chanong 由安全牛主办的“CS 3:威胁情报解决方案峰会”吸引了360、IBM、关天下、微步在线、百浩汇这5家国内威胁情报应用技术领先的安全厂商和安全顾问。 公司到了。 据安全牛主编李少鹏介绍,CS系列论坛是“聚焦安全解决方案的会议,主要面向用户,谈论自己的产品,解决甲方面临的安全问题”。 今天,让我们来听听CS 3威胁情报解决方案峰会上,奋战在网络安全防护第一线的代表性安全厂商对威胁情报的理解、解读、开发和应用。
360 - 威胁情报需要基于数据
360网络安全研究院院长龚一鸣开门见山,直接表示“传统情报领域已经改变,基础数据是登上威胁情报塔顶的‘台阶’,抢占数据更重要”比什么都重要。” 目前,威胁情报技术正处于“从基础到落地”的过程。 直接吹嘘威胁情报是没有意义的。 数据是威胁情报发挥作用的基础。
具体来说,“360认为威胁情报有六大要素,即收集、关联、分类、整合、行动、共享”。 360天眼实验室负责人韩永刚补充道,“在威胁情报的制作中,关键是数据采集是威胁情报有效性的重中之重。”360的威胁情报数据主要来自于其独特的样本库,主要防御库、互联网域名信息库、最大库存URL库。 以及中国最大的漏洞库,加上其他第三方数据源等,通过360威胁情报中心进行情报数据处理,通过数据挖掘、关联分析、机器学习、专家分析、可视化分析,并与360产品将智能应用于安全响应和防护。
360威胁情报中心()
对于威胁情报的实际运用,韩永刚表示,“威胁情报来源于数据,也必须走向数据”。 威胁情报必须与本地各级数据收集、恢复和分析能力相结合,才能有效发现威胁。 企业如果搭建360安全大数据平台,就可以收集和使用详细的“第一手”安全数据。 同时,通过这个平台,企业可以拓展溯源、取证、研判、拓展分析等方面的能力,使企业形成基于威胁情报感知的防护方法。
IBM - 安全应该成为一个完整的架构
IBM 从主机安全开始。 经过不断的整合和收购,到今年,IBM已经形成了完整的安全系统架构。 2006年,IBM收购网络安全防护公司ISS(ISS),创建X-Force。 如今,IBM 威胁情报的主要来源是 X-Force 团队。
IBM中国高级安全技术工程师刘露英表示:“APT攻击已经成为一种常态。IBM认为,单纯关注某一领域的安全已经不足以帮助客户维护其安全环境。整个防护机制需要从清单到安全框架的想法就出现了。” 自2012年以来,IBM已将所有安全产品集成到统一框架中。 如今,IBM已经涵盖了从数据、应用、网络、终端、移动等一系列安全框架。 它们不再是各自独立的,而是可以相互交互、共享信息,安全智能平台作为各个安全框架的“管理中心”。 刘露英补充道:“无论是一系列的安全解决方案、产品还是服务,最终的核心或者基础其实就是我们今天的主角——X-Force。”
IBM X-Force“大脑”
IBM的X-Force认为,威胁情报有三个最重要的方面:第一,必须是可用和可访问的,数据必须相对完整。 其次,它必须能够触发实际的安全保护机制。 第三是能够自动使用这些库,而不仅仅是查询。 X-Force 努力的第一个方式是将威胁情报与产品相结合。 目前,X-Force的威胁情报库包括:漏洞、域名、APP应用、IP信誉和URL信誉、恶意软件和垃圾邮件等信息。 ,这些信息可以与我们现有的安全产品相结合。
X-Force有一系列的产出,包括漏洞研究、漏洞防护、恶意软件分析、IP信誉、URL过滤、Web应用控制和反垃圾邮件等。其威胁情报共享平台——X-Force是一个开放的、可操作的,社交智能平台,实际上是向公众开放的门户和街角。 据悉,X-Force每季度发布《IBM X-Force报告》,总结企业信息安全的新兴信息和趋势,同时提供安全建议,帮助企业保护自身免受信息安全威胁。 X-Force 的目标是监控和评估不断变化的威胁形势; 研究新的攻击技术以及针对这些新攻击技术的防护方案; 通过定期报告教育公众; 同时,融合X-Force的研究成果,防护技术与后天情报的产品融合,使IBM的产品更加智能化,帮助客户保护网络安全。
安全价值——利用威胁情报对安全进行数字化评估
在信息安全领域,很多技术集中在攻防对抗、应急响应、事件处理、漏洞挖掘等方面。 但顾安想要解决的是上层应用,即利用数据威胁情报进行风险管理。 Value是信息安全咨询公司关天下借助“威胁情报”前沿技术打造的产品。 通过“安全价值”产品,五分钟即可量化企业信息安全风险。
观天下安全价值产品总监赵毅在会上介绍,基于威胁情报的新应用“安全价值”可以在五分钟内量化企业安全风险。 赵毅补充道,谷安侠的背景是风险管理,所以利用威胁情报进行风险管理是其强项。 威胁情报体现在安全价值上,是通过专业视角整合资源发现未知风险、量化风险的能力。
如何利用好数据并产生价值,是Safe Value想要解决的问题。 据悉,关先生关注威胁情报领域已有两年时间。 业界有很多优秀的数据资源,威胁情报的本质就是数据。 这也是第三方咨询公司 Value的基础。 安全价值整合100余种威胁情报数据资源,利用大数据挖掘和分析方法,对实时情报数据进行风险分析,定量计算风险,提升用户风险管理能力。
微步在线——百家争鸣下,微步专注、精准。
微步在线应该是国内第一家专门做威胁情报的公司。 2015年6月成立时,国内威胁情报实践还很少,业界对威胁情报概念还处于学习和观望阶段。 微步在线创始人兼CEO薛峰表示:“每个人对威胁情报的理解还是有很多不同的,但这种百家争鸣、百花齐放的环境就很好了。” 微步在线的定位是成为一家以数据为中心的公司,公司致力于整合数据、机器和人的力量,提供可操作的威胁情报,以阻止攻击、发现威胁、溯源和消除风险。 薛峰补充道:“我们威胁情报的核心是两件事。一是数据,二是对数据的分析。分析之后,我们可以提取出有价值的东西。”
微步非常认同“威胁情报仍然离不开数据”的观点。 薛峰解释道:“目前的数据主要集中在几个方面,一是数据的数量和多样性,二是数据的时效性,最后也是最重要的一点是数据的分析。” 微步目前拥有与微软、360等安全厂商、电信运营商、云计算等厂商合作的技术,拥有200多个数据源。 不同的数据源也保证了数据的多样性。 同时,微步也有自己部署的数据点。 主要工作集中在加工和集成部分。
微步在线数据来源
有些人质疑威胁情报是看不见、摸不着的。 微步不做硬件也不做软件,专注于数据分析,认为“威胁情报公司应该严谨”。 它在 100 次威胁分析中有 9 次取得了成功。 十九次不算成功,只要一次误判,就是失败。 目前,微步在线提供的第一个服务是IOC,第二个是威胁分析平台,第三个是高级入侵事件检测,这也是免费服务。 微步在线主打产品VB()是中国首个综合威胁分析平台,免费为全球安全人员提供便捷的一站式分析平台。 另一款产品TIC(威胁情报中心)是威胁应用解决方案,使客户在面临关键威胁时能够快速发现并采取有效行动。
白帽交易所——换个角度看威胁情报
百号汇致力于提供前沿的安全技术、高性价比的产品和服务,帮助客户应对业务运营过程中可能出现的网络信息安全问题,“不被入侵、不被数据库清除”。 其创始人兼CEO赵武对于威胁情报的理解是:“我认为大家都知道的不能称为威胁情报,因为信息安全的核心本质是信息不对称。 我们追踪的一定是你不知道的东西,或者你以前从未听说过,所以我称之为威胁情报。”
百号汇成立于2015年8月,团队主要来自360和华为,拥有深厚的专注安全大数据和企业威胁情报的基因。 当前网络安全形势依然严峻。 安全企业在打击网络勒索方面始终处于落后地位。 看来恶魔总是占上风。 于是,赵武开始思考,为什么我们总是保护而不是攻击呢? 能否攻守转换,将战火引向敌方阵营? 赵武的解释是,当我们追踪黑客的情报时,我们会发现,安全企业很难进行友好联动,但黑色产业彼此之间的联系已经非常紧密,分工与合作非常紧密。非常好。
百号汇认为,安全的环境不是等待的,而是通过打击黑色产业来获得的。 无论攻击者被抓获还是受到惩罚,安全的环境都不能等待。 因此,赵武强调,必须放弃防护思维,主动通过对非法行业的情报监控、对非法行业的打击、对黑客的画像、对非法行业的反制措施,将战火烧入敌营。
微信扫一扫打赏
支付宝扫一扫打赏
