2016阿里安全峰会—— 网络安全情报在企业侧的落地与实践 叶蓬 启明星辰 泰合本部 2016-7-14 网络与信息安全面临的挑战 攻击无法避免，重要地是检测和响应 响应太不及时，留给对手太多自由攻击时间 检测力度不够，难以识别未知威胁 缺乏主动安全，处处落后于对手 各自为战，缺乏协同，知识难于传递 人才有限，分布不均，企业侧安全人员匮乏 2 RSA：当APT成为主流 构建一个情报引领的新型安全体系架构 1. 进行高级情报收集与分析 – 让情报成为战略的 基石 RSA报告：2011年 2. 建立智能监测机制 – 知道要寻找什么，并建立信息安全与 网络监控机制，以寻找所要寻找之物 3. 重新分配访问控制权 – 控制特权用户的访问 4. 认真开展有实效的用户培训 – 培训用户以识别社会工程攻 击，并迫使用户承担保证企业信息安全的个人责任 5. 管理高管预期 – 确保最高管理层认识到，抗击高级持续性 攻击的本质是与数字军备竞赛战斗 6. 重新设计IT架构 – 从扁平式网络转变为分隔式网络，使攻 击者难以在网络中四处游荡，从而难以发现最宝贵的信息 7. 参与情报交换 – 分享信息安全威胁情报，利用其他企业积 累的知识 3 威胁情报的定义 威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行 的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险， 并可以用于通知主体针对相关威胁或危险采取某种响应。 威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述，包括了这 些敌对方的战技过程（TTP）的描述。 威胁情报是一个为了对安全威胁、恶意攻击者、漏洞利用者、恶意代码、漏洞 和失陷指标进行阐释而进行收集、评估和应用的数据集。 美国《国家情报战略》（2014）指出，网络空间情报（cyber intelligence ） 包括有关外国活动者的网络计划、意图、能力、行动等，他们对本国国家安全、 信息系统、基础设施、数据资料的影响，以及外国信息系统网络特征、组件、 结构、使用、漏洞等情况。 《孙子兵法》：知己知彼，百战不殆 4 威胁情报正在得到客户认可 《第二次关于网络空间威胁情报交 换的年度调查报告》* 2015年有65%的受访者表示威胁情 报能够阻止或减轻攻击造成的后果 * 该报告基于对692位企业和组织的专业IT人士进行的有效问卷调查得出。 5 从威胁情报到安全情报/安全智能 • 威胁情报不是漏洞情报！ 从防御者的角度来看，获取威胁情报是为知彼，而获取漏洞情报是为知己 典型的威胁情报源 安全情报 按种类 …… 威胁情报 按来源 按对象 来自外部 OSINT 商业情报 来自内部 社区情报 SIEM/N BA 漏洞情报 沙箱 网络TI IDS 按来源 事件情报 基础数据 情报 按复杂性 主机TI 简单TI 外部情报 内部情报 按层次 战略情报 战术情报 典型的漏洞情报源 复合TI BDSA 6 安全情报分为提供者和消费者 • 现在国内的视线大都聚焦到安全情报的生产者 （提供者）身上了 • 对于如何消费情报谈之甚少 只讲情报本身而不讲情报的使用都是空谈 对于政企客户，情报只有使用起来才有价值！ 情报的使用过程就是将情报与企业自身的安全要素信息和安全机制相结合的过程 7 企业侧如何消费安全情报？ 漏洞预警、威胁预警 安全预警 设备情报升级、系统 协同与自动化响应 协同响应 实时比对 内部数据与外部情报实时比对 情报生成 内部情报产生与分享 历史追溯 威胁猎捕 交互式分析、威胁追踪与猎捕、攻击链分析 内部历史数据与外部情报 批式比对分析 8 用例1：安全预警 威胁情报 战略情报/战术情报 漏洞情报 威胁 情报库 某组织针对能源企业进行持 续攻击，采用钓鱼邮件手法， 利用XX漏洞 威胁预警 企业 漏洞库 资产比对 企业 资产库 安全 事件库 安全运维 系统/应用/组件 名称及版本 资产比对 事件情报 漏洞预警 事件告警 IP/记录/邮件…… 单位互联网出口发现C&C通信； 发现单位的敏感信息在黑市传播 9 用例2：实时比对 通过威胁情报增强安全事件关联分析质量 情报关联 威胁情报 持续更新 机读情报/战术情报 威胁 情报库 关联规则 实时关联引擎 实时事件流 IDS报警某个IP被攻击，同时这 个攻击源来自威胁情报库中所标 识的C&C服务器 事件告警 安全运维 持续采集 网络 主机 系统 终端 10 用例3：历史追溯 威胁情报 战略情报/战术情报 威胁 情报库 从2015年4月起，某组织掌握了 一组僵尸网络用于进行信息窃取 威胁预警 追溯从2015年4月起至今的安全 事件（日志），查找是否有来自 这些僵尸网络IP的访问 事件追溯 安全 事件库 影响性分析 时间/空间 11 用例4：威胁猎捕(Threat Hunting) 威胁猎捕是一个交互式安全分析过程，威胁情报为威胁猎捕提供线索 外部安全情报库 威胁 情报库 实时事件流 安全 事件库 源 源 事件情报关联 规则 幕后 组织 可疑事件 可疑事件 IoC TTP 绘制攻击链 持续监测 目标 目标 数据挖掘 生成内部情报 12 用例5：情报生成与分享 内部情报更重要！ 13 用例5：情报生成与分享 情报服务提供商 企业A Team A 安全分析/威胁猎捕 Team B 企业B 安全分析/威胁猎捕 内部威胁 情报库 企业C 安全分析/威胁猎捕 Team C 情报联盟 14 用例6：协同响应 Playbook/脚本 外部威胁情报 威胁 情报库 研判决策 战略情报/战术情报 内部威胁情报 转义/连接 安全设备/系统 阻断/ACL 检测/黑名单 修复/漏洞补丁 加固 …… 运维系统 工作流 工单 案例管理 OA协同 邮件/短信/微信通知 …… 15 企业侧如何落地安全情报？ 企业安全情报平台+SOC/SIEM SOC/SIEM是承载机读威胁情报的最优选择 SOC需要借助威胁情报来提升自身的价值 未来SOC发展趋势： ① 在战略和战术上集成威胁情报 ② 通过高级分析将安全智能落地 ③ 尽可能地安全自动化 ④ 主动的威胁猎捕与调查 ⑤ 部署自适应安全架构 16 企业安全情报平台eSIP+SIEM/SOC 外部情报 漏洞情报 威胁情报 基础数据 厂商 信誉反馈 情 报 采 集 信誉反馈 情 报 融 合 安全预警 情报报告 情报分享 情报分析 下级 平台 情报下发 情境数据库 内部情报 HUMINT 威胁 情报库 漏洞 库 资产库 …… ATD/沙箱 基础 数据库 情报关联 信誉反馈 事件/流分析 （关联/行为/交互/批式） 情境关联 资产、拓扑、身份、 位置、内部IP 情境数据采集 事件/流库 事件/流缓存 事件 流/采集 漏扫/基线/PenTEST 内部情报生成 17 企业安全情报平台的价值 将安全情报集 成到现有安全 机制中 更快地分析出 威胁和攻击 更主动地分析 构建起自有的 出暴露面和攻 情报库 多源情报自动 采集与融合 击面 企业安全 情报平台 更迅速地响应 与协同 18 启明星辰如何将安全情报落地？ 启明星辰泰合TM 安全管理平台+企业安全情报平台 国内最专业的 独立威胁情报服务提供商 泰合计划的宗旨是： 平等协作、互利共赢 以泰合安管平台为依托，连接业界优秀的安全威胁分析能力，共同为政企客户交付安全价值 19 情报利用能力成熟度 20