12位专家解读威胁情报新技术和发展趋势|网络安全分析与情报大会
雷锋网编者按:据信息化咨询研究机构 Gartner 推测,未来三年,企业的安全预算将有60%投入“检测和响应”,而非单纯用于防御。未来三年内,全球大型企业在搭建安全架构时,使用威胁情报的企业比例将从现在的1%增长到15%,这意味着能够帮助企业识别安全威胁,并迅速判定最优应对方案的威胁情报将变得越来越重要。
那威胁情报领域目前有哪些新的技术和发展趋势?目前的威胁情报面临哪些问题?行业内如何通过协作来抵抗黑产?11月29日,在由微步在线主办的首届安全分析与情报大会中,来自威胁情报领域的专家、企业带来了他们对行业技术与发展趋势的多个议题,雷锋网 (公众号:雷锋网) 在现场整理了部分议题,与读者共飨。
国家网络安全与威胁情报共享
演讲者:严寒冰 ,CNCERT 运行部主任
从建设国际互联网治理体系,到保障企业信息化建设和数字化转型,都离不开安全智能化,而有效应用威胁情报正是实现安全智能化的关键。
威胁情报能力是十三五国家信息化规划中,网络威胁监测预警的核心能力之一。严寒冰通过对比中美两国的威胁情报体系来呈现目前我们所面临的问题,并介绍了目前我国网络安全相关政策,以及面向国内和国际的网络安全威胁信息共享的现状。
为什么有些威胁情报用户体验不好?
演讲者:金湘宇,烽火台安全威胁情报联盟创始人
随着威胁情报在业内越来越广泛地被应用,从业者成立威胁情报联盟、打造威胁情报生态圈、制定威胁情报标准已经成为国内外的必然趋势。那么,国内的威胁情报联盟发展现状如何,未来又将会带给我们怎样的前景呢?
金湘宇(NUKE)对威胁情报国内外当前的最新应用情况的研究进行了分享,并介绍了国际上的威胁情报相关体系、产品、标准等的最新发展情况和领先实践。但是NUKE认为,威胁情报虽然是安全体系、产品的必由之路,却只是未来整个安全防护体系进化演进中的第一步。
云端战争:在云计算的环境中如何进行威胁情报的挖掘
演讲者:邵江宁,微软中国首席安全顾问
当云计算、大数据、人工智能正在向各个行业进行渗透时,如何来保证云上的安全?邵江宁介绍了微软在云上做安全响应的方法,以及在安全响应中如何获得了有价值的安全威胁情报。
他认为,要做完整的攻防对抗需要很多细致的安全工作,特别是利用大数据分析的方法,在分析的过程中会产生大量有用的安全威胁情报,从而提高整个平台对未知威胁的防御效率。
情报驱动的安全智能
演讲者:微步在线CEO 薛锋
薛峰认为,未来自动化、共享才是威胁情报的发展方向。
企业买了10家厂商的100台设备,买了这家的杀毒、那家的防火墙,难道还能一台一台地登陆操作,将黑客信息一条条复制到这100台设备上么?未来肯定会出现安全的智能化,进行自动操作。
薛锋以亚马逊的智能音箱Echo为例,作为家居智能化里有一个人机交互的入口,智能音箱把原来冰箱、空调、电视联网,只需要下达指令就可以开始运作。
他希望未来TIM(威胁情报管理平台)就是所有安全系统的管家,成为安全智能化里人机交互的入口。
打造由情报分析驱动的 iSOC
演讲者:郑聿铭,Splunk 高级售前工程师
2017年,勒索软件成为了全民热议话题,甚至也可说是全球热议话题。全球共有150多个国家遭到病毒“永恒之蓝”的攻击,校园网、公安网、医疗网等专线专网成为被攻击的主要对象。在这一波一波勒索病毒爆发的浪潮之中,安全威胁仍然是每个人头顶上挥之不去的阴云。
郑聿铭认为,对勒索软件这种典型 APT 攻击的防范,要变被动为主动,应该利用安全情报与大数据分析来构建新一代的智能iSOC中心,主动追踪安全威胁。
基于外联行为分析的失陷检测
演讲者:张嵩,华泰证券安全总监
在态势感知的宏观要求下,打造以人为中心的自主安全分析能力,是企业适应内、外部威胁环境,实现主动猎捕、响应和对抗的基础。
建立安全分析能力不等于简单部署一套产品,就如学习一门课程只是掌握一项能力的入门。能力需要积累和演变,“情报驱动”大大地催化了安全分析能力,提升感知和理解威胁的效率,从数据湖中快速找出应对优先级最高的威胁。
张嵩在现场主要分享了以下几点:
· IOC只是情报应用的开始,想超越就必须要先了解IOC的局限性;
· 在API经济学大背景下,使用多源情报API和企业自身情报库实现自动化出站流量分析,猎捕可疑外联(包括攻陷)的迹象;
· 为实现自主安全分析能力,企业应打造基于开放架构、API化机读情报、共享企业内平台组件资源的“产品”,安全分析能力产品与企业计算、存储、安全基础设施、数据和AI能力充分解耦合;
多维度实现实时防御和超前防御
演讲者:杜建峰,Palo Alto Networks 资深安全顾问
威胁情报与其他企业安全系统、平台的结合一向是被行业关注的重点,而相对地,企业安全系统、平台能够使用威胁情报来让自身具有主动防御的能力,利用数据驱动做到安全智能化。
当前威胁发展有何特点?随着威胁发展的变化,威胁情报采集分析的需求出现了哪些新趋势?如何基于智能威胁云平台构建概念体系、进行技术分析?基于平台的威胁情报态势感知分析又需要进行怎样的具体实践?
杜建峰以上述问题为起点,探讨了威胁情报在态势感知的基础上怎样进一步提升安全技术防御手段,多维度实现安全实时防御和超前防御理念。
从防御到检测的企业安全之路
演讲者:纪舒瀚,汽车之家安全负责人
随着互联网用户越来越多,安全形势也愈演愈烈。 越来越多的企业也逐渐的重视安全,现阶段很多中型互联网公司,甚至A轮以上的创业公司也开始组建自己的安全团队。
各家业务不同导致体系建设的出发点不同,针对APT攻击,单纯传统防御已经无法满足需要。针对博彩、勒索软件等黑产行为,如何通过多角度的监控、策略联动、自动化阻断更有效的能够抵御新型攻击,为企业更好地保驾?
纪舒瀚以自己组建团队的经历出发,分享了初创团队需要什么样的人?如何粗线条的控制救火局面?如何通过主动监测,发现APT行为实例。
威胁情报在金融领域的探索实践
演讲者:杨阳,中国银联电子支付研究院、电子商务与电子支付国家工程实验室安全架构师
金融是威胁情报发挥作用的主要领域之一,有效应用威胁情报能够变被动防护为主动防御,更有效地对网络威胁进行检测与响应。
银联作为中国银行卡产业的执牛耳者,在金融行业的地位举足轻重,不仅自建基于威胁情报的检测与响应体系,在对资产的梳理划分、统计管理上也有长足的实践经验。杨阳带来了关于银联威胁情报体系的建设、以及内网安全、边界安全、业务安全的分享。
从信息到情报,从溯源到协同
演讲者:谢涛,天际友盟副总裁
威胁情报在国内火了三年,无论是厂商还是客户,对威胁情报都有自己的认识和了解,并开始实践如何运用威胁情报。在国内很多会议、论坛、讲座上,威胁情报都被讲了很多次。
然而,虽然大家在威胁情报的大概念已经有了很多共识,但是在许多细节上,却仍然有着不同的理解。这使得不同厂商之间、厂商与客户之间、不同客户之间对什么才是威胁情报、需要什么样的威胁情报、威胁情报能干什么、威胁情报怎么用等等问题,依旧有着很多模糊不清的地方。
基于天际友盟这些年在威胁情报实践中踩过的坑,谢涛通过梳理这些问题,希望能够形成新的共识,并明确未来威胁情报的应用发展方向。
以上演讲来自首届网络安全分析与情报大会,雷锋网编辑整理
。