据分析师这样的威胁情报相关新兴安全职业岗位的人才严重匮乏。
痛点五、隐私合规与情报数据的矛盾
2020年,继GDPR之后各国隐私数据保护法规接连出台,威胁情报数据生产、分析与分享的合规风险也不断加大。
痛点六、缺乏标准化
威胁情报数据格式缺乏标准化,不但制约情报分享,而且也制约威胁情报在企业安全防护体系中的集成化和智能化演进。
痛点七、缺乏针对性产品和服务
参考资料:
奇智威胁情报峰会会议资料
埃森哲2019网络威胁全景报告 :
https://www.accenture.com/_acnmedia/pdf-107/accenture-security-cyber.pdf
Gartner威胁情报成熟度模型报告
Market Inside Report:2025全球威胁情报市场预测报告
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。