安全是一場攻防戰,那么,如今這樣的攻防戰發展到了什么level了呢?日前,安全領域的大神們進行了一場閉門研討 。大神們表示,如今要想保證自己的安全,你不僅需要武器,還需要偵察兵,需要一份威脅情報。
納尼?威脅情報是什么鬼?
互聯網安全曾經歷經了流氓互毆,俠客對決、黑社會火并等等階段,現在已經形成了攻擊者有組織有預謀,防御者有偵查有戰術的局面——無論是攻擊還是防御,都超越了點對點的戰術,而越來越倚仗于全面的戰法。簡單來說,就是搞安全的不僅要看編程指南,還要看孫子兵法了。
既然是正規軍對壘,戰法就要變得相對立體。所謂知己知彼,百戰不殆。威脅情報,就像是八百里加急快報送來的敵情。
先來看看信息安全教主級公司 Gartner 怎么解釋威脅情報:
威脅情報是針對一個已經存在或正在顯露的威脅或危害資產的行為的,基于證據知識的,包含情境、機制、影響和應對建議的,用于幫助解決威脅或危害進行決策的知識。
由于安全行業的特殊性,各位大神對自己經手的安全事件和服務對象守口如瓶,不過,他們提出了一些理念,還是讓人覺得新鮮有趣。
攻擊只需數分鐘 防御卻需數天
木桶理論失衡,現在玩的是塔防
“所有的系統一定可以被入侵。”這是威脅情報專家,Sec-UN網站創始人金湘宇給出的“悲觀論斷”。他認為,互聯網攻擊的技術在不斷提高,而所有的系統都存在漏洞,避免被攻擊在邏輯上并不成立。
原來認為安全就是做木桶,只要補上短板就可以高枕無憂,現在發現安全玩的是塔防,要實時應對到來的威脅。以目前的網速來看,拖庫的攻擊甚至在一天內就能搞定,往往是網站信息已經泄露到了網上,被攻擊者才得知自己遭受攻擊,這樣的攻防已經完全失衡了。所以做應急響應的關鍵,實際上是在努力減少攻擊者的“自由攻擊時間”。
通俗來講,自由攻擊時間就是在被打者反應過來之前,進攻者可以肆無忌憚出拳的時間段。
藍色時間段為“自由攻擊時間”
知道了自己被攻擊,好歹還可以斷電嘛。被爆菊后還無動于衷,該是多么悲傷啊。
錦囊里有什么?
中國信息安全評測中心首席信息安全咨詢師蔣魯寧說,只有情報收集者能夠采取應對行動的情報,才是真正意義上的情報,否則就僅僅是一種知識。所以,可以說安全企業提供的威脅情報不僅是一份報告,還應該包括可以應對的錦囊妙計。
常見的網絡安全威脅情報清單
根據上圖的情報分類,不難推斷出一般企業面臨最多的威脅有哪些。除去打擊黑客的攻擊威脅之外,品牌輿情也是企業最看重的。也就是說,情報的收集,已經不僅僅局限于安全領域,甚至可以拓展到企業的社會評價,甚至是輿論走向預測。例如,錘子發布T1的時候,如果提前進行威脅偵查,就可能會知道:產能嚴重不足將導致一大波口誅筆伐的到來。
情報不是輪子,而是一臺車
攻擊是一個行為體系,包含動機、攻擊方法、攻擊事件、被攻擊系統、應對行動等等諸多要素。如果你發現一把刀,并不能認為這把刀是對自己有直接威脅的。一個工具只有在有行兇動機的人手中,并且做出了威脅你的事情,才可以成為兇器。
蔣魯寧認為,所有的情報都需要根據企業自身的業務流程來加工,才能形成有指導意義的威脅報告。金湘宇舉了一個形象的例子:
威脅信息就像汽車的一個零件——一個車輪,但一個車輪并不能工作,而威脅情報是一部車。只有協同配合,才能讓沒有生命的信息躍遷成為一個更高級的整體。
威脅情報行業這兩年在全球以60%的復合增長率膨脹,仰仗的是大數據的整合能力。然而, 在實踐的操作中,防護體系有著諸多的問題。
對于一個企業,每天僅僅是高度匯總的威脅信息都有上千條,而其中,真正有用的也許只有幾條。另外,常規的安全防火墻只能應對普遍的攻擊,對于有特殊目的的針對性“點殺”根本無能為力。
360高級產品總監韓永剛認為,數據驅動非常重要,但是數據量不一定要很大,數據的處理方法也直接決定了處理效果。也就是說,評價這臺車的的好壞,不能只看它的體量,最重要的是發動機的精密結構和技術含量。
威脅情報可以改變攻防態勢
我就靜靜地看著你裝X
360高級產品總監韓永剛認為:“看見,是防護的第一步。”這也是威脅情報的意義所在。有了威脅情報,某種意義上講等于開掛,因為防守方有了上帝視角。韓永剛表示,360已經建成了國內首個可商用的威脅情報中心,并已經發現了13個APT(高級持續性威脅)組織。
說到這里,還可以講一個小故事。
二戰中,盟軍依靠計算機之父圖靈的天才破解了德國的密碼,得知德國馬上要對考文垂進行轟炸。但是為了爭取更大的決定性勝利,盟軍選擇不讓德國人知道對手已經破譯了其密碼。因此盟軍方面沒有對考文垂進行有針對性的的防御措施。于是德國人相信其密碼依然是安全的,從而一步步走進了盟軍的圈套。
在威脅情報中,安全公司同樣運用類似的方法和黑客斗法。例如:穿梭各大安全論壇,裝作黑客的樣子,開心地與之討論最近哪種攻擊方式最流行,有哪些漏洞可以利用。然后回家修補漏洞。
于是,通過威脅情報,企業會對未來的攻擊擁有免疫力,這就徹底改變了原本的攻防態勢。原來也許黑客可以用上整整一年的攻擊手段,一旦進入威脅情報,就被重點監控。如果攻擊者第二次還在用同樣的后門,就等于主動跑到了探照燈下。
某大神爆料,目前美國正在有計劃有組織地曝光其他國家對其基礎設施發動的攻擊。這句話讓人細思極恐,這表明美國已經擁有了一份精準的威脅情報,對其攻擊者的攻擊路徑已經了如指掌。為了不打草驚蛇,其中有60%-70%的攻擊路徑,美國并沒有曝光。沒錯,美國正在靜靜地看對手裝X。
京公網安備 11010502049343號