威胁情报(TI)对企业安全工作的重要性已经毋庸置疑。无论是以接入威胁情报源客户自行管理分析的方式,还是依赖供应商采购能够自动化接受TI馈送的安全产品,或是二者兼具,威胁情报可以说已经成为业界的标配。对一些具有全球视野的大厂而言,还是他们在威胁发现和快速响应方面极具竞争力的优势。
但威胁情报还在不断的进化当中,除了典型的安全攻防外,威胁情报还有着另一重要应用场景。
从真实品牌保护需求出发
随着智能设备和我们的生活越来越密不可分,接入互联网几乎可以随时随地实现。人们习惯通过微信、今日头条、新浪微博等渠道获取最新的信息。企业角度,营销手段自然也要紧追消费者的习惯而改变。实现便捷、覆盖范围广泛、成本相对降低,这些都是数字技术相较于传统的纸媒、TV等形式对品牌传播的天然优势。官方的网站,各社交、电商等平台的官方或授权账户,都是重要的品牌推广渠道。但是,全球化、业务形态多样性、平台监管手段不足等种种原因,让仿冒App、钓鱼站点等欺诈行为有了生存空间。越是知名的企业,或者新兴、关注度高的行业,越吸引网络犯罪者,违法获取消费者敏感或隐私信息,甚至进行商业攻击。
所以,品牌保护是企业维护自身利益,保障业务价值的重要需求。
早在2016年,国内就有类似技术实践,但是相较于数字品牌保护这一完整定义,之前的应用场景要窄一些,更多是专注于钓鱼网站的监控,包括行业、域名后缀、地区、ip等信息。但是,发现并持续监控,是第一步,重要的一步,但不是最后一步。
“数字品牌保护” 的两大核心能力,一是在于利用威胁情报广泛且具有深度的的视野,对侵权、欺诈等恶意行为全面发现和自动化监控;二是在发现后,能高效的处置,即能够联系相应平台和监管机构,快速的进行关停、下线、删除等操作。做到后者,才能真正实现 “保护” 客户数字品牌利益不再继续遭受损失。这也是区别不同厂商能力,或者说实现数字品牌保护的重要壁垒所在。
无独有偶,国外众多研究机构也在跟踪这一技术趋势。国外调研机构Forrester也在2019年的一篇报告中,针对性的介绍了这种威胁情报衍生的技术能力,认为比传统情报订阅或产品能力增强的形式更贴近企业业务,并将其称之为数字风险保护(DRP)服务。
将威胁情报用于业务和品牌威胁自动化监控
数字风险保护是一个较新的TI应用场景。Forrester在今年4月发布的《2019年数字风险保护市场》调研中,将数字风险保护看作客户应该投资的首要威胁情报能力。诸如RiskIQ、Blueliv、IntSights等TI厂商均有参与到Forrester这个报告中。
报告提及,大部分企业高度重视为威胁情报的价值(64%的安全高管愿意将提高企业对威胁情报的应用能力作为一个高优先级或关键事项),但在推进TI落地方面则往往无处下手。究其原因,Forrester表示,CISO们的大量顾虑集中在:采购成熟的威胁情报费用过于昂贵、TI领域应用场景和标准相对零散、难以估量投资回报并推动高层持续投入上举步维艰等问题上。
Forrester认为,数字风险保护在以中小企业为主的中端市场有更明显的优势和前景。中小企业往往安全预算更加受限,负责安全运营的的人员数量和能够投入的精力都相对较少,如何以较少投入从威胁情报中获得更大更直接的收益,无论对于这些企业的安全负责人还是安全供应商,都是重大挑战。
数字风险保护的重要优势在于,通过近乎托管的方式,客户可以委托服务提供方基于威胁情报广泛的视野,重点实现对社交媒体(账户及言论)、Web站点、文库/磁力链等下载源,对客户数字业务和品牌高风险甚至已经造成伤害的行为进行自动化的监控,并在第一时间帮助客户采取授权的行动,尽快止损。而在这个过程中,客户自身几乎不用做任何事情,采用这一服务的成本也相对较低。
Forrester在报告中,将这些可能的风险行为及其对应的保护思路归纳为下面8种:
1. 品牌滥用监控(针对虚假社交媒体账户和钓鱼网站的欺诈行为)
2. 仿冒和欺诈检测(包括出现在网络黑市、论坛等地的仿冒和侵犯知识产权的行为)
3. 数据泄漏发现(包括深网和暗网中的敏感数据)
4. 数字足迹的定位和监控(漏洞、暴露资产和影子IT等问题的发现)
5. 员工监控(现员工和前员工在社交媒体上的活动)
6. 人身风险(包括地点、活动、高管旅行计划等可能造成人身伤害的数据泄漏)
7. 钓鱼阻止(以窃取消费者支付或隐私数据为目的的钓鱼网站)
8. VIP和企业高管保护(确保重要人士的安全,包括清除虚假的社交账户)
除了Forrester以外,另一重要调研机构Gartner也关注到了这一新的技术应用领域,在其《威胁情报产品及服务市场指南》中,对应列出了企业业务和品牌提及了包括对社交媒体、品牌、深网与暗网、钓鱼等欺诈行为、以及仿冒手机app的监控,作为目前威胁情报服务的重要应用场景。在《When Security Meets Marketing —Who Owns Digital Brand Protection?》这篇报告中,也同样指出了数字时代品牌保护的几个核心要点:发现、分类、处置、管理分类,而报告中提到的主要玩家,许多同样是威胁情报领域的知名玩家,比如RiskIQ等。
但不难看出,目前全球对威胁情报的应用还处在广泛的探索和积极尝试阶段。如果说数年前,威胁情报的难点还在于支持/管理平台、广泛的数据收集和分析后的针对性馈送的话,那么在技术日趋成熟的今日,特别是对于新兴、专注于威胁情报的公司,重要的是可行且有切实付费需求的应用场景,以及其背后的商业模式。
从上文的介绍可以看出,从威胁情报(TI)技术到数字品牌保护(DBP)的应用,并逐步向着数字风险管理(DRP)发展,已经成为业界的发展趋势。国内安全企业,也有在做着相似的实践。
天际友盟的数字品牌保护实践
成立于2015年、专注于威胁情报应用的安全公司——天际友盟,近期将企业定位从 “情报应用” 升级为 “数字风险”,形成威胁情报应用+数字品牌保护的两大产品和服务线,并以钓鱼网站监测和关停为起点,推出了一系列针对 “数字品牌保护” 的解决方案。
天际友盟在 “数字品牌保护” 方面的能力优势主要体现在以下几点:
1. 监控的全面,得益于广泛的情报合作。这包括国内外近200家机构,日更新超过千万的IOCs,以及基于机器学习的全球恶意域名的自动化监测和发现能力。此外,还有对域名注册、DNS请求、以及网站指纹的主动探测。
2. 快速的处置,难点则在于和各国域名、网络、VPS(虚拟专用服务器)、CERT、社交平台、应用商店、主流网盘等机构的高效沟通。在建立联系,多次合作后,可以通过自动化工单的形式,实现快速(大量统计在10分钟以内)的关停、下线、以及内容删除。
3. 全球覆盖,许多仿冒侵权的灰黑产从业者,往往把钓鱼网站等主体放在海外,并采用反侦察和访问识别等手段来躲避打击,而客户的品牌业务往往需要提供全球服务,因此传统屏蔽的手法不能满足新时代的业务发展趋势,需要有全球打击能力,才能从源头上解决问题。
具体到 “数字品牌保护” 服务内容上,目前天际友盟提供下面五个能力:
1. 仿冒和钓鱼保护
钓鱼和仿冒的核心目的,在于通过模仿真实的网站,骗取受害者支付和隐私信息。作为天际友盟 “数字品牌保护” 的重要一类场景,无论是网站、手机App还是社交媒体账号,全面的监控和快速的关停都是非常重要的。诸多钓鱼重灾区行业,诸如银行和互联网等,都有的强烈需求。
特别是对于钓鱼网站,作为天际友盟开展较早的品牌保护服务,给出的处置数据,最快关停时间是5分16秒,平均时长不超过24小时。
2. 品牌侵权保护
与仿冒和钓鱼不同,品牌侵权指的是诸如未授权的品牌使用,以及利用相似域名、仿冒App蹭热度,通过暗示与某知名品牌的联系,实现欺诈消费者的行为。处置的方式,包括停止域名解析、侵权内容删除、App下架等形式。
3. 版权保护
在中国知识产权意识较为薄弱的大环境下, 盗版一直非常泛滥,特别是诸如影视、小说、音乐、图像等数字作品版权。除了明确版权拥有者和发行方的具体需求,对发布资源的网站和社交媒体平台进行全面监控外,还要和主流网盘、播放平台对接,实现快速的内容删除。同一数字作品,因为正常的排期、发售的时间点各国有较大差异,所以官方的安排冲突对于特定国家和地区的版权保护也是重要挑战。
4. 威胁误报恢复
威胁误报恢复主要是两个方向,一是在app开发时引入第三方SDK后,因SDK异常引起反病毒厂商的误报,二是浏览器对基于第三方安全评估结果对页面的误拦截。SDK方面,能够基于不断风险的SDK列表,主动提醒客户在开发时规避,并在发现问题后,协助客户和第三方检测机构沟通(覆盖超过70家反病毒厂商);浏览器则主要在第一时间向客户发出预警,并帮助分析误报的情报信息源头,尽快恢复页面访问。
5. 数据泄漏保护
区别于版权保护,数据泄漏保护主要指企业内部敏感数据被公开在网站、各文库、网盘和社交媒体等平台上公开传播。能力方面则相对类似,在于泄漏内容发现和快速删除,属于不同的业务场景应用。
安全牛评
数字品牌保护,对威胁情报服务商和客户而言都是一种新的思路。兼具广度和深度、以及自动化能力的监控,快速的处置和源头打击的服务能力壁垒,更明显、易理解和估量的服务价值,在这样一个重视品牌和侵权行为及其后续影响的全球商业环境中,数字品牌保护可能会成为威胁情报厂商未来一种重要的应用场景和商业突破点。
相关阅读
