当前,网络空间的广度和深度不断拓展、安全对抗日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现,当前的网络安全正处在一个转型升级的上升期。
目前,信息安全业界普遍认同的一个理念是:仅仅防御是不够的,更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应,安全情报必不可少。
安全情报是一个宽泛的概念,主要包括了威胁情报、漏洞情报、事件情报以及基础数据情报。其中,威胁情报已然成为近几年国内外安全领域的热点。
首先,必须明确地指出,严格意义上,威胁情报和漏洞情报是不同的两种安全情报,不应该将它们混淆。从防御者的角度来看,获取漏洞情报是为了知己,而获取威胁情报是为了知彼。
Gartner认为,威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。Forrester认为威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,包括了这些敌对方的战技过程(TTP)的描述。
简言之,威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。
威胁情报可以分为面向中高层管理人员的战略威胁情报和面向安全设备或系统的、驱动其执行安全控制策略的战术威胁情报。战术威胁情报也被称作机读威胁情报。
威胁情报要发挥价值,核心在于情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报流动起来,才能真正加速安全防御的效率、效能,取得切实的防御效果。
威胁情报的生态系统包括两个方面:威胁情报的生产和威胁情报的消费。
威胁情报的生产就是通过对原始数据/样本的采集、交换、分析、追踪,产生和共享有价值的威胁情报信息的过程。
威胁情报的消费是指将企业和客户网络中的安全数据与威胁情报进行比对、验证,以及企业和客户方的安全分析师利用威胁情报进行分析的过程。
威胁情报的生产和消费构成了一个情报生态系统的闭环。只有生产没有消费,威胁情报的价值无法实现;而只有消费没有生产,威胁情报就成了无源之水。
对于政企客户而言,威胁情报的应用/消费是实现情报价值的关键。各类安全设备都应该能够消费威胁情报,但最关键的是安全管理平台/SOC对威胁情报的应用。威胁情报只有与处于企业和组织网络安全中枢位置的安管平台/SOC集成,才能最大限度地发挥出情报的价值,并进而实现全网的基于威胁情报的协同联动。