不是吹的,三分钟让你读懂老周深不可测的威胁情报中心……

在9月29的中国互联网安全大会上,360周鸿祎突然抛出一枚颠覆互联网安全的“炸弹”360建立全国首个威胁情报中心,不少互联网公司人员懵了,现在互联网安全遇到什么问题?互联网安全公司怎么干起“克格勃”的活儿,搞起情报来了?

列为看官别着急,本公会(不知道谁给我起了个命名交互联网公会,我总不能自称老公吧,本会好像也不合适。)慢慢给你道来。

先给你看看信息安全教主级公司 Gartner关于威胁情报定义:“威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为的,基于证据知识的,包含情境、机制、影响和应对建议的,用于帮助解决威胁或危害进行决策的知识。”

不太好理解,说白了就是提前知道黑客可能进攻的信息,简单的说,我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等,这些都属于典型的安全威胁情报。

不知攻,焉知防?别等着小偷来了,去抓吧。

我的网站金刚不坏,要你个大头鬼的威胁情报?

过去对待网络攻击,就是用侠客大流氓,警察火并黑社会等“点对点”作战,安全就是做木桶,只要补上短板就可以高枕无忧。小偷犯了罪就展开侦破,抓住为止。因此,防御和检测机制基本上是以特征检测为主,不管是大政府还是小公司,实际上都是自个儿顾自个儿,监测一个不合格产品打一个补丁,然后回家睡大觉。

时代在发展,小偷在进步,现在的现在已经形成了攻击者有组织有预谋的犯罪。新型威胁更多地利用0day(零时间差)进行攻击,也就是说,小偷都成“余则成”了,天天玩潜伏,低慢频度攻击,猛然有一天就给你放个大爆炸,炸完后门,抱着金银财宝(数据)就走。

速度之快,最长的一天,最短的也就“爱恨一瞬间”。天下武功、唯快不破啊。防守方无法提前获知特征信息,别提啥防御。

并且,小偷再也不回头,一辈子玩一票大的,不再出来了。

万物互联时代,简直没有不破的盾。美国DBIR2015的报告,2015年,接近八万家很大的公司被黑掉,耳熟能详包括索尼、苹果、摩根大通,摩根大通丢了七千多万的客户信息。“所有的系统一定可以被入侵。”这是威胁情报专家,安全圈网站创始人金湘宇给出的结论。

现有安全手段保安全有点费劲

“我得查,查到老也得找出来谁偷了我的钱。我死了还有儿子,儿子死了还有孙子,子子孙孙无穷尽矣。”防守“程序猿”变成“愚公”,抱着放大镜对着大海一般的信息,一滴一滴地监测。

知己知彼百战百胜,你需要的不是战斗机,而是一架预警机,得有威胁情报。在小偷偷你之前就要去动手”

传统的安全防护手段已经无法有效应对高级持续定向攻击。全行业正在试图找出一系列更有效的方法,基于大数据和大数据分析技术的威胁情报的应用是这些方法中比较有效且非常关键的一种,基于威胁情报的安全防御已经成为网络安全行业未来发展的方向。

实际上,太平洋对岸的美国已经成立来了网络安全和通信整合中心,是国土安全部下属,专门做政府和企业威胁信息共享的机构。但是美国又继续成立了网络威胁与情报整合中心,归属国家情报总监办公室,专门为美国政府和企业收集信息和分析信息。

360高级产品总监韩永刚认为:“比别人更早看见威胁,是防护的第一步。”这也是威胁情报的意义所在,防守方就得有预警机。

威胁情报中心是什么鬼?

9月29日,在中国互联网安全大会(ISC2015)上,360已经建成了国内首个威胁情报中心,并将于近日正式商用,开放在线查询平台。

据360公司董事长兼CEO周鸿祎透露,截至2015年7月底,360威胁情报中心监测到的针对中国境内政府部门、电信运营商、大型企业、科研院所等组织机构发动APT(高级持续性威胁)攻击的境内外黑客组织13个。最早可以追溯到2007年,而最近三个月(2015年5月以后)内仍然处于活跃状态的APT组织至少有7个。

今年5月份360威胁情报中心发布了中国首个APTC00报告,溯源了一个境外黑客组织针对中国境内政府相关部门的高级持续性攻击,外交部对外确认回应,美国国家安全智库也对此进行了回应。

威胁情报怎么报?

在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:“程序猿”穿梭各大安全论坛,装作黑客的样子,开心地与讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。

光靠几个“程序猿”能办成事吗?威胁情报行业这两年在全球以60%的复合增长率膨胀,每天仅仅是高度汇总的威胁信息都有上千条,而其中,真正有用的也许只有几条。另外,常规的安全防火墙只能应对普遍的攻击,对于有特殊目的的针对性“点杀”根本无能为力仰仗的是大数据。大数据怎么整?

360作为最大的互联网安全公司,目前有超过13亿个安全探测点,还有数十万台服务器,每天防护几万亿条防护日志和几十亿检验记录为基础。安全大数据是能力的核心,在威胁情报的数据收集阶段,具有天然优势。这些安全大数据可以被用来在威胁情报的生产过程中,产生价值更高,针对性更强的高质量威胁情报。

安全专家利用机器学习,找到真正受害的IP和客户端,利用数据挖掘和经济学分析的办法,顺藤摸瓜,找到威胁动机,发现同样同源的样本、同样的域名,然后进行数据关联分析,分析出来的结果。

又不好理解了?就说前一段的10086短信诈骗吧,想骗你的钱,总得让你上网输入账号密码,咱也不专业,看不清那么多的诈骗网页,威胁情报中心就把这些李鬼网页全给你筛出来,看一眼就知道原来那些八竿子打不着的数据原来都是“有故事”的呀。

通过威胁情报,企业会对未来的攻击拥有免疫力,原来黑客可以用上整整一年的攻击手段,一旦进入威胁情报,就被重点监控。如果攻击者第二次还在用同样的后门,就等于主动跑到了探照灯下。

看到了,还不行动?立即断网、响应,干死他。

结语:“威胁情报中心很重要,本公司年产销额100万元,是不是也要建一个?”360企业安全集团总裁吴云坤透露,360威胁情报中心利用安全大数据与亚马逊、Facebook、Twitter、汇丰银行、英国电讯全球上百家企业、大学和机构合作,分享数据和安全威胁情报,包括美国和英国在内的几十个国家的Cert都已经申请使用360的数据。

著名网络安全专家金湘宇介绍,威胁情报实际上也是为安全设备升级提供一个契机,将为防火墙升级提供帮助,国外安全产品支持第三方威胁情报一两年上了,目前国内很罕见。360整合威胁情报资源很有意义,未来对入侵检测、入侵防御、防病毒等都会支持威胁情报。政府机构、安全产品、云安全服务厂家、企业用户可以应用这些成果,最终形成互联网的全面防御。

威胁情报中心,网络安全战机的预警机,你值得拥有!

文章原文链接:https://www.anquanke.com/post/id/82646