基础数据与 威胁情报实战应用 声明 • 其实…..我只是一个PM, 我是来介绍团队成员的工作 • 老周昨天把fancy的都给讲了… • 什么是安全? • 任何一个具体的产品可能都不代表安全 (比如密码, ids, fw, scanner, 合规, 漏洞) • about “漏洞” • 漏洞恐怕永不消亡，新的攻击点和攻击方式会不断出现 • 大家有没有觉得漏洞越来越多?  漏洞数量和online资源数量在广义上会维持在一个相对平衡和稳定的比例  卡巴,fireeye, twitter,facebook,facebook,dod  承认再牛的系统也会被搞,一部分精力放在更快更早更准确的发现 • 好吧,你这个是威胁情报论坛,那安全必须要等于威胁情报了 • Splunk: the threat intelligence company • IBM: intelligence is the new defense • Norse: Norse maintains the world’s largest dedicated threat intelligence network • 安全是能力 • one of them: ”看见”的能力 (Security Visibility) • 严重缺失 • 国内也开始讲”看见”了 • 可惜常常把看见(visibility)和可视化(visualization)搞混 2大困境 数据太多 2大困境 数据太少,同时孤立 • • 普遍现象 • 数据多的看不过来 • 但需要的数据一般都是没有的 用户感受 • 文档特牛,但是没有实践 • 你再敢说一次关联分析试试? • 你再敢说一次钻取试试? • 你再敢说一次建模试试? • 文档特牛,但是没有实践 • 威胁情报作为看到能力的一个”新”手段,突然变成救命稻草了 • Gartner 2013 • Evidence-based knowledge，including context，mechanisms，indicators，implications and actionable advice about an existing emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard. • actionable info • 国内有一种说法是”完整的actionable信息”才是威胁情报 • 然而我们不认同 • 看传统情报领域 • unknown unknown • known unknown • known known • actionable威胁情报 也许是终极目标 • 但谈直接产出威胁情报是空中楼阁 • 需要foundation • 基础数据 是 基础 • 我们团队做的不是威胁情报,我们做的是基础数据 • 基础数据的两个主要应用 • 基于大量已有数据加机器学习之上的大规模分析和预测，目标是快速实时的收割所谓low hanging fruit的确定性数据，为用户提供浅层但是实时的数据。 • 基于大量数据加专家团队的深层次情报分析应用，这里面基础数据起到的作用更多的是提供有限但是关 键的线索，然后依靠专家团队来拼出完整的故事。 • 点数据 和 线数据