国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

威脅情報(bào)（Threat Intelligence），是指通過(guò)網(wǎng)絡(luò)測(cè)繪、大數(shù)據(jù)等方式獲取收集的漏洞、攻擊行為等威脅知識(shí)的集合及可操作性建議，可用于還原已發(fā)生的攻擊、預(yù)測(cè)未來(lái)可能發(fā)生的攻擊、輔助用戶(hù)選擇更合適的應(yīng)急響應(yīng)策略。

（一）國(guó)際政府積極引導(dǎo)，標(biāo)準(zhǔn)成果多樣發(fā)展，產(chǎn)業(yè)格局初步形成

以美國(guó)為代表的網(wǎng)絡(luò)強(qiáng)國(guó)高度重視威脅情報(bào)技術(shù)的發(fā)展。政策方面，美國(guó)出臺(tái)多份政府令等文件引導(dǎo)建立威脅情報(bào)共享機(jī)制，成立多個(gè)專(zhuān)門(mén)機(jī)構(gòu)促進(jìn)政企間、行業(yè)間的威脅情報(bào)共享與分析利用，實(shí)施三期愛(ài)因斯坦計(jì)劃，建有高水平的態(tài)勢(shì)感知系統(tǒng)。標(biāo)準(zhǔn)方面，各國(guó)積極制定威脅情報(bào)標(biāo)準(zhǔn)，國(guó)外成熟的威脅情報(bào)標(biāo)準(zhǔn)有網(wǎng)絡(luò)可觀察表達(dá)式（CyboX）、指標(biāo)信息的可信自動(dòng)化交換（TAXII）、技術(shù)和通用知識(shí)（ATT&CK）等。其中，ATT&CK是2019年RSA大會(huì)和Gartner安全與威脅管理會(huì)議的關(guān)注熱點(diǎn)，更結(jié)構(gòu)化地描述網(wǎng)絡(luò)攻擊手法，支撐智能化學(xué)習(xí)攻擊知識(shí)。國(guó)際威脅情報(bào)標(biāo)準(zhǔn)趨向于構(gòu)建更細(xì)粒度、更易共享的知識(shí)模型和框架。產(chǎn)業(yè)方面，威脅情報(bào)共享是應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)威脅形勢(shì)、完善傳統(tǒng)安全防護(hù)系統(tǒng)的重要手段之一，國(guó)外著名安全廠商FireEye、CrowdStrike、Flashpoint、Symantec、IBM等推出了威脅情報(bào)服務(wù)和解決方案，建設(shè)有X-Force Exchange等多個(gè)威脅情報(bào)共享平臺(tái)。

（二）我國(guó)政府積極布局，標(biāo)準(zhǔn)成果同步跟進(jìn)，產(chǎn)業(yè)生態(tài)有待提升

我國(guó)十分重視威脅情報(bào)發(fā)展，政策方面，習(xí)近平總書(shū)記在2016年419講話(huà)中提出“建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制”，《網(wǎng)絡(luò)安全法》要求有關(guān)部門(mén)、網(wǎng)絡(luò)運(yùn)營(yíng)者、研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間共享網(wǎng)絡(luò)安全信息，“等保2.0”中部署威脅情報(bào)檢測(cè)系統(tǒng)是合規(guī)的必需，工信部等十部門(mén)聯(lián)合發(fā)布的《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》中提出要建設(shè)安全威脅信息庫(kù)等基礎(chǔ)資源庫(kù)，但新政策引導(dǎo)下的威脅情報(bào)技術(shù)應(yīng)用尚處在起步階段。標(biāo)準(zhǔn)方面，2018年我國(guó)發(fā)布威脅情報(bào)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全威脅信息格式規(guī)范》(GB/T 36643-2018)，與國(guó)際最新標(biāo)準(zhǔn)相比，對(duì)攻擊的描述不夠細(xì)化，難以支撐智能化分析。產(chǎn)業(yè)方面，奇安信、奇虎360、微步在線、安天等廠商積極投入到威脅情報(bào)相關(guān)產(chǎn)品的研發(fā)和生態(tài)建設(shè)中，建成多個(gè)頗具影響力的威脅情報(bào)共享分析平臺(tái)，對(duì)外提供威脅情報(bào)服務(wù)，但情報(bào)收集與分析能力較國(guó)際水平存在差距，情報(bào)共享存在壁壘。此外，我國(guó)通過(guò)政企合作建有國(guó)家級(jí)網(wǎng)絡(luò)空間威脅情報(bào)大數(shù)據(jù)共享開(kāi)放平臺(tái)CNTIC，當(dāng)前面臨多渠道威脅情報(bào)難以充分匯聚等問(wèn)題。

當(dāng)前，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷向工業(yè)領(lǐng)域轉(zhuǎn)移，工業(yè)互聯(lián)網(wǎng)正在成為網(wǎng)絡(luò)安全的主戰(zhàn)場(chǎng)。傳統(tǒng)被動(dòng)式的防御手段以及針對(duì)單點(diǎn)的攻擊取證與溯源技術(shù)難以應(yīng)對(duì)高級(jí)持續(xù)性威脅（APT）、新型高危漏洞等復(fù)雜安全威脅。利用威脅情報(bào)技術(shù)能夠收集整合分散的攻擊與安全事件信息，支撐選擇響應(yīng)策略，支持智能化攻擊追蹤溯源，實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)攻擊的防護(hù)與對(duì)抗，進(jìn)而構(gòu)建融合聯(lián)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系。

一是威脅情報(bào)賦能工業(yè)互聯(lián)網(wǎng)安全事件管理與響應(yīng)。按照威脅情報(bào)標(biāo)準(zhǔn)對(duì)安全信息與安全事件進(jìn)行記錄，便于信息共享、關(guān)聯(lián)分析以及事件響應(yīng)。根據(jù)威脅情報(bào)反映的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)，有助于預(yù)判后續(xù)可能的安全風(fēng)險(xiǎn)，使得響應(yīng)網(wǎng)絡(luò)威脅的速度更快，準(zhǔn)確度更高，防范能力更強(qiáng)。

二是威脅情報(bào)支持工業(yè)互聯(lián)網(wǎng)攻擊分析與溯源。威脅情報(bào)技術(shù)可用于分析攻擊手法還原攻擊路徑。結(jié)合關(guān)聯(lián)威脅情報(bào)，可以對(duì)攻擊方進(jìn)行組織畫(huà)像和溯源，利用威脅情報(bào)構(gòu)建攻擊知識(shí)庫(kù)，能夠?qū)崿F(xiàn)對(duì)APT攻擊的智能化攻擊意圖推理及樣本變種自動(dòng)化跟蹤。最新威脅情報(bào)框架ATT&CK支持引入知識(shí)圖譜等AI技術(shù)，支撐工業(yè)互聯(lián)網(wǎng)攻擊智能分析。

三是威脅情報(bào)支撐工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè)。主動(dòng)防御方面，利用威脅情報(bào)制定和組織攻擊計(jì)劃，能規(guī)避可能的防御手段。被動(dòng)防御方面，基于威脅情報(bào)研究攻擊路線，可探索應(yīng)對(duì)抗檢測(cè)手段的新方法。在工業(yè)互聯(lián)網(wǎng)設(shè)備層，集成威脅情報(bào)快速識(shí)別攻擊行為的優(yōu)勢(shì)，能實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)設(shè)備輕量化攻擊檢測(cè)。對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)，可利用威脅情報(bào)模擬攻擊，測(cè)試和評(píng)估其防護(hù)系統(tǒng)的檢測(cè)和防御效果，指導(dǎo)制定安全增強(qiáng)方案。

在工業(yè)互聯(lián)網(wǎng)應(yīng)用威脅情報(bào)技術(shù)面臨收集、共享、分析以及利用等方面的挑戰(zhàn)。

一是工業(yè)互聯(lián)網(wǎng)對(duì)象海量異構(gòu)，威脅情報(bào)收集難度升級(jí)。當(dāng)前威脅情報(bào)主要來(lái)自網(wǎng)絡(luò)爬蟲(chóng)、針對(duì)特定屬性漏洞掃描以及共享交換。而網(wǎng)絡(luò)爬蟲(chóng)和漏洞掃描不能滿(mǎn)足威脅情報(bào)對(duì)于準(zhǔn)確性、可靠性和實(shí)時(shí)性的高要求。加上工業(yè)互聯(lián)網(wǎng)邊緣連接對(duì)象海量異構(gòu)，相較于傳統(tǒng)互聯(lián)網(wǎng)威脅情報(bào)收集難度升級(jí)。

二是威脅情報(bào)共享不足，難以支撐關(guān)聯(lián)事件的分析。當(dāng)前工業(yè)互聯(lián)網(wǎng)威脅情報(bào)共享機(jī)制尚未成熟，企業(yè)間、行業(yè)間的威脅數(shù)據(jù)未形成標(biāo)準(zhǔn)格式的威脅情報(bào)，加上共享渠道尚未打通，威脅信息難以交互同步。加上不同組織間存在利益競(jìng)爭(zhēng)，很難將各自掌握的威脅情報(bào)信息和研究成果完全分享。

三是工業(yè)互聯(lián)網(wǎng)威脅情報(bào)利用不足，基于情報(bào)的防御和響應(yīng)機(jī)制有待完善。勒索病毒在工業(yè)系統(tǒng)的泛濫表明傳統(tǒng)互聯(lián)網(wǎng)安全威脅也能對(duì)工業(yè)系統(tǒng)造成影響。 “永恒之藍(lán)”爆發(fā)兩年多以后，工業(yè)主機(jī)仍然頻頻遭受該勒索病毒攻擊，可見(jiàn)當(dāng)前工業(yè)系統(tǒng)尚未做好對(duì)威脅情報(bào)的利用。

來(lái)源：工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟