洞见RSAC|威胁情报赋能实战化安全运营

前瞻

被誉为全球网络安全发展风向标的美国信息安全大会(RSA Conference)已于美国旧金山时间5月17日召开,2021年RSA大会的主题为“Resilience(弹性)”。网络弹性(Cyber Resilience)是衡量一个组织在遭受数据泄露或网络攻击期间,保持其业务正常运营能力的重要指标。网络弹性的目的是使系统具有预防、抵御网络攻击的能力,以及在遭受网络攻击后能够恢复和适应的能力。

对组织来讲,能够实时掌握当前网络安全状况的需求也日趋显著。威胁情报作为构建网络安全主动防御体系的重要组成部分,一直以来都是业界研究的重点方向之一。通过对威胁情报体系的运营,为组织自身提供情报预警和风险闭环跟踪能力。组织能够实时获取有价值的威胁情报信息,如漏洞、IOC、资产、威胁通告、安全事件和TTPs等。基于对情报运营数据的分析结果,帮助安全管理者有效完成决策与行动指挥。通过制定安全策略与方法以应对潜在安全威胁对业务产生的风险,激发组织安全运营机制的弹性。

威胁情报的研究

多年来,绿盟科技一直致力于威胁情报领域的技术研究工作,将多年的研究成果转化成为安全运营能力,帮助组织更好地开展安全运营工作并取得成效。威胁情报云(NTI)是绿盟科技为促进网络空间安全生态建设和威胁情报应用,进一步增强组织方攻防对抗能力而组建的专业性威胁情报云平台。依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,为组织提供基础情报查询、高级情报查询、情报订阅、可视化关联分析等企业级服务,帮助组织更好地了解和应对各类网络威胁。

  • 威胁事前预测

利用已知的威胁,通过关联分析对未知威胁进行预测。例如可基于已知恶意域名,通过WHOIS分析,发现该注册者注册的其他可疑域名,并进行IP关联分析,如果其IP也为恶意,则这些由同一注册者注册的域名需列入黑产档案中。同时对黑客常用的域名注册手段及特征进行分析,发现可疑域名。

  • 事件实时预警

威胁情报可以从互联网空间每天发生的海量安全事件提炼最受关注的热门威胁事件,如漏洞、恶意样本、数据泄露事件等,并提供深度分析,帮忙用户跟踪热点,了解最新威胁和及时采取防御措施。

  • 驱动安全防护

基于威胁情报数据,可以生成深度包检测采集探针等产品规则,用于攻击检测。如果是简单的IP、域名、URL等指标,还可以考虑直接使用在线设备进行实时阻截防御。从多个威胁情报来源结合来获取已知的恶意威胁信息,并利用这些信息进行识别,检测和缓解。在线安全设备都可以使用威胁情报数据来增强检测和防御能力。

  • 事件溯源分析

安全分析及事件响应中的多种工作同样可以依赖威胁情报来更简单、高效的进行处理。在报警分流中,可以依赖威胁情报来区分不同类型的攻击,从中识别出可能的APT类型高危级别攻击,以保证及时、有效的应对。在攻击范围确定、溯源分析中可以利用预测类型的指标,预测已发现攻击线索之前或之后可能的恶意活动,来更快速地明确攻击范围;同时可以将前期的工作成果作为威胁情报,输入高级威胁分析系统,进行历史性索引,更全面的得到可能受影响的资产清单或者其它线索。

在安全运营保障中的实践

绿盟科技在研究威胁情报技术向产品和服务能力转化的同时,积极探索和实践威胁情报运营体系在组织安全运营保障工作中的应用。在历年的攻防演练和重保工作中,基于绿盟一体化保障中台的威胁情报运营体系,通过及时推送漏洞、恶意IP、产品和舆情通告等情报信息,为组织提供战时情报预警服务,并借助中台的专家级分析研判与应急处置能力,实现对安全事件的风险闭环。通过对战时情报服务体系的高效运营,为组织开展实战化运营保障工作提供了强有力支撑。

小结

网络攻击形式复杂而多变,实战化的安全运营是未来发展趋势。经过多年实战化保障工作的磨砺,组织也逐渐意识到威胁情报在安全运营中的重要性,开始研究或建立内部的威胁情报体系,并将其运用到安全运营工作中,从而进一步提升组织自身IT风险管理能力和安全保障水平。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment