2019年情報驅動的網絡安全新生態環境.pdf

1、劉廣坤天際友盟 技術總監情報驅動的網絡安全新生態環境2目錄目錄 威脅情報簡介 威脅情報相關標準及應用 威脅情報共享生態研究情報驅動的網絡安全新生態環境3情報的定位與價值數據信息情報決策數據維度：原始數據，未做加工，數據量大，利用難度大、應用頻次低信息維度：基于數據，初步加工，準確性差，時敏性不高，多作為參考情報維度：深度加工，準確性高，時效性強，與場景貼合，應用頻次高決策維度：多維結合，最終判斷，處置策略，需實際落地，容錯率極低網絡安全信息的四個應用維度4威脅情報的由來情報安全情報威脅情報相關概念概念起源“威脅情報是基于證據的知識，包括場景、機制、指標、含義和可操作的建議。這些知識是關于現存的

2、、或者是即將出現的針對資產的威脅或危險的，可為主體響應相關威脅或危險提供決策信息?！?Gartner，2013年。安全情報是包含漏洞、資產、威脅、風險、運行和事件等維度的安全知識集合。最早源于軍事情報領域，概念與技術成熟后被引入網絡與信息安全領域，與網絡安全態勢感知理論密切相關。威脅情報是信息對抗的產物，是出于掌握對手動態的需求，對威脅的具現化描述?？珊唵卫斫鉃椤爸恕?。安全情報是威脅情報概念的延伸，是運用威脅情報的理念與技術，對網絡安全態勢感知OODA過程所需要的各類安全知識的綜合運用，以支撐組織內部的所有安全活動。概念定義概念理解與延伸5從威脅情報到安全情報國外主流安全廠商在安全情報推廣和

3、應用方面的舉措威脅溯源威脅行為檢測風險資產監測失陷主機檢測資產發現漏洞監測漏洞修補態勢感知自動化響應調查取證威脅反制漏洞驗證業務風控通報預警樣本分析威脅情報資產情報漏洞情報事件情報6安全情報所的內容漏洞木馬軟件蠕蟲軟件病毒軟件勒索軟件其他惡意軟件Tor節點僵尸網絡C&C節點掃描器節點惡意攻擊威脅惡意站點威脅惡意軟件威脅黑客團伙威脅釣魚網站色情站點賭博站點DGA域名APT攻擊被黑網站垃圾郵件惡意郵件惡意威脅資產發現風險資產資產變更資產IP信譽域名信譽URL信譽Whois信息IP Whois信息域名Whois信息IP地理位置IDC節點移動網IP教育網IP基礎信息社會輿情安全資訊其他安全信息其它信息

4、失陷主機事件DDoS攻擊事件數據泄露事件病毒木馬事件Web攻擊事件漏洞利用事件事件信息7以情報促進安全協同情報共享與協同應用安全終端安全數據安全網絡安全事件處置風險管理犯罪防止數據分析NGFWIDS/IPS流量分析上網行為管理抗DDoSWAF網站安全監測EDR防病毒隱私保護DLPSOC/iSOC態勢感知SOAPA安全通報應急響應/SRC資產管理漏洞管理品牌保護業務風控調查取證8目錄目錄 威脅情報簡介 威脅情報相關標準及應用 威脅情報共享生態研究情報驅動的網絡安全新生態環境9了解國外標準STIX是用于表征網絡威脅信息標準化溝通的語言CybOX（Cyber Observables eXpressi

5、on）提供了一個通用結構，用于表征企業安全各運作區的網絡觀察對象。網絡觀察對象可以是動態的事件，也可以是靜態的資產TAXII是一系列關于交換威脅情報信息的技術規格，可幫助企業與其合作伙伴共享信息NIST提出了SCAP系列標準，全稱為Security Content Automation ProtocolMITRE致力于標準與框架技術研究，提出了知識庫模型和框架ATT&CK，語言標準CAPEC、CCE與CWE，結構化命令標準CPE與CVE，結構化語言標準STIX、CybOX與MEAC，開放語言標準OVAL，以及應用層協議標準TAXII等。標準的目的：1、共享，2算機自動化操作SCAP支持自動化配

6、置、漏洞和補丁檢查、安全測量和技術控制的多用途框架語言類枚舉類度量類XCCDFOVALOCILCVECCECPECVSSCCSS描述評估內容和評估方法定義評估對象或配置項的格式、并提供相應庫提供對評估結果進行量化評分的度量方法MITRE10NIST-SP 800-150(DRAFT)信息共享流程星型分層級的事件報告機制事件響應全生命期網絡攻擊生命期11讓情報流動起來白色：對應的信息內容在共享和傳遞上不受任何限制，對所有人或組織完全開放TLP是一組確保敏感信息和合適受眾共享的標記。TLP借鑒了交通燈信號，以紅、黃、綠、白四種顏色來指示接收者對應信息的預期共享邊界，每條信息對應的顏色一般會以標簽形

7、式隨信息傳輸綠色：對應的信息內容允許向平臺和體系內的所有用戶共享和傳遞，并且允許用戶再次向更廣泛的關聯平臺或組織共享黃色：對應的信息內容允許向平臺和體系內指定的用戶組共享和傳遞，且允許在該用戶組內部進行共享，但不應對用戶組之外的對象再次共享紅色：對應的信息內容只允許定向共享和傳遞至指定的唯一用戶，且該用戶不應對外再次共享該信息12行業級威脅情報共享架構公共組織行業中心（SIC級聯）企業中心（SIC級聯）企業中心（SIC級聯）企業中心（SIC級聯）企業中心（SIC級聯）上傳/下達上傳/下達上傳/下達上傳/下達商業情報服務商商業情報服務商公共組織外部情報分發至行業中心釣魚網址惡意軟件惡意郵件色情、

8、賭博勒索軟件C&C節點proxy代理木馬軟件僵尸網絡tor節點垃圾郵件掃描器節點SIEM/SOC安全設備13國內標準的發展規范講威脅情報分為三個域：對象、方法和事件模型細分為八個組件：可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施GB/T36643-2018信息安全技術 網絡安全威脅信息格式規范的發布和施行，標志著我國威脅情報共享進入標準化、規范化的時代2018 年 10 月 10 日，信息安全技術 網絡安全威脅信息格式規范 GB/T36643-2018發布2018年12月28日，信息安全技術 網絡攻擊定義及描述規范GB/T 37027-2018相繼發布網絡安

9、全威脅信息交換相關標準，已經在編制GB/T36643-2018信息安全技術 網絡安全威脅信息格式規范14威脅情報INSIDE隨著GB/T36643-2018的發布和施行，先知先覺的安全廠商已經開始利用Inside機制向最終客戶提供服務，并完成了符合國標的接口方式的驗證工作威脅IOCs觸發告警關聯規則庫結合采集的日志告警追溯告警真實性確認威脅溯源事件工單響應處置威脅情報服務商防護、檢測、分析TI Inside15目錄目錄 威脅情報簡介 威脅情報相關標準及應用 威脅情報共享生態研究情報驅動的網絡安全新生態環境16國外威脅情報共享的情況在國外，威脅情報共享已經形成專業性、行業性的緊密合作。ISAC已

10、經成為行業內威脅情報交換的重要渠道。美國FS-ISAC（金融業）目前橫跨銀行、證券、保險、票券、期貨等各業別金融業總計加入業者，約7000金融機構。美國目前已具有約20個行業ISAC。主要分布在金融、交通、電力、通信、航空、衛生、能源、水利等擁有大量關鍵信息基礎設施的重點行業。歐盟:FI-ISAC日本:F-ISAC韓國:KS-ISAFS-ISAC，1999年成立美國IT-ISAC，2001年成立于日本17國外威脅情報共享的格局威脅情報整體架構威脅情報體系美國境內網絡聯邦政府網絡軍事網絡國土安全部國家網絡通信整合中心國土安全局國家威脅作戰中心威脅情報交換威脅情報分析威脅情報分析任務：威脅感知、分

11、析攻防研究體系任務：樣本收集、分析國家情報總監辦公室情報系統應急響應中心國防部國防網絡犯罪中心國土安全部美國網絡應急響應中心聯邦調查局網絡調查聯合任務組局部威脅分析18威脅情報共享的典型應用場景核心系統：Einstein（愛因斯坦）系統關鍵技術：1）公網接入點捆綁；2）攻擊流量特征分析、提??；3）特征全網同步技術；4）可機讀數據共享技術；5）海量日志智能分析技術；輔助技術：全球DNS數據庫、Whois信息庫、親緣性分析技術等核心系統：Tutelage系統輔助系統：Turmoil、Turbine等關鍵技術：1）截網信號情報獲取，攻擊特征分析；2）特征提取技術；3）特征全網同步技術；4）可機讀數據

12、共享技術；5）海量日志智能分析技術；輔助技術：全球DNS數據庫、Whois信息庫、非法監控數據、親緣性分析技術等共性輔助技術：全球DNS數據庫、Whois信息庫、親緣性分析技術等共性關鍵技術：特征分析；特征提取技；特征全網同步技術；可機讀數據共享技術；海量日志智能分析技術NSA推動的態勢感知體系技術能力DHS推動的態勢感知體系技術能力19歐盟在威脅情報共享方面的發展歐盟：“PROTECTIVE”項目“PROTECTIVE”項目旨在設計一套基于態勢感知的主動風險管理體系框架，并在歐盟內部的科研教育網中進行部署實踐和效果驗證。該計劃的特色之處在于：態勢感知與主動風險管理的結合；運用“知識交互”理念

13、促進威脅情報的共享。20國內威脅情報共享的情況我國威脅情報共享的緊密合作已經出現，但廣泛的全面、緊密、專業化合作仍待發展2015年10月，烽火臺安全威脅情報聯盟創立，旨在以安全威脅情報為核心，打造平等互惠的新生態圈模式，共謀共策，推進威脅情報的標準制定及應用推廣。2017年9月，威脅情報交換聯盟成立于由ISC互聯網安全大會發起成立，旨在推動威脅數據交換共享。2018年4月，國家互聯網應急中心成立威脅情報共享工作組，工作組包括30多家成員單位。2019年3月，上海市信息安全行業協會發起成立了由互聯網、金融科技等覆蓋全行業企業組成的“威脅數據共享聯盟”。21威脅情報共享的挑戰01 政策支持情況？法律法規的要求？是否有統一監管？是否有統一協調？P02 參與的組織各自的收益？行業整體收益？對社會收益的貢獻？E03 情報共享的意識基礎？是否存在行業級協調組織？情報共享的社會資源如何？S04 情報供應商是否足夠成熟？是否存在可能的共享技術方案？情報的生成、分析技術？TTHANKS