大型企業面臨高級持續威脅,企業高價值數據資產被竊;、多個政府網站遭到多個境外多個黑客組織的攻擊……,在互聯網+時代,不斷有企業與組織遭到攻擊,建立威脅情報中心已經迫在眉睫。昨天,記者在中國威脅情報業界專家沙龍了解到,360已經建立全國首個威脅情報中心,并已經發現了至少13個高級持續性威脅。
目前,所有的企業防護在理論上都可能被攻破,一般來說,黑客獲得攻擊權限后,“分分鐘”就可以取得企業的高價值數據,最快不超過一天,但是受害企業站發現被攻擊后,需要逐級匯報,響應非常緩慢,幾天甚至幾周時間才能發現數據泄漏,盾和矛處于嚴重不平衡狀態。
“威脅情報中心就要縮短發現高級威脅的時間,并摸清攻擊的來龍去脈與背后的信息,增加攻擊者的成本。”360天眼實驗室安全專家韓永剛介紹,攻擊方利用漏洞攻擊,以前沒有情報,被攻擊方只能發現一個漏洞,補一個漏洞,或是發現一個惡意軟件,處理一個,也不知道是否處理完整了,面對高級持續威脅時非常被動。但是有了大數據驅動的威脅情報,只要攻擊被人發現一次,馬上在全網數據中進行關聯推演。攻擊者所有手法、工具、跳板都會曝光,被攻擊者的防御周期從原來的幾周,幾個月縮短到天,小時甚至實時,威脅情報中心就是要時刻發現攻擊來源,做到看見高級威脅的能力,并幫助用戶能立即響應,處理。避免損失。同時,威脅情報中心還可以通過對流量與安全輿情的監控,對大規模網絡攻擊,如DDoS,大規模Web攻擊進行監控與預測。
美國DBIR2015的報告,2014年,接近八萬家公司被黑掉,耳熟能詳包括索尼、蘋果、摩根大通,這其中摩根大通就丟了七千多萬的客戶信息。
在國際上,如美國已經成立來了網絡安全和通信整合中心,專門做政府和企業威脅信息共享的機構。但是又繼續成立了網絡威脅與情報整合中心,歸屬國家情報總監辦公室,專門為美國政府和企業收集信息和分析信息。可見他們對于網絡安全威脅情報的重視。
今年,360公司建設了全國首個企業[韓永剛1] 威脅情報中心,威脅情報中心背后以360公司90多億樣本,幾萬億條防護日志和幾十億DNS解析記錄,國內最大的漏洞庫等海量數據為基礎,利用對互聯網全網大數據的挖掘,關聯分析,機器學習,可視化分析等技術,同時整合了漏洞挖掘、惡意代碼分析、攻擊分析和威脅情報跟蹤等團隊的安全分析能力,生產高質量的安全威脅情報,并應用到360企業安全的邊界安全,終端安全,未知威脅發現,安全運營管理的產品與服務中。使得數據驅動能夠通過威脅情報將這些防御,檢測,響應,預測的體系銜接起來。
“以數據為驅動、幫助企業具備持續監測和分析的能力,同時結合360的威脅情報,打造縱深防御。”韓永剛介紹,中心成立以后,已經發現及跟蹤13個在中國活躍的APT(高級持續性威脅)組織,并分析出他們對不同行業攻擊,攻擊事件地域分布、使用漏洞情況、控制服務器情況、注冊的域名情況。
著名網絡安全威脅情報領域專家金湘宇介紹,威脅情報實際上也是為安全設備升級提供一個契機,將為防火墻等傳統安全產品升級提供幫助,國外安全產品支持第三方威脅情報有一兩年了,目前國內很罕見。360整合威脅情報資源很有意義,未來對入侵檢測、入侵防御、防病毒等都會支持威脅情報。政府機構、安全產品、云安全服務廠家、企業用戶可以應用這些成果,最終形成互聯網的全面防御。
京公網安備 11010502049343號