网络安全“先知”BUFF
“如果把宇宙比作一片黑夜下的森林,那么每个诞生有文明的星球就像这个森林中踽踽独行的猎人。一个猎人在黑暗中听到某一方向上有声响,那么这个猎人在无法得知对方究竟是猛兽还是同类的时候,对自己最有利的方式就是朝那个方向上开一枪。因此每个宇宙中的文明都在想方设法隐藏自己,已不被其他文明发现。” ——刘慈欣《三体》
若将网络空间比作宇宙,由于数字化目标的特性,需要将自己广播至全宇宙,在无法隐藏坐标的情况下,那么全宇宙的猎人将会无时无刻的抬起枪口,向目标射击。
由于各目标科技水平的限定,防御也各不相同,存在着降维打击,以傲慢的传统思维被动的应对未知的文明,迟早会被终结。
生存是文明的第一需求
若一个文明进化为“先知”,就有了主动权,可攻、可守、可避。
威胁情报-网络安全“先知”BUFF 2013年,Gartner 首次提出关于威胁情报的定义:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。 ✦ ✦ 简单来讲,威胁情报通过多维度、全方位的情报感知,安全合作、协同处理的情报共享,以及情报信息的深度挖掘与分析,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。从而将传统的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。 (verizon2022年数据泄漏报告部分) 威胁情报的用途 1、安全模式突破和完善 威胁情报的防御思路是以威胁为中心的,因此,需要对关键设施面临的威胁做全面的了解,建立一种新型高效的安全防御体系。这样的安全防御体系需要安全人员对攻击战术、方法和行为模式等有深入的理解,全面了解潜在的安全风险,并做到有的放矢。 2、应急检测和主动防御 威胁情报数据,可以不断创建恶意代码或行为特征的签名,或者生成NFT(网络取证工具)、SIEM/SOC(安全信息与事件管理/安全管理中心)、ETDR(终端威胁检测及响应)等产品,实现对攻击的应急检测。如果威胁情报是 IP、域名、URL等具体上网属性信息,则还可应用于各类在线安全设备对既有攻击进行实时的阻截与防御。 3、安全分析和事件响应 威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如,可依赖威胁情报区分不同类型的攻击,识别出潜在的APT高危级别攻击,从而实现对攻击的及时响应;可利用威胁情报预测既有的攻击线索可能造成的恶意行为,从而实现对攻击范围的快速划定;可建立威胁情报的检索,从而实现对安全线索的精准挖掘。 威胁情报的数据采集 威胁情报是从多种渠道获得用以保护系统核心资产的安全线索的总和,在大数据和“互联网+”应用背景下,威胁情报的采集范畴极大扩展,其获取来源、媒体形态、内容类型也得到了极大的丰富,如防火墙、IDS、IPS等传统安全设备产生的与非法接入、未授权访问、身份认证、非常规操作等事件相关的安全日志等都是威胁情报的数据来源,还包括沙盒执行、端点侦测、深度分组检测(DPI)、深度流量检测(DFI)、恶意代码检测、蜜罐技术等系统输出结果,及安全服务厂商、漏洞发布平台、威胁情报专业机构等提供的安全预警信息。 威胁情报的发展 参与威胁情报感知、共享和分析,需要各方结合自身业务流程与安全需求,针对核心资产增强威胁情报感知能力,积极融合云计算、大数据等前沿技术,建立威胁情报深度分析系统,在深度挖掘与关联融合的基础上做好安全态势评估及风险预警,动态调整安全策略,部署快速可行的安全响应战术,确保关键资产的信息安全。 威胁情报要发挥价值,一个关键问题在于实现情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报有效流通,才能真正建立起威胁情报的生态系统。当然,威胁情报的生态系统包括两个方面,即威胁情报的生产和威胁情报的消费。威胁情报的生产就是通过对原始数据的采集、交换、分析、追踪等,产生和共享有价值的威胁情报信息的过程。 威胁情报赋能,守护网络安全底线 乾冠安全构建行业级网络安全威胁情报体系,提升情报获取、情报分析、情报共享、情报应用能力。帮助客户提早发现安全风险,守好网络安全底线。 客户价值 构建多源情报体系:更多更广的获取外部威胁情报数据,实现情报融合,提升行业情报能力 提高情报分析能力:汇聚行业内部重点数据,结合情报分析技术,提炼行业特色情报 打造情报共享网络:打造情报汇聚、分享渠道,提高行业情报质量,建立共享网络机制 推动情报应用落地:推动情报系统与现有安全管理系统联动,充分利用情报数据,发现网络安全威胁
上一篇:乾冠安全承办国贸集团2022网
下一篇:方案升级|勒索病毒肆虐,何为有
