威脅情報,突出重圍的引航者

 

楔子:“網絡空間安全領域最慘痛的戰役,是戰役已經結束了,我們甚至都不曾察覺戰役曾經發生過。”

一、網絡安全防御思路的轉變

1. 引言

?防火墻、IDS、網絡防病毒軟件,已經成為企業信息安全的基本配置,也是等級保護的入門配置,同時常被人們形象的稱為是網絡安全的“三劍客”。很多企業在此基礎上,還選配了各種其他軟、硬件,它們有WAF、UTM、防毒墻、安全準入系統、備份系統、堡壘機、網閘等,不一而足。然而,在層層保護下,企業被成功入侵或攻擊的事件仍不絕于耳。甚至,有些企業已經被成功入侵,數據已經泄漏,而企業無絲毫察覺,直到這些數據在網絡上被明碼標價出售后才恍然大悟,而時間已經過去數月,甚至數年,泄漏的數據也已經被黑色產業鏈利用了數輪。很顯然,傳統的信息安全模式已經無法滿足當前網絡空間的安全目標需求了。

2. 網絡空間安全目標

網絡空間安全的目標到底是什么?通常認為網絡空間安全,亦即信息安全的目標包含以下3種:

  • 效果目標:效果目標可以理解為企業在遭受入侵后,期望的結果,例如:遭受DDoS攻擊時有足夠的能力進行攔截,不影響業務的正常進行或者對業務影響極小;遭受勒索病毒攻擊時,能夠自己在預期時間內恢復,而不用向攻擊者交保護費;數據被盜時處于加密狀態,偷盜者無法閱讀或者在預期時間內無法閱讀。效果目標通常可以使用損失來描述和計量,對效果目標的評估可以使用BIA(業務影響分析)過程來獲得。
  • 效率目標:信息安全界普遍認為100%的安全是沒有的,那么防護能力需要達到怎樣的程度才可以滿足,在這個x%中的x誰可以說的清楚?或許我們可以用n個9(例如:99%即4個9)來描述可用性,但99.99%機密性又該如何進行計算?企業需要合理定義其效率目標,包括對CIA(機密性、完整性、可用性)三個維度的分解和獨立評估。效率目標往往體現一個企業管理層的風險偏好。通常情況下,風險中立的企業則會采用ROI來評估其效率目標。
  • 時間目標:多久可以發現攻擊?多久可以投入力量進行攔截?被成功攻擊后,多久可以快速恢復?時間目標不是一個簡單的數字存在,它需要企業扎扎實實的信息安全處置能力,每縮短1分鐘都是千錘百煉的結果。時間目標體現為企業響應能力的均衡,在預防、保護、追溯等網絡安全事務上對資源的安排、均衡和調度直接影響企業的網絡空間安全時間目標。

3. 轉變:“知彼”,讓戰場透明

孫子兵法提出“知己知彼,百戰不殆”。傳統的網絡安全建立在縱深防御的方法論基礎上,隨著SIEM和SOC的運用,可謂在“知己”上盡其所能。同時,部分防護工具從基于規則的防護手段轉為基于行為的防護,在“知彼”上也有所建樹。然而,防護方在知彼上仍有很大的提高空間。如同“馬奇諾”防線之于“閃電戰”一樣,戰役的規則不是防守方制定的,而是攻擊一方制定的,防守方往往難以在短時間內轉換其防御方法,相對的攻擊方則可以利用廣泛的手段研究防守方的弱點,從而實現一擊即中,收獲豐厚。

那么,網絡空間安全的防護策略和框架該何去何從?簡單而言,就是加強“知彼”。如何“知彼”?回答是:利用威脅情報,完成從縱深防御的安全框架到威脅情報導向的安全防御框架,最終實現從被動防御到主動防御的模式轉換。

二、認識威脅情報

1. 威脅情報是什么?

關于威脅情報是什么,我們可以引用Gartner做出的定義:“威脅情報是基于證據的知識,包括場景、機制、指標、含義和可操作的建議。這些知識是關于現存的、或者是即將出現的針對資產的威脅或危險的,可為主體響應相關威脅或危險提供決策信息。”在此需要注意的是,安全安全情報是威脅情報的延申,其關注點從威脅本身延展到與威脅相關的完全網絡安全領域。

2. 為什么威脅情報能夠加強“知彼”?

威脅情報通過對威脅的主體、客體、行為、工具等進行分解,提供事前、事中、事后可用的關鍵安全信息,實現“知彼”。包括:

攻擊方特征:主要包括工具指紋與手法特點等。專業網絡安全情報服務商所提供的安全情報,包括攻擊方所采用的威脅工具指紋、攻擊手法特點等情報。通過將攻擊方的特征注入專業的檢測設備(例如:支持DFI/DPI的網絡流量檢測設備),及時識別和發現潛在的風險,從而針對性進行漏洞防護,包括漏洞修補或者補償性控制措施(防火墻、IPS等防御性設備的規則優化),達到防護目的。

防御方特征:主要包括防御方的工具和手法特點,通過廣泛的與資產相關的漏洞、弱點(例如:防火墻規則)等情報,及時做出防御調整,例如:企業通常不會部署兩套或以上防病毒軟件,而各家防病毒軟件在實踐中對于新生攻擊則反應速度各異,通過惡意軟件情報則可以基于補償性控制增加防護層次,等待廠商響應。

威懾類:安全情報中包括溯源情報,這類情報可以幫助企業或執法機構追溯攻擊的源頭,從而對攻擊者做出響應的追責性響應,其結果必然對攻擊者形成威懾力。

防御類:防御類情報是安全情報最重要的一類應用,同時和其他類情報并不沖突,亦即同一情報可以歸屬于多個應用類別。防御類情報是檢測、防御形成閉環的基礎,無論是外部情報源還是內部情報源,所產生的防御類情報均可以為各類防護性設備(例如:防火墻、WAF、IPS等)所使用,同時防護性設備也會在工作中自產情報,形成情報生產、分析、利用的閉環。

反制類:部分情報可以被用來對攻擊方進行反制,例如:仿冒的網站、仿冒的APP、釣魚網站等。可以成為反制類情報。情報服務商可以通過對全網監測提供以上情報,并結合合法途徑,對其進行關停,從而打擊攻擊方。

“知彼”能力,加強了企業在網絡安全方面的預防能力、保護能力和追責能力。

3. 威脅情報的分類和用途

從企業運用來講,威脅情報可以分為戰略類威脅情報、戰術類威脅情報、操作威脅類情報。

戰略類威脅情報,是企業信息安全戰略輸入的因素之一,幫助企業判斷攻擊方的興趣點、攻擊方的來源等。戰略類威脅情報通常帶有行業特點,即同一行業的戰略威脅情報高度相似,企業的高級管理人員關注戰略類威脅情報。

戰術類威脅情報,是企業制定網絡安全策略和管理流程、規劃和部署網絡安全技術的輸入,戰術類威脅情報的運用是企業網絡安全戰略的體現,同時由于管理、技術觀點的差異,即使是在同一行業內,各企業間對戰術類威脅情報的運用也體現出一定的差異。

操作類威脅情報,是網絡安全人員常用的情報,操作類威脅情報包括各種技術運用、攻擊方的具體特征等,可以幫助網絡安全人員在遭遇到攻擊行為時,能夠迅速運用該類情報與之對抗,從而實現對攻擊的攔截、記錄等操作行為。

4. 威脅情報地圖

威脅情報的運用關鍵是“知己知彼”,那么如何做到“知己知彼”呢?我們可以沿著“知己”到“知彼”的路徑前進

首先,“知己”最重要的一步是梳理信息資產,識別企業的核心信息資產,從而加以保護。

其次,是在識別信息資產的基礎上,識別信息資產保護機制的脆弱性。信息資產的脆弱性決定了保護的程度,如同體弱的人更容易生病是一個道理。

然后,是采集企業各種資產,包括網絡安全資產的運行日志,并進行分析。這一步即是企業信息資產的“持續性體檢”。

到上一步止,是企業“知己”的過程,即內部情報生產過程。

接下來,企業可以通過服務商引進外部威脅情報,形成“知彼”的過程。

企業在選擇威脅情報時,應當高度關注相關性。舉例而言:某企業部署未部署手機應用,針對Android/IOS的攻擊對其而言并不發生實際效用。

最后,是情報的整合運用,將內部產生的情報和外部資源引入的威脅情報加以復合運用,包括對預防、保護、追責能力的加強。

5. 威脅情報的運用

根據情報產生的途徑和數據特征,企業在運用威脅情報時,需要注意內部情報加上外部情報將是一個巨量的數據集合。因此企業需要以下能力:

威脅情報思維導向的能力:在基于威脅情報導向的安全防御框架下,快速響應將是常態,思維方式和運營方式的轉變,將對企業的網絡安全組織全部成員提出新的挑戰。

大數據應用能力:巨量的數據對企業將會提出新的要求,數據的存儲、傳輸、計算和使用,都將會對此前的基礎架構提出挑戰。大數據運用能力將會是企業網絡安全的必備能力之一。

安全數據治理能力:運用威脅情報除了引入了外部情報源外,還將涉及到各種設備產生的數據,這些數據和企業業務數據的治理在方法論上互通,然而專業領域卻截然不同。整合這些數據,將會對企業的數據治理能力提出挑戰。

安全技術集成能力:僅僅獲得了情報是不夠的,應用這些數情報將涉及廣泛的安全產品,他們很可能來自不同的廠商。因此,企業在構建安全情報中心時,還應當考慮到閉環運行的因素。

在認識了威脅情報后,接下來讓我們看一下威脅情報的關鍵點,作為增強型數據的分析的核心位置。

三、威脅情報的C位

1. 什么是威脅情報的c位?

對于c位的概念,一般的理解是核心位置、中心位置,或者非常醒目的位置。所謂威脅情報的c位,也就是關于威脅情報最應該被關注的焦點。

2. 為什么要尋找威脅情報的c位?

  • 尋找威脅情報的c位,即尋找威脅情報分析的切入點,使得威脅情報的分析更加有效。
  • 尋找威脅情報的c位,可以使組織機構有限的資源投入更加聚焦。
  • 找出威脅情報的c位,可以有針對性的對威脅情報分析方法進行標準化。在當前威脅情報分析人員極其短缺的情形下(少數分析人員所具有的天分則另當別論),采用標準化的方法,快速培養標準化的威脅情報團隊是必經之路,以提高威脅情報應用的成熟度。

3. 從什么模型中尋找?

談起威脅威脅情報的c位,我們有很多威脅情報的模型可以參考。介于關于威脅情報的國標已經正式發布,那么就讓我們從國標來入手。GB/T36643-2018《信息安全技術 網絡安全威脅信息表達模型》(以下簡稱GBT36643-2018)定義了三個領域8個組件。如下圖所示:

然而GBT36643-2018中并未明確指出模型中的c位。所以尋找威脅情報的c位需要我們自己去做。

4. 如何尋找威脅情報的c位?

筆者認為尋找威脅情報的c位可以采用最短路徑法進行,具體規則如下:

  • 直接相鄰則路徑值為0
  • 最短路徑每經過1個節點,路徑值+1
  • 總路徑值路最小者為中心
  • 當最小總路徑值有多個時,可視為多中心

按照以上規則,可以得到如下表格:

威脅主體 攻擊目標 攻擊方法 應對措施 攻擊活動 安全事件 攻擊指標 可觀測數據 總路徑值
威脅主體 NA 1 0 2 0 0 1 2 6
攻擊目標 1 NA 0 0 1 1 1 2 5
攻擊方法 0 0 NA 1 0 0 0 1 2
應對措施 2 0 1 NA 1 0 1 2 6
攻擊活動 0 1 0 1 NA 0 1 2 5
安全事件 0 1 0 0 0 NA 0 1 2
攻擊指標 1 1 0 1 1 0 NA 0 4
可觀測數據 2 2 1 2 2 1 0 NA 10

從表格中我們可以看出,安全事件和攻擊方法到達其他對象的總路徑值均為2,威脅信息表達模型是個雙中心的模型,也就是c位有兩個:安全事件和攻擊方法。

從威脅情報的戰略、戰術和運營層級劃分來看,這兩者均處于戰術層。這個分析結果不僅僅適用于威脅情報,它同時也揭示了信息安全的另一個層面:戰術層是信息安全資源投入最密集的層面。這和一般組織機構在信息安全上實際情況也非常匹配,即真正發生高等級信息安全事件的情形雖然非常少,但組織機構的信息安全部署卻一直在為這一刻而時刻準備著。

四、決策-隱藏關卡

1. 威脅情報環

威脅情報作為情報的一類,具有情報生命周期的典型特征,即從情報規劃,到情報收集、情報處理與分析、情報分發,回到情報規劃,形成一個閉環。通常如下:

  • 威脅情報規劃
    1. 制定目標:可采用SMART原則。
    2. 制定策略:指導威脅情報的收集、處理、分析、分發等活動。
  • 威脅情報收集
    1. 主動收集技術:主動式收集通常可以被其他主體所觀察到,例如采用掃描的方式偵察攻擊者的網站是否存活,攻擊者可以通過監聽網絡發現該情報收集。
    2. 被動收集技術:被動式收集通常可以在不被攻擊者發現的前提下收集信息,例如蜜罐,需要注意的是不同類型的蜜罐可能被察覺的時效是不同的,同時蜜罐可能帶來額外的風險。

被動收集的另一個典型案例是VT,通過提供檢測惡意代碼服務,或吸引攻擊者提交惡意代碼檢測其免殺能力,收集大量的惡意代碼從而進行進一步分析。VT以其獨特的代碼分析能力成為該行業中的翹楚。

  • 威脅情報處理
    1. 清除噪音:通常需要關聯分析和聚類分析等大數據手段。
    2. 解密與轉換:對原始信息進行解密處理或者格式轉換,以便分析人員使用。
  • 威脅情報分析

情境設定與分析。

  • 分發

TLP:紅綠燈協議,用于決定誰可以共享情報的規則。

  • 新的威脅情報規劃:可采用PDCA方法進行閉環修正。

2. 隱藏關卡

讓我們回顧一下最被廣泛接受的一個威脅情報定義,即Gartner的定義““威脅情報是基于證據的知識,包括場景、機制、指標、含義和可操作的建議。這些知識是關于現存的、或者是即將出現的針對資產的威脅或危險的,可為主體響應相關威脅或危險提供決策信息。” 原文為“Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard.”

我們注意到上文中在定義威脅情報時提到“提供決策信息”,在威脅情報生命周期中,威脅情報在分發后,回到了情報規劃,這中間發生了什么,為什么要回到情報規劃?關鍵詞在“決策”二字。

威脅情報被應用于決策,并付諸行動從而產生結果和反饋,該反饋帶有行動結果和預期結果的差異,這個差異即是威脅情報價值的評價,并產生新的威脅情報需求,用以修正前一期威脅情報的偏差,或者提供補充。隱藏關卡就是:決策、行動、評價與反饋

  • 決策:決定牽制的時機、手段,是否反擊等。
  • 行動:根據決策執行響應的牽制活動。例如激活防火墻規則對惡意IP地址進行攔截;將惡意IP地址信息導入IDS進行持續觀察等。行動應基于有計劃的預案。同時,行動也是PDCA重點對象之一。
  • 評價與反饋:根據牽制活動的實際效果進行評價,并反饋到威脅情報組織。

3. 分析示例

我們以金融業常見的威脅案例來說明威脅情報的各個階段,以及隱藏關卡:

案例背景(背景知識參見:https://xz.aliyun.com/t/2037)-在金融行業,最常見的一個攻擊即是釣魚網站,面對釣魚網站的威脅,帶來潛在的客戶損失從而進一步造成企業聲譽下降,企業需要進行必要的響應。

  • 威脅情報規劃

基于釣魚網站對企業的危害程度,決定對釣魚網站發現、處置的投資,以及發現時效性需求(通常是最重要的SLA之一)等。

  • 威脅情報收集

利用爬蟲技術監測網頁變動,監測域名注冊是否有相近域名出現,等等。

  • 威脅情報處理

對相似域名進行網頁自動化識別,需要使用到自然語言處理(NLP)、圖片自動化比較等大數據技術。并對自動化報出的高相似網站進行人工判讀。

  • 威脅情報分析

在該階段,企業需要研究釣魚網站實施者的意圖,例如:惡作劇;技術學習;經濟利益等等,不一而足。

在該階段,企業需要研究釣魚網站實施者能力,例如:當被關停后,攻擊者還會出現在哪里,需要多少時間發布一個或多個新的釣魚網站。

  • 分發

將釣魚網站情報分發到相應團隊。

  • 隱藏關卡:決策、行動與反饋

針對釣魚網站,無論攻擊者意圖如何,由于釣魚網站即使未造成有形的經濟損失,其對企業聲譽即無形資產也會造成損失,因此最終都應當將其關停。而關停的時機則可以根據實際情況做出不同決策。

  • 新的威脅情報規劃

通過對以上環節進行總結,修正疑似釣魚網站發現能力、處理和分析能力。

通過示例,我們可以看見威脅情報生命周期中的隱藏環節,而這一環節恰恰是威脅情報的價值體現。決策和行動,才是威脅情報生命之花的焦點。如果無法將“知”用于“行”,那么“知”也就是失去了價值和意義。

五、分發與分享

威脅情報需要通過分發才能實現其價值,通過分享實現增值。我們如何進行分發和分享的管理呢?

1. 網絡威脅情報分享現狀

在信息時代,企業和組織面臨越來越高的網絡安全風險,各種網絡防護策略和技術也隨著風險的增加而不斷被創造出來或者改進,以抵御被入侵的可能性。威脅情報的應用即是這些新的網絡防護方案之一,是“知己知彼”的典型應用。威脅情報方案的出現,為企業應對網絡威脅注入了一股新鮮血液,應用企業和組織在防護、響應外部威脅能力上獲得了明顯的提高。然而,當前企業對網絡威脅情報的應用模式一般是廠商+威脅情報商+縱深防御的組合,即仍然是單個企業與外部威脅作斗爭,雖然也有企業間或行業內聯合共防的案例,但規模相對較小,且處于探索階段,系統機制有待提高。

在很多國家存在著跨行業的威脅情報組織,CERT就是這樣的組織結構,例如:US-CERT、CN-CERT等。由于CERT的跨行業特性,其分享的網絡威脅情報具有一定的普適性,從而在針對特定行業的網絡威脅情報上不夠豐富和細致。由此,在網絡威脅情報分享較為領先的地區出現了基于行業的ISAC(情報分享和分析中心)組織,為網絡安全防護帶來了新的思路。

2. 威脅情報分享的驅動力

PEST分析常用于宏觀環境分析,PEST是political, economic, socio-cultural and technological的縮寫,指的是指政治、經濟、社會和技術(見下圖)。

我們可以從驅動力(經濟效益)、技術可行性(技術環境)、文化(行業、社會文化環境)、政策(政治基礎)層面進行逐一分析。

E:經濟效益

行業威脅情報分享的驅動力在于其產生的經濟效益。如果我們不確定行業內的威脅情報是否得到充分、有效的分享,假設行業內的企業具有高度一致性,那么對于任何企業而言,其受到特定攻擊的概率是隨機的,但如果考慮到威脅者針對特定目標的攻擊可能是先易后難,存在練習和積累經驗的過程,那么防護能力弱的企業更容易被攻擊。如果假設情報可以得到充分、有效的分享,我們將會看到行業內任一企業受到攻擊時,其他企業均能獲得告警,從而進行早期針對性防護,降低行業損失,同時目標企業可能得以避免失陷的可能性,而這種可能性對于行業內的任何企業而言,理論上是機會均等的。

T:技術環境

威脅情報分享需要技術環境。在行業內,IT更可能采用相同或相似的技術架構,包括硬件和軟件架構,從而“一榮俱榮、一損俱損”的可能性更高,因此威脅情報存在廣泛的技術基礎。

目前,威脅情報表達、交換的標準已經被廣泛使用,威脅情報的共享有著良好的技術基礎,市場上也存在提供分享、管理威脅情報的專業廠商,為威脅情報分享提供了快速部署的可能性。

S:社會文化基礎

不同的行業有不同的分享文化基礎,例如:是否具有行業協會,行業中是否有“領頭羊”來組織大家進行分享,各個企業分享的意愿,是不盡相同的,因此,要進行威脅情報分享,需要建立一個“分享文化”的氛圍,鼓勵分享行為,并進行適當的激勵以促進企業共享的意愿。

P:政治環境

企業可能存在于弱監管到強監管的不同階段,例如:金融業網絡安全一般具有強監管的特征,其監管單位針對行業網絡安全制定了更高的標準,同時也具有對分享的內容范圍進行干預的責任和能力,而制造業的IT和金融業的監管要求相比則要弱一些,因此分享可能更多的需要行業的“領頭羊”。

3. 應用紅綠燈協議

紅綠燈協議(TLP)是一組確保敏感信息和合適受眾共享的標記。TLP借鑒了交通燈信號,以紅、黃、綠、白四種顏色來指示接收者對應信息的預期共享邊界,每條信息對應的顏色一般會以標簽形式隨信息傳輸。

  1. 紅色:對應的信息內容只允許定向共享和傳遞至指定的唯一用戶,且該用戶不應對外再次共享該信息。
  2. 黃色:對應的信息內容允許向平臺和體系內指定的用戶組共享和傳遞,且允許在該用戶組內部進行共享,但不應對用戶組之外的對象再次共享。
  3. 綠色:對應的信息內容允許向平臺和體系內的所有用戶共享和傳遞,并且允許用戶再次向更廣泛的關聯平臺或組織共享。
  4. 白色:對應的信息內容在共享和傳遞上不受任何限制,對所有人或組織完全開放。

4. 紅綠燈協議應用示例

某行業經過價值分析和紅綠燈協議分析,制定了如下的行業規則,進行網絡威脅情報分享。

紅色:

  1. 企業特有資產信息,僅由企業內部使用,避免被攻擊者獲得用于攻擊
  2. 企業資產漏洞,僅由企業內部使用,避免被攻擊者獲得用于攻擊

黃色:

  1. 行業應用軟件同質化,分享漏洞信息有助于行業軟件提升
  2. 針對行業的惡意威脅源信息,有利于行業內建立共同的防御機制

綠色:

  1. 通用惡意軟件信息,可協助消除傳播源,降低被攻擊風險
  2. 針對行業的惡意威脅源信息,有利于行業內建立共同的防御機制

白色:

  1. 公開的僵尸網絡信息,可協助消除傳播源,降低被攻擊風險
  2. 公開的惡意軟件信息,可協助消除傳播源,降低被攻擊風險
  3. 公開漏洞信息,可協助消除傳播源,降低被攻擊風險

六、走向成熟應用

威脅情報自出現以來,已經被越來越多的企業所采用,那么企業的威脅情報能力如何評估呢?相信不少應用了威脅情報的企業也想知道自己的現狀,以便指定恰當的目標。

從應用能力看,企業對威脅情報的應用分為消費級、融合級、聚合級、優化級和自適應級。以下讓我們分別來看一下處于各個級別的企業具有的特征。

1. 消費級

處于消費級的企業購買商業威脅情報,將商業威脅情報應用于威脅發現設備(IDS)、威脅阻斷設備(防火墻、WAF)或威脅發現與阻斷的組合應用(惡意軟件查殺工具,利用HASH類數據),處于該階段的威脅情報應用特征是用于設備集成。由于這類設備通常對效率有較強的要求,因此采用威脅情報的數量不能太多,否則將會帶來設備的性能下降從而影響用戶體驗。對處于該階段的用戶建議是采用高信譽值、高更新率的威脅情報源。

2. 融合級

處于該階段的用戶,能夠將威脅情報與企業實況相結合,是做到“知己知彼”的起點。例如:企業能夠對信息資產以及信息資產的弱點(漏洞、弱配置)進行發現,結合外部威脅(基于POC的漏洞情報)。處于融合級的企業特征是加入自有情報,使得威脅情報的應用更加豐富和靈活。處于融合級的企業通常已經部署SOC/SEIM,或者是態勢感知系統,他們能夠對網絡安全進行高質量的管理。處于融合級的企業,通常對威脅情報的數量也比較關注,他們認為即使是低信譽值的情報,也能夠為網絡安全分析與決策帶來價值。

3. 聚合級

處于這一級別的企業能夠對引入的多源商業情報進行聚合,并具有情報質量分析和管理能力,對請情報源進行綜合質量評估。由于聚合級引入的是多個高質量威脅情報源,因此對威脅情報的分析能力要求處于相對較初級階段。處于聚合級的企業特征是對網絡安全高度重視,他們認為威脅的潛在存在是難以接受的。

4. 優化級

處于這一級別的企業,不僅能夠對優質的多源情報進行聚合,同事具備開源情報進行的收集、分析和應用能力,由于開源情報中存在的噪音數據遠高于商業情報,因此處于優化級威脅情報能力的企業必須能夠有效消除噪音,降低誤判,尤其是漏判的概率。處于優化級的企業特征是具有優良的情報分析團隊。

5. 自適應級

處于這一級別的企業,其威脅情報應用能力可以做到自動化閉環應用,即威脅情報質量高度可信,可以與安全設備互動,形成無需人工干涉的情報生產、情報消費的閉環,情報生產到消費的時間周期大大縮短。處于這一階段的威脅情報特征是閉環、低干涉、低延時、高質量。

縱然威脅情報的消費級、融合級、聚合級、優化級和自適應級,每一級能力都有所上升,然而筆者認為企業在實踐應用中,選擇適合自己的等級目標尤為重要,這可以讓企業在預期的費效比上構建自己的威脅情報能力,是為“量體裁衣”。

七、結語

“網絡空間安全領域最慘痛的戰役,是戰役已經結束了,我們甚至都不曾察覺戰役曾經發生過。”威脅情報帶來的“知彼”能力,讓我們可以重新定義網絡安全防御框架,讓網絡安全從此擁有引航者,進而向主動式安全進化。

 

發表評論