今日頭條
官方微信
官方抖音
資訊頻道新基建”是近期社會最為關注的話題,它包括了以5G、工業互聯網、物聯網、車聯網、人工智能、云計算等科技領域的國家數字化基礎設施建設,對信息化安全保障的需求進一步加大,這不僅是網絡安全產業的機遇,更是對網絡安全技術、產品、方案的創新提出了新的挑戰。 就新技術而言,威脅情報無疑是近年來網絡安全一個炙手可熱的領域,連續幾年的RSA大會,威脅情報都位于熱詞榜之列。隨著移動互聯網發展起來的威脅情報,已經在很多行業得到廣泛應用,SOC、流量檢測、態勢感知,甚至DNS防護都能和威脅情報緊密結合。威脅情報為這些傳統的安全產品賦能,讓它們變得更加精準和主動。 全面轉向ToB的騰訊,在威脅情報方面也開始輸出自己的能力。騰訊御見威脅情報中心,是一個涵蓋全球多維數據的情報分析、威脅預警分析平臺。作為騰訊威脅情報團隊的安全專家,譚昱向記者介紹了威脅情報的核心原理、應用價值,以及騰訊在威脅情報領域的優勢所在。 為什么需要威脅情報? 互聯網新技術新應用的發展,使得新的安全隱患不斷產生。一方面,企業缺乏專業的安全技術人員,另一方面,在網絡邊界日益模糊的今天,各種傳統的安全防御設施已經顯得越來越被動,尤其是安全風險的快速變化,使得企業的防御體系基本上滯后于新型攻擊的演變。 面對以上問題,譚昱表示,多變的安全風險無法只依靠安全人員的人力來應對,很多企業被海量的無效安全告警所淹沒,運營人員疲于奔命,難以發現真正有威脅的問題;同時企業的安全體系日益龐雜,告警方式也不統一,安全人員難以把握整體的安全態勢。對企業來說,威脅情報是專門為安全體系量身打造的一套工具,讓企業可以及時發現高風險,及時響應,查缺補漏。威脅情報的應用,就是通過對敵方的最新情報,及其動機、企圖和方法進行收集、分析和傳播,幫助各個層面的安全和業務成員保護企業關鍵資產。 譚昱表示,通過威脅情報,專業的安全人員可以實現以下積極的防御效果: ——采取積極地措施,而不是只能采取被動地措施,可以建立計劃來打擊當前和未來的威脅; ——形成并組織一個安全預警機制,在攻擊到達前就已經知曉; ——幫助提供更完善的安全事件響應方案; ——使用網絡情報源來得到安全技術的最新進展,以阻止新出現的威脅; ——對相關的危險進行調查,擁有更好的風險投資和收益分析; ——尋找惡意IP地址、域名/網站、惡意軟件hash值、受害領域。 在產業互聯網時代,尤其是“新基建”所帶來的數字化基建浪潮,威脅情報將在企業數字化轉型的安全保障中發揮著越來越重要的作用。 威脅情報是如何運作的? 有了威脅情報,如何用好更為關鍵。 Gartner的《全球威脅情報市場指南》提出了威脅情報的五個維度:覆蓋度、準確度、可執行性、可擴展性和專業化程度。譚昱認為,其中有兩個關鍵點很重要:除了準確性和覆蓋度外,威脅情報的關聯信息要明晰,例如威脅情報對應的病毒團伙的組織名稱,活躍時間,基礎設備,主要攻擊方向等。其次,威脅情報的具體應用場景,是與WAF相結合,還是零信任體系、數據安全等場景。 威脅情報本質上是一種數據知識,單獨使用價值并不明顯,需要和傳統的安全防護體系結合起來才有價值,起到“畫龍點睛”的作用。對此,譚昱做了一個比喻:如果把企業看成一個城堡,傳統的安全防護體系就是拱衛城堡的城墻,是一個被動的防御體系,而威脅情報就是衛兵,他們與城墻相結合,才能發揮出防御體系的最大價值,做到全方位的防護。 顯然,威脅情報是企業可信任的風險依據,可以讓企業據此做出及時正確的決策。從更高的維度來看,威脅情報不僅能解決具體問題,還能幫企業制定整體安全策略是給予指導。 譚昱表示,威脅情報的作用有三方面。首先是最基礎的部分,威脅情報將防御體系所需要檢測的信息,例如域名、IP信息等,提供給防火墻、WAF等安全產品,直接起到攔截和防護的作用。 其次,針對企業內部已經發現的威脅,可以借助威脅情報,利用分析系統進行溯源和分析,找到攻擊者所屬的組織,攻擊的入侵路徑和方法,以及最終的影響,將分析結果提供給企業安全運營團隊來進行評估和決策,及時調整防護策略,讓整體防御體系更加安全。 最后,戰略級的威脅情報,可以幫助企業對當前的安全態勢進行分析:目前存在哪些安全隱患,未來可能會發生哪些安全風險,通過這些信息,來指引企業的整體安全規劃和決策。 騰訊安全的威脅情報輸出體系 近年來,生產和消費威脅情報的組織都在逐年增加,騰訊安全選擇在此時對外輸出威脅情報能力,顯然對此有著充分的準備和信心。 譚昱表示,依托于騰訊威脅情報生產團隊的快速收集和響應,企業用戶可以通過升級或者云端的方式同步獲取最新的威脅情報,大幅提高企業用戶對安全威脅的響應速度,提高攻擊者的攻擊難度,從而保護企業的數據安全、核心資產安全、辦公環境安全等。 一個有效、及時的威脅情報的產生并不簡單。譚昱介紹,這里存在三大難點:要有充足的、海量的數據,要有強大的數據處理能力,還必須要有一個了解整個安全行業的專業團隊。而騰訊通過長期運營,已經有了成熟的數據收集系統,在嚴格的隱私保護協議下,每天可以收集到2萬億以上的系統日志數據,所有數據進行脫敏處理后,通過騰訊的安全大腦大數據處理平臺將數據快速處理,最后通過有豐富經驗的運營團隊,將其轉化為有價值的威脅情報,輸出給用戶。 作為一種彌補攻防信息不對稱的安全新技術,威脅情報在企業安全體系中的權重正在不斷上升。當然,我們不能把威脅情報看成能解決所有安全風險的“銀彈”技術,但結合具體應用場景,靈活運用好威脅情報的特性,其對傳統安全產品的賦能,以及對用戶現有安全防御體系的提升,在當下還是其他技術無法比擬的。 來源:中國信息安全
譚昱強調,威脅情報不僅要保證準確性和時效性,還要保證其可用性。在情報生產過程中,運營團隊就會對情報進行深入分析,提供如攻擊方向、威脅等級、所屬團隊等更多信息,幫助用戶確定情報在自身安全體系中的適用場景。同時,騰訊御見威脅情報中心還會幫助用戶進行一個持續的跟蹤和產品的交付,保證用戶在使用過程中符合開始設定的預期目標,根據反饋的問題實時幫助用戶做調整和部署,從而讓威脅情報的價值真正地發揮,達到應有的效果。
北京市公安局海淀分局備案號:11010802023656號