威胁情报的应用价值:联动协作
作者: 日期:2019年11月06日 阅:35,641

能够解决问题的威胁情报体系,才是对客户有价值的威胁情报体系。

过去四年间,天际友盟的威胁情报方案与能力,已在近百家企业客户的实际生产运营中,得到了广泛的应用。其中,除了通过企业用户直接使用威胁情报数据或溯源查询服务之外,通过与各类专业安全解决方案厂商能力结合,将威胁情报的价值间接传递给客户,共同在客户现场发挥价值,也是威胁情报应用中的一种特有场景。

我们称之为 Threat Intelligence Inside,TI Inside 模式。

迄今,通过 TI Inside 模式,天际友盟的威胁情报能力已实现与国内三十多家安全厂商产品的集成联动,不仅增强了厂商原有产品的情报能力,提升了其安全解决方案的综合实力,也更加贴近企业客户的实际应用场景,共同为客户解决实际问题,创造价值。

不同安全厂商的方案,情报的联动方式也各不相同。本系列将对 TI Inside 模式中的几个典型场景做分析,展现情报与安全厂商联动的场景与特性。

大型企业客户,经多年安全体系建设,大都已在安全可视化项目中投入不菲。

企业客户通过整理和完善关键数字资产、汇总安全事件日志,同时辅助以网络数据包分析、部署终端检测及响应,来构建企业整体网络安全态势感知平台。进而,通过多维度的安全大数据分析,试图实现安全视角下的运营及运维。

《IDC Market Scape: 中国态势感知解决方案市场 2019 年厂商评估报告》中指出,态势感知解决方案/平台是构建主动网络安全防御体系的重要组成部分,基于情报、分析、响应和编排构建的态势感知解决方案/平台,将真正的成为主动安全防御体系的 “智慧大脑”。

2019年10月, IDC Market Scape – 中国态势感知解决方案市场 2019 年厂商评估

Gartner 在 2018 年的 SIEM 魔力象限报告中提出,威胁与情境感知能力,需要结合威胁情报。Gartner 在 2019 年的《全球威胁情报市场指南》中更特别指出,应基于使用场景和安全目标来选择威胁情报服务和产品。

SANS 2019 年的 CTI 现状调研报告中,认为网络威胁情报的应用已渐趋成熟,发挥的价值也越来越大,企业越来越关注情报的应用,而非数据的收集和处理。报告显示,SIEM平台依然是威胁情报最主要的使用手段 (82%)。

图例:The Forrester New Wave TM: External Threat Intelligence Services, Q3 2018

《The Forrester New Wave TM: External Threat Intelligence Services, Q3 2018》报告也指出,数据应与分析解耦,企业客户可以自行结合威胁情报进行安全分析,业界也正是如此实践的。Splunk 公司通过整个杀伤链的角度来更好地快速定义和阻止新的数据威胁,从不同数据来源搜索和关联以更高效地进行高级威胁追踪检测。IBM 公司则提出结合 QRadar SIEM 与 X force 威胁情报,通过首先集成威胁情报到态势感知平台,再利用自动化编排 Resilient 提供安全事件响应能力。IBM 利用威胁情报建立全球安全生态体系,期望威胁情报能够帮助这款 SIEM 产品更好地发现、验证攻击,并且支持采取更加有效的响应方式。

图例:QRadar与天际友盟情报系统的集成

市场中,威胁情报与态势感知平台结合的需求,正此起彼伏。

自 2016 年始,天际友盟也在市场上推出了与态势感知平台的集成解决方案,并陆续在国内部分大型客户环境中部署实施,也正是这一趋势的印证。国内众多厂商的态势感知或 SOC 平台,通过 SIC 安全情报中心,进行安全大数据关联分析,在建立内部情报和外部情报相互结合的基础上,实现对企业网络安全的态势感知或者安全可视化。

同时,在安全管理平台项目中,大量安全厂商提供基于安全威胁情报的关联分析和深度分析能力;还有一些安全厂商在溯源能力中,利用威胁情报结合安管平台,进行攻击者画像,在 APT 攻击的监测与溯源能力上,取得了长足进步。

态势感知平台的普遍存在问题,是如何将威胁情报充分应用。如果不能将已知情报全量地用于态势分析,就无法从局部信息准确预判全局态势,或者无法从当前状态预判未来发展趋势。

要做好这一点,需要双方面的努力:

威胁情报厂商需给出全面的、当前所掌握的情报的明文,而非通过问答模式,给出片面的数据。

态势感知厂商应充分结合威胁情报,采用优化的分析模型,实现对全局态势的把握和对未来的预判。

在与数十家态势感知平台厂商的长期协作中,我们总结了如下几类常见的情报联动协作方式。

方式1: 基于日志的安全分析

对安全事件日志的深度分析,已经成为建设态势感知平台的第一要务。在拥有了安全事件日志的数据基础之后,大型企业客户和态势感知厂商会逐步结合威胁情报,补充日志的一些安全属性字段;同时在安全事件的关联分析和深度分析中,也需要威胁情报信息辅助。

SIC(安全情报中心)可以提供威胁情报的属性信息,能够对现有的安全事件日志增加威胁情报字段,进行完善和丰富。通过建立企业内部的情报数据,利用补充丰富后的日志,再深度结合来自内部及外部的威胁情报,便能在安全管理平台和态势感知平台中,进行展现和关联分析。

态势感知厂商和企业客户,可以利用威胁情报来标识和关注企业内部和外部的安全事件,在发生安全事件的初始阶段进行检测和干预,提升检测能力,减少误报,建立本地的安全响应指令集和响应策略集,实现安全产品之间的无缝联动。其中,安全响应策略集应承接企业的网络安全方针,并能够利用自动化手段分解为可执行的响应指令集,分解示例如:威胁情报网关响应指令集(阻断、放行、审计)。同时,将复杂和多维的安全事件和网络流进行深度关联分析,检测到来自内和外的安全威胁。

案例:某航空类集团客户,在安全日志采集后的标准化阶段,对日志进行威胁源IP的所属组织、地理分布、威胁信誉值等数据补全工作,从而在后续分析阶段,可以从更加丰富的维度,进行威胁分析和预警。

方式2: 威胁情报与安全运营中心结合

对于已建立企业级安全运营中心的企业,安全情报的枢纽作用日益凸显,单一情报源已经无法满足企业的要求,更多的大型客户选择了多情报源,对威胁情报平台的能力提出了新的挑战。

作为企业级安全情报枢纽,SIC 可为企业用户提供本地化的内外多源情报协同平台,具备获取、解析、评价、聚合、发布、展现、统计、查询、关联告警、协同对接等情报应用管理功能,既可实现与 SOC、SIEM、IPS、WAF 等多种安全设备的情报协同工作,又可通过级联模式来实现在复杂网络环境下的多级情报联动管理,或是辅助用户构建基于情报的内部共享机制。

威胁情报进入态势感知平台或者安全管理平台后,可以辅助企业客户建立和管理自有安全响应策略库和安全响应指令库,实时更新来自安全厂商的建议威胁类别库,最终形成企业可以利用的特征类别动态列表+响应方案列表的组合;还同时能够支持企业客户,在平台中自行建设和维护企业自定义类别库,形成落地的最佳实践方案。

最后,在威胁溯源能力建设方面,SIC 还可以提供攻击者来源数据,辅助客户进行攻击行为的溯源分析,以及企业安全运营团队进行安全事件的预测。

案例:某国家级监管机构,SIC将来自多方的威胁情报进行聚合,并结合其掌握的独有的数据,形成具有高等级互联网应急中心级特色的威胁情报,用于指导关键信息基础设施单位的安全防护工作。

方式3: 威胁情报支撑企业安全防护体系

企业安全体系建设中,安全可视化是重要的组成部分。客户普遍期望态势感知平台作为安全体系的大脑,完成指挥的功能,而威胁情报就变成了大脑的决策依据。提供准确的威胁情报,是天际友盟 SIC 产品的核心应用价值,也将成为安全防护体系的支撑点。

随着企业业务发展,威胁情报将在安全防护体系建设中,贯穿整个建设过程。比如在防护体系内,可以利用威胁情报进行狩猎,对攻击来源进行威胁溯源分析,还可以配合蜜罐等安全设备对进攻方式方法进行深度分析。

众多安全厂商,利用威胁情报管理中心,进行威胁情报的二次集合整理,方便其在安全平台及设备读取使用,建立更加匹配产品的特征集合,将威胁情报第一时间推送到前线安全设备及系统中,甚至在终端检测系统及网络设备里,还可以直接使用威胁情报相关的策略集合。

天际友盟可以灵活的提供情报,且拥有强大的关口前置能力,来提升安全设备的前置处理能力;同时威胁情报在态势感知平台中也能深度集成,辅助决策,对网络攻击态势进行预警,在事件发生过程中进行跟踪、定位和溯源,以及事件后的取证调查分析。

部分企业客户,还在安全应急响应阶段,结合威胁情报数据进行比对判断,同时在溯源能力上进行建设加强。另外,一些系统集成商或者安全服务商还提出了更高标准的要求,比如丰富的威胁情报接口和多样性的数据格式,更加高效的用于响应团队等等,这些都是他们在建设安全防御体系中考量的重点功能。

威胁情报使得态势感知平台更加开放,高效。企业客户纷纷建立内部威胁情报体系,再结合外部威胁情报完善安全体系建设。将威胁情报贯穿企业安全体系,而具备威胁情报支撑的态势感知平台,也成为安全防护体系不可或缺的的支撑点。

案例: 某大型央企集团的安全运营团队,已建立较为完善的安全防御体系,并通过安全管理平台进行统筹安排。客户利用天际友盟威胁情报平台数据,针对异常攻击事件进行溯源分析,定位攻击来源及特征,从而在后续分析阶段,可以从更加丰富的维度进行威胁分析,进而实现预警能力。

方式4:(不建议) 远端实时查询威胁情报

态势感知平台多数建立于企业内部安全运营平台之上,如果采用查询和验证模式,不仅会降低态势感知平台的工作效率,也无法充分发挥威胁情报的催化效应。尽可能利用全部、及时、准确的情报,才能够分析出更加可靠的预测结果,而人为屏蔽,仅采用局部情报,会导致样本偏差,这是预测模型中需要尽力避免的情况。

案例:无。天际友盟的客户和合作伙伴,目前都能够以明文方式使用天际友盟的威胁情报,无需担心查询模式的局限性。

结尾

客户首先关注防御效果,其次才关心实现方式。

多数的态势感知类项目中,企业客户会将多个情报来源的数据进行对比和交叉分析。多源的威胁情报带来了丰富的威胁情报信息,但也增加了错误几率。随着情报在企业中的运用日趋成熟,企业客户的关注点也在调整,逐步从仅仅关注单一来源情报的质量和数量,转为更加关注情报的利用率和能效,以及如何衡量情报对企业安全建设的价值和贡献度。

企业客户应谨慎关注那些在企业的内情报系统中,零星出现的威胁情报内容,特别是在态势感知平台自动化关联分析中,很多时候需要结合企业自身的安全体系架构和数字资产情况,才能给出相对准确的判断。在企业网络安全风险管理的模型下,威胁情报的权重配比,更应该为企业安全运营团队所关注和持续跟踪的重心,直至最终拥有溯源的能力。

此外,本地安全情报中心还可以协助企业在态势感知项目建设中,做到深度分析、威胁溯源。通过实时利用外部情报进行关联分析,对态势感知平台做进一步的完善和优化,可以更好的解决客户对安全威胁的困惑。

TI Inside 模式,将会是未来专业情报厂商与专业安全企业的普遍合作实践。天际友盟在坚持打造威胁情报体系能力的同时,也不断同业界优秀的安全设备厂商进行合作,共同建设安全生态圈,为行业的发展贡献自己的力量。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章