由安全牛举办的“CS 3:威胁情报解决方案峰会”于昨日在京举行,360、IBM、谷安天下、微步在线、白帽汇,这国内五家在威胁情报应用技术上领先的安全厂商和安全咨询公司悉数到场。
据安全牛主编 李少鹏 介绍,CS系列论坛是“专注安全解决方案的大会,我们面向的主要是用户,讲的是自己的产品,解决的是甲方面临的安全问题。我们不怕打广告,但我们演讲的产品和方案,都是经过安全牛精心选择过的,值得推荐的优秀产品和方案。”
“威胁情报众所周知是目前最为火爆的安全防护技术,但它的落地和应用在国内并未全面成熟,为此安全牛定向邀请了在威胁情报的技术、落地及应用方面非常优秀的几家公司,来为大家作演讲,听一听这几家在威胁情报应用方面处于国内领先地位的技术大咖的声音。”
一、从基础到实战 – 威胁情报生产与应用
—— 360网络安全研究院院长 宫一鸣 & 天眼实验室负责人 韩永刚
宫一鸣:
“在某种意义上我认为威胁情报有点像金字塔的塔尖,大家都在谈论塔尖的东西,但是如果没有解决基础,这个塔尖是不存在的。怎么去达到塔尖上?就要用基础数据。在某种意义上有点像是造砖头,我给你造各种各样的砖头、各种尺寸的砖头,有砖头才能盖楼。”
基础数据三大件:PassiveDNS、whois、md5
(以下内容过于敏感,原谅小编不发,下次请亲临现场听会)
韩永刚:
如何对基础数据进行收集和处理,并作为威胁情报的基础进行搭建,然后再产出和真正地应用到客户?
案例
APT的追踪和发现。2015年我们的APT年度报告,可以看到总共监控了29个高级威胁的黑客组织,其中14个是首先在国内发现的。在地域的活跃分布上可以看到北京、广东这些地方比较活跃。手法上有非常传统的,也有通过物理设备的接入去做劫持的,还有一些特殊手法。大部分是利用已知的漏洞来做,但也有用到0day的例子。
2015天眼实验室APT报告中的数据
有的是为国内定制的,还有一些扩展到对移动端的信息窃取,结合并利用很多的环境和方法。但是我们通过数据分析和威胁情报,把攻击挑出来,然后去落地。帮助不具备很强分析能力的客户定位找到这些攻击。
其实我们在做拼图
我们希望找到更多的线索,通过我们拥有的能力,把事件还原。就像做拼图一样,不管是攻击者还是被攻击者,用的什么样的战术、方法和过程,我们都把它找出来,找到攻击特征,最终把威胁情报给组合起来,拼成威胁情报的拼图应用到客户,以及带给业内的分享。
威胁感知拼图
我们很多精力都集中在发现这个环节上,除了发现和响应之外,我们还能够做到取证、拓展、溯源等过程。原来在没有大数据分析方法的时候,后面的半圈基本上很难做到。
响应的重要性
还有一个点,就是在响应的环节上,因为原来在这个环节上是做阻断。但现在大部分的攻击,尤其是高级威胁不可能在当时做实时的阻断。所以响应变得非常重要,这种响应可能不一定非常实时,但是也一定是即时的。
我们需要把对安全的可预见的发现和能力结合起来。今年五六年的时间里,企业在这方面的投入预算可能会占到60%,而不再是实时防护的点上。
源数据 –> 自动化分析 –> 威胁情报
威胁情报的关键就是,是否能够真正拥有数据,和对数据分析处理的能力。数据量和分析能力不同,同样的去做样本处理,得到的东西是不同的。
情报数据处理
从威胁情报警报的分析基础来讲,首先是基于源于数据的,源于所谓的可以用于威胁情报的数据,不管是样本还是在防护过程中所产生的日志、DNS记录,以及一些网址等等,这些数据是我们分析的基础。
有了这些源数据,就要进入到数据处理过程。在这个过程中,关键的是数据的挖掘和分析。我们每天新增900万的样本量,用自动化把900万的数量处理分析降到数千的级别,再从中找到一些异常的网络行为样本,最终输出的威胁情报可能是只是百级别。这个过程需要人的参与,但依赖的是自动化。
最终产生的情报需要用到产品上,不管是发现的产品,还是边界或终端。就是这样的一个过程,真正能够把所谓的源数据,武器级的数据和一些组织和实践不断地进行关联,最终产生的情报其实才是最有意义的内容。
威胁情报的落地
它可以包含几个方面,检测、发现、溯源都可以。但我们需要在一个非常完整的、互联网级的大数据里面进行分析,才能找出真正有意义的情报,而且还需要在客户这一端收集非常多的数据。所谓本地轻量级的数据平台,其实和自适应安全的体系还是非常相符的。在客户的本地,我们能够把不同方面的数据收集起来,最终在传统防护的四个纬度里面加上一个核心,即持续的监测和分析。
威胁情报落地——本地数据平台
具体落到应用上,就是在云端分析数据,产生情报,在本地帮助客户建立轻量级的大数据平台,把网络的、终端的各种数据全盘用大数据的方法把它形成轻量级的数据平台,去做响应和处置,这是一个完整的过程。
有些传统安全这方面做得好的,他们也可以把威胁情报和自动化分析和运营过程相结合,包括用数据库处理一些数据,包括在情报上与IOC(入侵指征)和响应的结合。不管是网络的还是主机的数据,都收集起来进行分析,然后应用情报,最终找到威胁,这才是真正的落地,也是一个比较实际的能力。因为毕竟不可能每个公司都有非常多的安全分析人员,如果有简单的方法,能够让他们快速运维情报,在本地找到威胁,我觉得还是非常重要的。
响应和溯源
有了发现威胁的能力,另一个很重要的能力就是响应上,即EDR(应急需求响应)。作为全盘数据采集的探针,终端数据分析和威胁情报结合起来之后,把策略在终端上执行,在终端的执行响应上就能做更多的事情。
终端检测与响应(EDR)
不管是需要做阻断还是隔离,甚至是持续的观察,在终端上其实都是可以做的。大家知道,很多时候网络上需要加密,因为很多东西在网络上看得更真。但如果同时能够看到更多的网络和终端上的差异,这个事就会更加有意思了。所以在终端上我们其实可以做很多的事情,包括对全盘数据的记录,包括获取线索,在系统中做更多的探索,结合起来这个场景也非常关键,就是在响应上。
另外一个就是溯源,在情报或数据系统里面,可以把很多信息关联起来。通过样本关联,找到它对应的域名信息等过程,除了发现以外,还能真正地进行回溯和追查。甚至通过分析,我们去搞定一个溯源,去搞定一个案件,比如上面举过的例子。
威胁情报的共享和应用
威胁情报的数据可以共享出来,和业内一起配合使用。在360的威胁情报中心上,不管是威胁判定数据,还是关联数据、样本类数据等基础数据都会有。之前由于一些系统问题,开放的注册量相对做了一些控制,后续会逐渐放得更开,希望有更多的业内的同仁能够一起在情报中心上面进行分享和协作。
威胁情报基础数据查询
另外,威胁情报还有着更为广泛的应用。APT、DDoS,以及网站钓鱼等。我们把它落地到我们真正能够落地的系统里面,帮助客户去对日常的攻击情况进行监测,这个时候其实已经是用落地的系统来帮助日常的运维,包括对网站安全平台的网站安全状况的监测。
在客户端数据的平台上,要能够把威胁情报双向应用起来,不管是推动起来,还是在查询和溯源上结合起来。情报是从数据中来,最后还要回到数据中去。威胁情报又是最终能够回到客户那边才能发挥它的作用,不管是安全和威胁的发现上,还是在自动化的响应过程当中,我们都把它结合得更好。
二、X-Force 2016:IBM威胁情报共享和协同防御
—— IBM中国区安全技术高级工程师 刘璐莹
X-Force的历史
IBM做安全应该可以追溯到上世纪80年代,从主机安全开始,IBM进入了安全领域。从那个时候开始,一步一步走到今天,包括收购等环节,建立了现在的安全体系。
IBM的安全历史
X-Force从何而来的呢?2006年,IBM收购了一家网络安全公司,ISS(Internet Security System)。这家公司主要做的是网络安全防护,X-Force就是IBM收购了ISS之后获得的名字。自从收进来以后,IBM所有的安全的研发机构,甚至包括后面收购的其他公司的研发机构,全部都叫X-Force。ISS的创始人原本就是一个安全漏洞的研究者,他是世界上首款商用漏洞扫描工具的发明。从那个时候开始,X-Force就开始研究历程,今天IBM主要的威胁情报来源就是X-Force的团队。
IBM是一家安全公司
经过不断的整合和收购,到了今年,IBM已经形成了一整套安全体系架构,在整个安全市场里,目前IBM排名第三。所以可以说IBM是一家安全公司,而且还是一家很大的安全公司。
2011年RSA发布了一个非常重要的报告,报告认为APT攻击将成为常态。当时,IBM也收购了另外一家做安全智能的公司,基于这样事情,IBM在2012年之后专门成立了安全系统部。而之前虽然我们收购了很多公司,但实际上这些公司分散在IBM各个子部门,但从2012年开始我们开始整合,市场上也逐渐出现了IBM安全的声音。之所以把它整合的原因是在于,原来我们觉得每一个部分都能够解决这部分的问题,但是当APT攻击变成一种常态,我们发现单纯做某一个领域的安全已经不足以帮助客户去维护他现在的安全环境,整个防护机制从检查清单式变成安全框架的思路上来。
IBM从2012年开始整合所有的安全类产品,把它变成一整套的框架。到今天,我们已经涵盖从数据、应用、网络、终端、移动一系列的安全框架,同时它们之间不再是分立的,而是可以互相联动,可以分享信息的。它们之间使用我们的安全智能平台作为大脑、总控,是安全运维中心的一个基础核心组件。这一系列所有的安全解决方案也好,产品也好,服务也好,实际上最终的核心或者基础都是我们今天的主角——X-Force。
IBM X-Force“大脑”
我们知道,对于安全解决方案来说,功能和性能永远是考量的第一目标。而大脑,你的安全产品的大脑才是成功防护的关键。
X-Force的四大目标
1. 监控,监控和评估瞬息万变的威胁形势;2. 研究,研究新的攻击技术,以及针对这些新攻击技术的保护方案;3. 培训客户和公众,用定期出报告的形式来培训公众。4. 集成,把X-Force的研究成果、防护技术和获得的情报进行产品化集成,使得我们的产品能够更加智能,帮助客户来做安全保护。
基于以上这些使命,X-Force有一系列的输出,包括漏洞研究、漏洞保护、恶意软件分析、IP信誉、URL过滤、Web应用控制和反垃圾邮件等等。
IBM的安全管理中心(SOC)
IBM现在依托的全球40多家安全研究机构,其中最值得一提的是IBM的SOC。据最新的数据,IBM目前有12家SOC,他们为客户做安全托管服务,帮助客户来运维安全。客户经常都会遇到APT攻击、DDOS攻击,SOC必须调用一切手段、资源或情报来完成运维工作。
我们目前的安全托管服务客户涵盖100多个国家4000多个客户,也就是说这些SOC每天可以收到来自于这4000多个客户的150亿多个事件,通过2.7亿个端点上去收集这样的一些数据,经过这些最真实的数据的整理、发现和提炼,来发现最新的安全态势。
基于十几年的积累,IBM目前记录的完全独立的、真实的漏洞,超过9万,是全球最大的漏洞库之一。目前恶意IP数量86万,URL和域名分析数据库的量在250亿以上。基于这些数据能够监控到全球高发的、严重影响的安全事件。
2013年到2015年重大安全事件整理
AOTT(先于威胁的保护)
通过不断的收集,X-Force本身的漏洞库的数量也在不断增加。在将近二十几年的积累之上,X-Force给自己出了一道题,我们的研究效果到底是什么,即AOTT(先于威胁的保护)。
什么叫先于威胁的保护?就是说在某一个漏洞被暴露或者公布之前,X-Force团队就已经知道了这个信息,并且已经把修补的方案内嵌到我们的产品里边,使得当这个漏洞真正爆发的时候,或者真正有一个CDE编号赋予这个漏洞的时候,我们客户之前已经获得了相应的保护。
X-Force最近还做了一张表,统计出百大漏洞和百大AOTT,所有都是超前的。同时给自己定了一个标准,即什么才算是真正的AOTT:
1. 防护必须要早于漏洞真正被揭露或者爆发90天,也就是三个月之前我们的客户就要能够防御这个还没有被爆发、没有被揭露的漏洞;2. 研究成果要内嵌到产品里面,并且默认打开,否则客户得不到防护;3. 启用 Trust X-Force;4. 需是重要厂商;5. 需要是近期的,太久远的不放在里面。
通过这些标准把自己变成一个安全研究机构的领导者,而不是尾随者。在某漏洞2014年爆发的7年前,X-Force就可以防御这样的攻击。
X-Force 前100 AOTT
X-Force的威胁情报
我觉得情报最重要的有三点:第一,要有,要查得到,数据相对来说比较完整。第二,要能够触发到我,因为很大的数据库可能放在某个地方,可能没有办法跟我实际的情况联系起来。第三个是要能够自动化地利用起来这些库,而不只是查询。相信很多厂商都在向这个方向努力,X-Force也一样。
我们努力的第一个方式就是和产品的结合。因为目前我们的漏洞库也可以称为威胁情报库,包括几个方面的信息:漏洞、域名、APP应用、IP信誉和URL信誉、恶意软件,还有垃圾邮件的信息。这些信息都可以和我们现有安全类的产品做结合。
比如很多网站担心被恶意注入,客户在访问网站时可能会跳到一个恶意网站上。我们在做应用扫描的时候,除了帮助用户寻找应用本身的漏洞,还可以跟威胁情报做自动的关联。当我在扫描你的网站的时候,我可以看到这个网站和恶意URL对比的情况,并且自动提醒用户,网站上已经有一个恶意的URL。
另外,我们有很多网络流量监控工具,这些工具可以看到客户在整个网络上的通信,它也可以跟威胁情报相结合,发现一些本来看不到的流量联系。可能这些流量不是恶意的,但如果那些IP、域名是有问题的,或曾经发生过问题的,就可以怀疑它是在进行攻击尝试。这些都可以跟威胁情报作集成,在产品这个层面上,可以提供实时的IP、URL漏洞分析情况,也可以根据企业本身的情况来做结合,把它变成企业自己安全策略。
威胁情报分享平台:X-Force Exchange
威胁情报的分享和利用,主要有三个重要的方式:第一个方式是你要有,你要查得到;第二个要有推送;第三个最好是自动化的方式。
IBM X-Force Exchange 就是一个开放的、可操作的、社交的情报平台,它把X-Force这么多年的积累,可以说是完全无偿开放给公众。你可以在这个平台上查询IP地址的信誉,查询某一个域名是否问题,某一个APP是不是曾经出现过问题等等一些情况。
IBM X-Force Exchange 平台
目前 X-Force Exchange 完全免费为公众开放,当然这个开放主要是基于研究和学习用途,如果是商用我们有商务的版本。同时,它也是一个可操作的一个平台。目前这个平台支持一些业界通用的威胁情报交互格式。你可以通过标准格式和自己现有的产品方案、学习工具来进行集成。同时,它还是一个社交平台,可以进行思路上的分享,多向沟通。
它实际上是一个门户,是一个向公众开放的接口,当然我们也会有商用的接口,可以和产品化来做集成。目前我们也在国内有这样的一些合作的意向,这就是我们的威胁情报分享平台。
安全领域的应用商店:APP Exchange
即然还是Exchange,所以还是共享的概念。它是什么呢?它很像是苹果的 App Store。但这是安全领域的应用商店,这里面可以看到一些安全智能合作的新平台。可以使IBM的工具和其他厂商的工具,IBM的威胁情报和其他厂商的威胁情报,形成网络互通的关系。比如我们自己的应用智能分析的APP,就是直接引入了威胁情报。
IBM 安全App Exchange 平台
通过 APP Exchange 这样一个开放的框架,可以非常方便地引入其他厂商提供的威胁情报。比如说你现在有一套安全平台,不同的领域,网络、终端、数据库、应用,可能使用了不同厂商的安全产品,或者是防护措施。我们希望这些产品都能够和现在非常火热的,而且是比较有效防止APT攻击的威胁情报做联动。
原本这件事情是很困难的,因为需要所有的厂商都去支持威胁情报。但通过这样的一个平台,你可以把下面的所有的信息收集上来之后,由这个平台来帮你和IBM,或者是其他厂商的威胁情报信息来做联动。
比如网络里面发现一个信息,但是这个网络厂商可能并不存在威胁情报的能力,这时你就可以通过这个平台,把它和IBM库里面的威胁情报信息做关联,以发现问题。这只是一个方向,你还可以做更多的事情。比如企业希望能够对内部安全事件做进一步的分析,就可以通过这样的平台来展示内部的一些安全态势。APP Exchange 就是来做这种集成的平台。
我们也可以和其他的合作伙伴来做集成。IBM即将收购一家专门做安全应急响应的公司Resilient,当你的SOC平台或者安全管理平台希望能够和专业的安全应急响应的平台做联动的时候,APP Exchange 可以帮你做这件事情。企业这边发现安全事件之后,可以直接在Resilient里来响应并跟随。
IBM 合作伙伴应用(Resilient)
再比如,和一些厂商进行合作,以往的困难在于数据格式的统一。因为有很多系列的产品,每个系列又有很多型号,为了和它集成,需要FOLLOW所有厂商的所有产品线的所有型号,这个工作量是巨大的,尤其在客户,更可能会用很多型号的产品,而Follow永远都是慢一步的。
APP Exchange 就可以帮助我们做这件事情。每出一个新的产品,一个新的版本,如果数据格式有变化的话,APP Exchange 就会自动发布,如同 App Store。当你想要这个新版本、新产品线的数据的时候,只要去上面下载即可,最新的适配器也好,格式的转化也好,新买的设备可以直接地无缝集成到我们的SOC平台上去,而不会有滞后的现象。这就变成了合作,我们叫作生态系统,希望能够通过这样的方式来去解决威胁情报,或者是说我们的安全信息交互问题。
AppExchange 平台应用外挂程序
目前 APP Exchange 上已经有超过数十个应用,还有大量的应用正在审核过程中,而且审核过程也和App Store 的审核流程相似。如果大家有一些产品,或者解决方案,希望能够跟威胁情报或者其他厂商的产品来做一些联动的话,也可以基于这个框架来做开发,并且上传到这个平台。
数据永远是分享、利用起来,才能发挥它最大的价值。
三、安全值-5分钟量化企业安全风险
—— 谷安天下安全值产品总监 赵毅
安全值是怎么来的?
谷安天下是一家信息安全咨询公司,借助“威胁情报”这一前沿技术,打造了一款产品,通过这款产品可以实现五分钟量化企业的信息安全风险。
我们关注威胁情报这个领域已经有两年的时间,通过调研发现,国内国外有非常优秀的数据资源,威胁情报的本质就是数据。但数据的纬度是不同的,因此如何把数据用好,是我们想要解决的问题。数据分析和处理或者是机器学习,不是谷安的长项,但我们可以基于威胁情报生成一些信息,并形成产品。威胁情报有了,但它的价值何在,如何使用这才是我们在做的事情。
信息安全领域,好多技术聚焦在攻防对抗、应急响应、事件处理和漏洞挖掘等方面。但谷安想解决的是上层应用,即用数据威胁情报做风险管理。这方面谷安天下就非常专业了,我们本身就是做IT风险的,所以建立一个比较好的风险评估模型,把数据玩好,还可以输入到SIM、SOC,发挥我们咨询顾问的优势,从风险评估管理这个角度来做解决方案,这就是安全值的思路。
安全值的数据基础
谷安是咨询公司,数据从哪里来呢?我们历经两年的时间,整合了全球顶尖的数据资源,一共100多种,然后通过安全值来进行对这些实时的数据数据源进行查询和分析。这些数据有收费的也有免费的,有威胁情报数据,还有一些互联网通信类的基础数据。因为我们是第三方咨询公司,所以能够跟大家进行广泛的数据合作,这就是安全值的基础。
三个问题
1. 互联网开放带来的新风险到底有哪些?
2. 如何定性企业的安全做到什么程度,每年的投入到底有什么效果?
3. 由于缺乏直观形象化的数据来支撑,管理者如何做好安全预算?
二个案例和三个价值
案例一:某银行数据中心,有一天跟国外的数据中心通信中断。检查网络、检查系统,都没问题一切正常。费时、费力干了很长时间,最后发现由于国内一些IP出于一些原因被国外放到了黑名单里,放在欧洲的防火墙黑名单里,所以造成与欧洲通信的中断,如此简单的一个问题。
以前看事情的角度都习惯于站企业内部去看,有可能还自我感觉良好,但换一个角度看问题就不一样了。从这个角度出发,我们必须换一种方式,不能光用传统的扫描检查等方式,还需要有新的方法。这个时候数据分享的价值就出来了,假如我们能够得到实时的情报数据,我们马上就能解决上面的这个案例中遇到的问题,根本没有必要投入到那么无用的网络排查当中。因此需要全方位的整合一系列数据资源,来帮助大家看到这样的未知风险。用外部的方式来看,换一个视角来看,通过安全值来看。
从这个案例中可以看到,我们所有的数据必须要实时的或至少是即时的,但谁的数据也不可能说是百分之百特别全的,怎么办?谷安不是安全厂商,既然我们是中立方,为什么不能跟大家合作,帮助企业整合数据资源呢?在实时数据的基础上,用安全值的平台做分析,最后得到量化的风险评估,这就是通过安全值来看自己。
我们把域名、主机、IP作为企业资产,然后通过100多个数据源,从业务、隐私、应用、主机、网络和环境六个纬度识别安全风险,通过建立比较完善的算法,用这六个纬度打分,最终量化风险。这些风险指标包括了IP、域名、协议在外面有没有被人封掉,域名是否被劫持,外面是不是有人曝光了你的漏洞,有没有僵尸网络,自己有没有恶意代码,甚至托管在公有云上的服务是不是有风险等等。
安全值界面
现在我们有9个指标,后续随着数据源接入的越来越多,分析、挖掘能力的强,我们会有更多的指标参与计算。帮助大家揭示风险,这是谷安所擅长的。
还有一个很关键的就是定量问题,安全值的分数是一个千分制,分越大越好。每天都去计算一下,就可以形成一个趋势,直观简单的发现新的风险。这就是我们带给大家的第一个价值,用安全值看自己。
案例二:分享一下某集团公司信息安全管理部进行量化安全考核评价的经验。大家知道,集团管理的下属单位都有安全考核的机制,用什么方法能够帮助实现这样的绩效考核呢?如果用分数进行量化,而且是自动化的操作,就能计算出来进行评价呢?
安全值在这个集团公司进行了很好的应用,可以对全国范围内的公司进行安全绩效的评价。直接实现,而且是自动化。这个纬度上,就不是用安全值看自己了,而是站在全行业的角度上去看。
这个平台3月27号运算的数据,银行业是854分,后续不光是银行业,还会有证券、基金、保险,我们都会连续的出行业分析报告,希望通过安全值的简单方式就能了解行业的基本安全情况。
这个分是怎么算的呢?平台从网上采集到了207家金融机构的数据,基本是在10亿资产以上的。把它的安全值都算出来,取平均值,即854分。有114家属于800到1000分这个区间,这是“良好”。还有8家单位扣分扣得多,评价是“较差”。我们还把它进行分类分析,大家知道有很多资产不一致的单位,它之间的可比性较差。因此我们细分了股份制、政策性、城商行、农商行等等,后续我们会根据这些细分去做详尽的分析报告。
通过这种方式,我们也摸了一下这207家银行的资产情况,发现2000多个域名、主机,4000多个IP,通过9个风险指标我们进行了高、中、低的定义。最后发现在这里边最高的风险类型,就是域名被封、IP被封和僵尸网络这三类。这就是行业需要优先解决的问题,最大的风险就在这些方面。
银行业安全值报告
说到这儿有些人可能会问,你的数据你的平台反应的就是全貌吗?这个行业就是这样吗?你只是从外部的数据去看,能代表银行业的问题吗?
这里的关键在于,所有的行业都是在同一个综合数据平台的基础上,同一个评价体系的标准之上进行分析量化的,因此至少它的相对分数是客观的。而且我是第三方,大家作为行业监管也好,集团管理也好,反正有行业需求的话,我们就可以通过外部的方式进行量化的评价,对整个行业进行评价。我们会在安全值平台的首页上,把各行业的安全值公布出来,大家可以做一个参考,这就是我们如何做绩效考核和行业分析的思路。
三是我们要在同一个尺度下衡量风险,这是很重要的事。这就是我们要给大家带来的第三个价值,通过安全值看差距。如同比大小,关键是要在一个尺度下面进行衡量,用同一组数据、同一个算法、同一个尺度看差距。我们希望通过这种大数据的方式建立统一的量化风险评价的标准,让大家在同一尺度上有比较,以获得收益。
安全值“差距分析”
比如上卖弄这张图,蓝色代表自己,红色代表行业水平线。通过这个,就可以知道哪方面比行业做得还好,哪方面有所不足。不足的就是要改善的地方,也是安全需要投入的重点。我们还把差距部分进行了详细的表述,包括数量、频率、相对时间、影响等等,多个纬度的指标系数都可以进行比较。所以通过这种量化的方式就能够让大家在同一尺度下进行对比,这是一个非常大的价值。
通过安全值可以看自己、看行业,也可以看差距。我们希望通过安全值这样的产品,能给大家带来专业的数据服务,并且利用我们整合资源的能力,帮助大家把多个资源进行整合起来,发现未知风险,对风险进行量化,并且跟行业还可以做差距的分析。这就是我们把风险管理通过数据这个桥梁带给大家的思路。
四、攻陷指标(IOC)不等于威胁情报
— 微步在线创始人兼CEO 薛锋
微步在线应该是国内第一家专门做威胁情报的公司,去年6月份成立的时候,国内对威胁情报的实践几乎没有,大家对这个概念还是处在学习和观望的阶段。即便到了今天,大家还是对威胁情报的理解有一些不同,但这种百家争鸣、百花齐放的环境是非常好的。我们的定位是一个专注于做数据的公司,我们做威胁情报最核心的就是两个东西,一是数据,第二个就是对数据的分析,分析之后提炼出来有价值的东西。
Norse的可视化做得非常好,但它的失败是在比较重要的威胁情报事件里做了很多严重的误判。所以威胁情报公司还是应该比较严谨的。比方说索尼影业被黑,说这不是朝鲜干的,是伊朗干的,如果连续有几次这样的事件离关门就差不远了。
做威胁情报分析是一件很苦逼的事情,但对于我们做的人来说是很有乐趣的。我们做网络安全真的不止是漏洞,也不止是病毒,对这些东西的进行有效的关联和展示才是最有意思的。因为只有把这些东西串到一块才是一个故事,如果只看病毒,只看代码,是没有价值的,或者说价值非常有限,尤其是对做应急响应来说。
作为比较年轻的公司,在威胁情报方面有哪些实践和应用,其中我挑第一个和第三个单独说一下。第一个事情是在咱们这个圈里面非常有名,去年9月份的Xcode事件。有人设法控制了全国大部分的iPhone,但是我看到一个有趣的现象,很多安全厂商,友商在做各种不同的分析,有人做病毒功能的分析,有人分析有多少APP被感染,有人分析背后的作者是谁,形成了百花齐放的局面。
XcodeGhost事件
威胁情报在这个事情上有什么应用呢?其实就是结合了PDNS的数据做了简单的挖掘。在Xcode事件里面带了三个域名,都是三级域名,我们当时想去通过这个小小的木马去分析背后的团伙是谁,以及它的动机是什么,我们拿到这个数据就查到了一些信息,发现信息全是匿名的,这个事情如果只是这么查肯定是查不下去的。但我们用威胁情报的思路,通过查IP的出现时间,和一些域名等信息,最终找到有价值的信息。
之后我们想分析一下这些人到底是好人还是坏人,他们在微博上注册了微博,说他们做研究,不干坏事。虽然木马里有比较复杂的功能,但是没有人目击见证它干坏事。我们当时做了一些分析之后发现,这个木马跟一个iOS的木马、PC上的木马有关系,最后经过细致、精心的分析之后发现它跟iPhone上的病毒没有关系,但是它以前是写过PC上病毒。这就是通过反病毒,结合网络上的分析,怎么样在应急响应,在实践中发挥作用。
去年12月份,我们发现了一个国外的组织,对境内一些目标的攻击。这个案例里面通过发送一个Word附件,只要你点开链接就会中毒。我们通过一些对比,包括常见的,喜欢什么样的域名,喜欢搞什么样的目标,它的木马跟以前有什么不一样的地方,服务器的框架是不是使用同样的框架。最后我们发现这是一个团伙,主要是针对境外攻击比较多一些。这是比较真实的境外的组织对国内APP的攻击。这个攻击还有一个有意思的地方,我们从Flash文件入手,第一步先挖出来,第二步再往前走一步,挖出来他到底是什么人,当然也离不开木马的分析,这部分的信息我们并没有公开。
威胁情报还是离不开数据的。现在的数据着重在几个方面,一个是在木马病毒方面的白名单和黑名单,我们有4亿白名单,这是跟微软厂商合作的,也有一些对全球域名的数据,比如全球有多少域名,每年新增有多少几百万,包括三级、四级域名,和过去五年中的IP信息变化,还包括跟国内,包括像百度、360这样的杀毒软件合作。
数据来源也是多种多样的,包括跟电信运营商的合作,跟云计算厂商的合作,有很多不同的渠道,我们自己也布了一些点,但是我们开始的时间不长,所以基本所有的数据里面,我们自己布的点的数据并不是很多,我们的工作主要集中在加工和整合的部分。
说到数据,作为情报一定离不开数据,但是大家强调的比较多的,认识比较深的是数量,就是你有多少条,这个条数其实没有太大的意义,因为1000条和10000条是很难去比对的。我觉得除了数量大小以外还有数据的多样性,有的厂商有网络数据,但是没有木马病毒的信息,比如有的厂商有特别多的云端的数据,但是他并不一定有客户端的数据,数据的多样性是特别重要的,不然你只能做特别细分的,掌握故事的一个方面。
另外还有时效性。数据的变化是瞬息万变的,如果你掌握的都是别人拿到的木马也好,网络信息也好,都是上一分钟、上一小时,甚至是几天前的,这个数据就没有价值。接下来是区域性,每个厂家的位置不同。你有上海的数据,或说有全国的数据,但是你没有全球的数据,或者欧洲的数据,这里的区域性也很明显。现在的网络攻击,不能只关注中国的攻击信息,区域性非常重要。还有关联性,不能有效地把这些信息关联起来,在做分析的时候其实是很痛苦的一件事情。
最后一点也是最最重要的,就是分析。一个团队,我之前的一个在互联网公司管威胁情报的同事讲过,威胁情报最重要的是分析师,尤其是对甲方,如果没有很好的分析师的话,其实买再多的设备、雇再多的人也没有什么用。
另外一点,因为最近勒索软件比较流行,很多客户发现他装了杀毒的解决方案,但是勒索软件用JS脚本发给每个人的都是不一样的。而我们因为跟所有的厂商有合作,所以我们经常会看到一些比较可疑的附件,有的360查不出来,IBM能查出来,有的是两家、三家能查出来,这是对付勒索软件比较有效的措施。这就是我们跟国内、国外厂商之间的合作,尤其是在杀毒引擎和一些数据方面的合作。
攻击指标(IOC)不等于威胁情报
很多人问我IOC跟黑名单有什么区别?我举一个例子,有人报警说访问了一个木马网站,传统做应急响应的话处理效率不高。而我们会给这个网站打上很多标签,包括为什么说它是一个恶意网站,就像一个百度百科一样告诉你它现在的一些基本档案情况和一些基本信息。而且在做可视化分析的时候,能看到这个域名跟其他的域名关联。这样做应急响应工作就会变得非常容易。
IOC不等于威胁情报
美国的威胁情报实践和应用比咱们还是要快一些的,所以他们已经不满足于IOC。IOC虽然跟过去的传统方案配合,能够提高检测率,但是它毕竟不能解决所有的问题。即便是这样,在国内对IOC的应用也并不是非常广泛,并不是说IOC用途不大,我之前在微软做安全的时候,IOC这种方式还是帮我们发现了很多发现不了的问题。
微步在线提供的服务
微步在线提供的服务
第一个是IOC,如果你有NGFW、威胁情报平台,我可以帮你做一些报警、试点。数量的意义其实不大,我们每天生成质量比较高的IOC在200条左右,但误报很低,建议如果命中这200条以内,就需要关注了。
第二个是威胁分析平台,后面有一个DEMO视频演示(视频略)。
威胁分析平台
第三个是免费的服务,就是高级入侵事件检测。
另外,就是我们针对现有的客户有一些响应的溯源服务。在十年前中一个木马,把这个木马删了就好。一个电脑中了木马不能满足于重装或者删除木马,可能还想搞清楚是谁黑了你,怎么黑的,为什么要黑?我们针对客户也提供这样的溯源服务。
威胁情报中心
这块是我们的威胁情报中心,就是刚才表格里面的第一项服务,推的就是IOC,画的图是结和以前的IOC格式。我们跟友商的分享都是基于HTTP的分享,这样更轻量级。
威胁情报IOC服务关系图
这个图是简单的关系图,生成的情报通过人和一些简单的算法和规则统计之后生成的情报。我们的人会跟友商或者客户之间,防火墙或者其他的系统发生交互,产生报警,应急响应人员可以根据这个东西做一些响应,包括去查它的上下游,很快能搞明白优先级高不高,是大事情还是小事情,然后再进行决策。
威胁情报+
之前在上海的会上我们提出一个概念叫威胁情报+,因为我们公司即不做软件,也不做硬件,只是基于数据进行分析。虽然大家有时会觉得威胁情报是不是有一种看不见、摸不着的东西,但它对安全的价值我认为没有必要做太多的争论,在国外、在大型的企业里面已经看到明显的价值。它们之间的关系其实是互相促进、结合的关系。你的扫描器、防火墙对接了某种类型的威胁情报,是不是可以变得更好、更智能?
合作伙伴
我们是相对比较中立的厂商,也希望跟更多的友商之间展开合作。我借用“互联网+”的概念,威胁情报将来可能是无处不在的存在。
五、白帽汇视角的威胁情报
—— 白帽汇创始人兼CEO 赵武
业内威胁情报已经说了很久,去年阿里也提威胁情报,但它起码分两块,为什么会出现这种现象呢?我想起一个段子,别人问马云,说王石经常去爬珠峰是为了思考一个问题,你怎么看?马云说其实这个问题我坐在马桶上也能思考。
我再讲一个很有意思的现象,很能阐述我说的威胁情报跟现有威胁情报的区别。某一个公司,这是真实的案例,他们配合国际上的一些法制法规,招到一个很牛的技术,那个技术天天帮别人写代码,去找这个部门,搞了一个月,弄出一两个后门,高兴得不得了。后来那个部门招了一个美女,这个美女什么都没有,就坐在旁边说:“大哥,这是后门的特征,你能不能给我整一些?”那个美女一个星期整了十多个。
我想说的意思是,威胁情报有两块来源,第一块来源是实验室分析出来的,他们很酷,我真的觉得很酷,因为我们做不到。但是从另外一个角度来说,有些情报未必看数据才看得出来。我发现一种现象,我建一个群,我不分析数据,我就吼一声,就有人出来说“这事情我知道”。这种情况其实对我触发很大,我们公司叫白帽汇,我们做的思维可能跟实验室的思维不一样。
我们要讲一些别人不知道的东西:
乌云的白帽账号可以卖到一万块钱,我们发现很神奇的现象,乌云有一个机制,多少天以后什么样的用户可看什么样的内容。买白帽的账号,这个信息没公开之前可以刷一批网站,这个很夸张,我们得到信息以后,确实让我们吓一跳。
刚才提到的四个问题是让大家有一个思考的过程,我们认为的威胁情报,如果大家都在说这个东西,那一定不是威胁情报,因为你知道,别人也知道,所以我认为众人皆知的不能叫威胁情报,因为信息安全最核心的本质就是信息不对称。我们跟踪的一定是你不知道的,或者你之前没听说过的,我才把它叫威胁情报。
可能很多人都知道我们做了一些数据收集和整理的工作,但我们碰到一个很尴尬的境遇,我们确实掌握了很多情报,但是这些情报从我们目前来看根本不敢对外宣称。大家可能听说过之前的一些数据泄露的情况,每个都引起行业的轩然大波。从安全公司的层面或者是国家的层面,有些东西是不能说的。但是不说不代表没有遭受攻击,但真要说出去可能就变成出头鸟被打了。
白帽汇做什么
我们去年8月份才成立,团队主要来自于360和华为,专注于做安全大数据和企业威胁情报。我们会从很多渠道去搜集,大多数人都不知道,但是实际上已经发生危害的情报数据。Nosec网站就是我们的,我们想跟白帽换一些数据过来。之前还发布过《Redis crackit 报告》和《fortinet 后门报告》。
我们为什么成立这个公司?网络攻击并不是在减少,而是越来越多。那是不是说明安全公司是无效的?不是,大家做的工作都很棒、很酷,能够保证我们的基础安全。但情报为什么不敢报?还有很多数据为什么不敢说?因为本来这么和谐的一个社会,一说就捅娄子了,就不和谐了。
从另外一个角度思考,钓鱼网站的受害者每天都在增加,有没有一个安全企业能够帮客户解决这些问题?安全实验室所有设想的安全防护是不真实的,外部的攻击绕开了你的边界防护。而且还有一个问题,如果一个攻击者使用正常的用户名和口令登录,产生报警,如何确认它是一个威胁呢?这是一个很典型的悖论,外部的攻击,通过你泄露的信息进行的攻击,甚至没有跟你的资产有任何的交互,就把你的数据拿走了。但你今天怎么分析都分析不出来,因为那个数据一年前就流传了,这是我们遇到的很尴尬的境地。
我们统计了四类威胁:
第一类是企业不知道的隐形资产,已经弃用或者新上线的资产会导致70%的攻击源。我们认为一个可被攻击的对象不止是技术上、物理上的资产,还有人员的资产。这是我们要思考的一个问题。
第二个是Nday的问题,结合刚才提到的很多黑客买白帽账号,拿到情报,去做全网的扫描,这是很大的威胁来源。
第三个是目前在安全攻防角度很明显的思考,叫外部数据的威胁,比如撞库攻击、Github泄露、钓鱼、后门。这一系列都是从外部来的,它不是从内部,内部再做数据监控都监控不了这一块。
威胁大致来自这几方面,那我们就面临一个挑战,如何全盘了解企业的资产?如何快速了解漏洞信息,并在黑客攻击前进行响应?这么多年有一个非常不合理的情况,就是面对黑客企业只会逃跑。我们是不是应该主动出击?我们永远被动等待用户受损呢?
我经常去思考一个问题,为什么企业跟安全公司对抗的时候,落后的一定是安全公司,而不是黑客。因为我们跟踪黑客的情报的时候会发现,安全公司至今很难进行友好的联动,但是黑产至今互相的联动非常之紧密,分工合作得非常好。
我们为什么老去防护,而不能去攻击?我们能不能做一个攻防的转换,把战火烧到敌人的阵营?
这里分成四个方面:
第一是黑产的情报监控。比如数据泄露、有哪些钓鱼网站针对你企业进行钓鱼攻击。
第二就是黑产打击,比如恶意源下线、安全软件拦截。360的产品、腾讯的产品、百度的产品对它进行拦截,这是我们可以做的事情,但是黑客一直在那儿,它既没有撤退,也没有减少攻击,只是把攻击更加剧。所以我们能不能更往前走一步?
我认为还会衍生两个方面,第一是黑客画像,他通过钓鱼在攻我,我想知道这个人是谁,即溯源。黑客如何画像的呢?分为两块,一块是弱安全性,比如说邮箱信息、QQ信息,我可以沟通一个情报,就是当我们通过一些钓鱼网站注册的域名信息得到他的邮箱的时候,我认为他就是黑客,后面我发现他真的不是黑客,他只是集群黑客的一个链条。
钓鱼网站有几个链条,首先他会注册一批站群,叫“出租屋”。有人负责注册域名,有人负责搭网站,有人负责域名租给你,一个星期2000块。安全人员去定位这个人的时候,结果他是租的。还有验证数据库真实性的洗库服务。这是黑客画像的思路。
最后是黑产反制。
我在行业中没看到有人这么做过,但是我们尝试做了一个活动,在前段时间,我们针对超过1900家钓鱼网站进行了反制。受害者的数据包括用户名、银行卡号、银行卡密码、身份证号、家庭住址等,为什么洗库可以洗出100万?因为黑产的人能够通过这些信息把你的钱转走。而且钓鱼网站多少年了?今天拦截一个,明天打一个,后天又出100个。我既不知道哪些客户受损,也不知道哪些人在做这个事情,清单是没有的。
受害者数据
给大家讲一个真实的案例,在去年我们拿到几千的数据,然后就去报案,但很难受理。因为,第一受害者没报案,第二受害者不在接收报案的管辖区,第三就是成本问题。如果每一个损失小额财产的用户都去报案,公安是处理不过来的。
有很多是我们不知道的,打到最后没有钓鱼网站可打了,如果在座的遇到钓鱼网站,不妨给白帽汇提供,我们来打。截止昨天统计的数据超过1900家钓鱼网站,16000受害客户。我们为什么把自己标榜为草根阶级?我更愿意从一些最基层、最基础的安全攻击去入手,把没摸透的产品和情况进行摸底,然后进行还原。
黑客画像
最后再强调一下黑客画像。这是一个实际发生的案例,拿到QQ以后,我们会通过QQ做一个接入点做画像,还会分析他的线下信息,比如常用的手机号、姓名、身份证号和住址等。做这个事情的原因是什么?我们认为安全的环境一定不是等来的,而是通过打击黑色产业得到的。把攻击者进行抓获也好,进行惩罚也好,反正安全的环境等是等不到的。
