今日頭條
官方微信
官方抖音
資訊頻道一、威脅情報國內外發展現狀
威脅情報(Threat Intelligence),是指通過網絡測繪、大數據等方式獲取收集的漏洞、攻擊行為等威脅知識的集合及可操作性建議,可用于還原已發生的攻擊、預測未來可能發生的攻擊、輔助用戶選擇更合適的應急響應策略。 (一)國際政府積極引導,標準成果多樣發展,產業格局初步形成 以美國為代表的網絡強國高度重視威脅情報技術的發展。政策方面,美國出臺多份政府令等文件引導建立威脅情報共享機制,成立多個專門機構促進政企間、行業間的威脅情報共享與分析利用,實施三期愛因斯坦計劃,建有高水平的態勢感知系統。標準方面,各國積極制定威脅情報標準,國外成熟的威脅情報標準有網絡可觀察表達式(CyboX)、指標信息的可信自動化交換(TAXII)、技術和通用知識(ATT&CK)等。其中,ATT&CK是2019年RSA大會和Gartner安全與威脅管理會議的關注熱點,更結構化地描述網絡攻擊手法,支撐智能化學習攻擊知識。國際威脅情報標準趨向于構建更細粒度、更易共享的知識模型和框架。產業方面,威脅情報共享是應對復雜網絡威脅形勢、完善傳統安全防護系統的重要手段之一,國外著名安全廠商FireEye、CrowdStrike、Flashpoint、Symantec、IBM等推出了威脅情報服務和解決方案,建設有X-Force Exchange等多個威脅情報共享平臺。 (二)我國政府積極布局,標準成果同步跟進,產業生態有待提升 我國十分重視威脅情報發展,政策方面,習近平總書記在2016年419講話中提出“建立政府和企業網絡安全信息共享機制”,《網絡安全法》要求有關部門、網絡運營者、研究機構、網絡安全服務機構等之間共享網絡安全信息,“等保2.0”中部署威脅情報檢測系統是合規的必需,工信部等十部門聯合發布的《加強工業互聯網安全工作的指導意見》中提出要建設安全威脅信息庫等基礎資源庫,但新政策引導下的威脅情報技術應用尚處在起步階段。標準方面,2018年我國發布威脅情報國家標準《信息安全技術 網絡安全威脅信息格式規范》(GB/T 36643-2018),與國際最新標準相比,對攻擊的描述不夠細化,難以支撐智能化分析。產業方面,奇安信、奇虎360、微步在線、安天等廠商積極投入到威脅情報相關產品的研發和生態建設中,建成多個頗具影響力的威脅情報共享分析平臺,對外提供威脅情報服務,但情報收集與分析能力較國際水平存在差距,情報共享存在壁壘。此外,我國通過政企合作建有國家級網絡空間威脅情報大數據共享開放平臺CNTIC,當前面臨多渠道威脅情報難以充分匯聚等問題。 二、威脅情報在我國工業互聯網安全中的應用前景 當前,網絡安全風險不斷向工業領域轉移,工業互聯網正在成為網絡安全的主戰場。傳統被動式的防御手段以及針對單點的攻擊取證與溯源技術難以應對高級持續性威脅(APT)、新型高危漏洞等復雜安全威脅。利用威脅情報技術能夠收集整合分散的攻擊與安全事件信息,支撐選擇響應策略,支持智能化攻擊追蹤溯源,實現大規模網絡攻擊的防護與對抗,進而構建融合聯動的工業互聯網安全防護體系。 一是威脅情報賦能工業互聯網安全事件管理與響應。按照威脅情報標準對安全信息與安全事件進行記錄,便于信息共享、關聯分析以及事件響應。根據威脅情報反映的工業互聯網安全態勢,有助于預判后續可能的安全風險,使得響應網絡威脅的速度更快,準確度更高,防范能力更強。 二是威脅情報支持工業互聯網攻擊分析與溯源。威脅情報技術可用于分析攻擊手法還原攻擊路徑。結合關聯威脅情報,可以對攻擊方進行組織畫像和溯源,利用威脅情報構建攻擊知識庫,能夠實現對APT攻擊的智能化攻擊意圖推理及樣本變種自動化跟蹤。最新威脅情報框架ATT&CK支持引入知識圖譜等AI技術,支撐工業互聯網攻擊智能分析。 三是威脅情報支撐工業互聯網安全防護體系建設。主動防御方面,利用威脅情報制定和組織攻擊計劃,能規避可能的防御手段。被動防御方面,基于威脅情報研究攻擊路線,可探索應對抗檢測手段的新方法。在工業互聯網設備層,集成威脅情報快速識別攻擊行為的優勢,能實現工業互聯網設備輕量化攻擊檢測。對工業互聯網企業,可利用威脅情報模擬攻擊,測試和評估其防護系統的檢測和防御效果,指導制定安全增強方案。 三、威脅情報在我國工業互聯網安全中的應用挑戰 在工業互聯網應用威脅情報技術面臨收集、共享、分析以及利用等方面的挑戰。 一是工業互聯網對象海量異構,威脅情報收集難度升級。當前威脅情報主要來自網絡爬蟲、針對特定屬性漏洞掃描以及共享交換。而網絡爬蟲和漏洞掃描不能滿足威脅情報對于準確性、可靠性和實時性的高要求。加上工業互聯網邊緣連接對象海量異構,相較于傳統互聯網威脅情報收集難度升級。 二是威脅情報共享不足,難以支撐關聯事件的分析。當前工業互聯網威脅情報共享機制尚未成熟,企業間、行業間的威脅數據未形成標準格式的威脅情報,加上共享渠道尚未打通,威脅信息難以交互同步。加上不同組織間存在利益競爭,很難將各自掌握的威脅情報信息和研究成果完全分享。 三是工業互聯網威脅情報利用不足,基于情報的防御和響應機制有待完善。勒索病毒在工業系統的泛濫表明傳統互聯網安全威脅也能對工業系統造成影響。 “永恒之藍”爆發兩年多以后,工業主機仍然頻頻遭受該勒索病毒攻擊,可見當前工業系統尚未做好對威脅情報的利用。 來源:工業信息安全產業發展聯盟
北京市公安局海淀分局備案號:11010802023656號