對中國威脅情報行業你瞭解多少?
至頂網安全頻道 09月28日 北京報道: 隨著網際網路和雲端計算在全球企業生產、辦公環境中的普及,當前企業資訊保安普遍存在著邊界模糊、環境複雜、威脅多樣化等問題。而國家等保要求和《網路安全法》也督促企業對網路安全合規、資料保護和業務安全給予更多關注與投入。從企業自身數字化轉型需求出發,資訊保安將不可或缺,正所謂“知己知彼,百戰不殆”,在下一代網路安全中,威脅情報必將發揮至關重要的作用。
國內威脅情報市場現狀
從國內安全市場來看,專門從事威脅情報的企業和機構其實並不多,目前在Gartner釋出的《2017全球威脅情報市場指南》中只有微步線上一家中國企業入選。對此,微步線上CEO薛鋒十分感慨的說,“三年前,我們在做威脅情報考時慮更多的還是戰略層面上的重要性、產業價值、市場需求等巨集觀問題。但短短三年過去,現在已經到了落地和實戰的階段,最初的時候很多具體場景、產品形態(SaaS還是API)並沒有過多的考慮,但通過和使用者不斷的接觸,從最早期提供外部搜尋介面到提供API,再到今天提供軟體和硬體產品,這其實是一個不斷摸索的過程。未來可能還會有其他產品形態,但這都要基於和客戶的不斷交流與摸索中去總結經驗。”
ofollow,noindex" target="_blank"> 
微步線上CEO薛鋒
薛鋒還指出,“以前大家不是靠情報去對抗,而主要靠防火牆,這種方式比較被動。後來有了大資料,整體上安全開始向主動防禦的方向發展,包括監控、探針和資料等手段能夠把攻擊者的行為記錄下來並做關聯分析,這才是最核心的技術。現在看很多傳統公司也在做威脅情報,這是一件好事,我們看美國大的IT公司當中沒有哪個公司不做威脅情報,比如FireEye、CrowdStrike都不是傳統的情報公司,但他們都被權威機構評選為最佳的情報公司,他們都在用情報作為一種驅動力改變現有的產品,這是一個大趨勢,也是推動產業及不同公司之間結合的一個支撐點,能夠把大家串聯起來一起來做威脅情報這項事業。”
因此,微步線上連續兩年主辦網路安全分析與情報大會,秉承著中立、客觀、開放的原則,邀請來自政府機關、金融、網際網路、安全等各個領域的一線安全專家,分享企業資訊保安和威脅分析研究成果和落地實戰案例,暢談企業資訊保安建設與威脅分析的發展趨勢,對網路防護與威脅情報驅動的新一代網路安全技術進行多點發散的深度剖析。
在近期舉報的2018網路安全分析與情報大會上,多位專家分享了現階段網路安全防護的重點和威脅情報的需求與應用圖景。在當今網路環境下,要如何建立信息安全體系?來自中國人民銀行的呂毅認為,應當多方考慮、評估資訊保安的價值,從而進行價值的落地和體系的建設,重要的是要讓風險被充分認識,並憑藉對風險的處置能力和業務的保障力取得更多信任。來自中國農業銀行的李強則提出,企業資訊保安的建設要與業務相配套,確立安全目標和安全總體模式,建立流程標準、定期執行檢查。資訊保安管理的物件應當分為四大類:業務、應用的建設和執行、IT基礎設施、實體安全。
而在威脅情報的應用上,多名專家不約而同地表示,威脅情報能夠增加資訊覆蓋的維度,讓平面的資訊變得立體可見,應用威脅情報就是知己知彼的過程。而威脅情報可以幫助企業加速對行業中新型威脅的佈防速度和能力,因此威脅情報應當體現出高效、準確、具有可執行性等特性,此外,有了威脅情報後,還應當以強力的運營團隊與之配合。
在薛鋒看來,雖然國內資訊保安產業發展比美國要滯後一些,但從整體增速來看卻很快,當大資料、人工智慧和雲端計算等新技術在網路安全中充分發揮作用後,未來國內肯定會出現幾家千億級別的安全情報企業。
開拓安全市場新思路
眾所周知,安全的實質是攻防,我們對整個攻防的理解,十年前的狀態和現在基本上沒有太大的變化,而通過情報解決攻防問題是一種新的思路。傳統的攻防手段實際是基於規則,對很多已知(變種)、未知的問題很難識別,但通過情報分析可以對包括攻擊者視角、黑客常用攻擊手段等進行學習,這樣就可以在一定程度上及早的發現未知威脅問題。
另外,薛鋒還表示,“AI肯定是未來安全發展的一個主要趨勢。從攻擊者的視角,傳統的攻擊者會通過一些規則和技術進行尋找漏洞,但這是非常低效的,而通過AI發現一些漏洞,比如木馬或者軟體,能夠極大的提高效率,包括髮現漏洞危害的程度都和以前不一樣。從防禦者的視角,傳統方式通過簽名和規則來進行防護,但只能做到精準識別一些已知的問題,但攻擊已經不是基於規則了,很多攻擊都是通過模型來尋找漏洞,很多都是未知的漏洞,所以現在防護不能完全基於傳統的規則,而AI在未來的攻防方面肯定會是一個主要趨勢。”
但我們也發現,AI在安全領域的應用程度和深度遠不及在其它領域的應用,比如影象和語音識別領域。Gartner也曾分析過反欺詐領域AI應用的十分成熟,同樣是資訊保安領域,為什麼網路安全領域AI的應用不是那麼廣泛呢?
薛鋒認為,“其主要原因是安全領域資料的體量和型別的複雜度遠超過其它行業。但就威脅情報分析來說,AI的應用前景是非常廣泛的,這主要針對一些垂直場景,例如利用幾百個小的演算法去針對一個場景進行具體的應用,利用這種模型化的掃描,要遠勝於傳統的規則掃描,這點已經不會有太多置疑了。而今後企業當中最缺乏的將是安全分析人員,安全產品應該藉助AI提供一種非常友好的介面和資訊,讓運維人員很簡單的去做決策,而不是期望讓使用者自己去理解機器學習模型的工作原理。”
傳統安全產品背後的技術、理念和現在已經截然不同,包括分析師的能力,情報和資料的收集都和以往的硬體產品有著很大不同。薛鋒表示,“微步線上已經在雲端利用大量的計算資源和資料庫建立起千億級別的威脅圖譜,通過資料關聯分析來更快更準地發現未知威脅,在識別威脅後,還應佐以運營能力、分析能力和適當的工具,並建議企業利用新一代網路安全技術,建立真正持續和全面的威脅監控能力。”
在我們看來,情報資訊市場的普及,就是大家對安全意識轉變的過程,這不是靠某家企業一己之力能夠轉變的,隨著大家越來越重視安全,從過去的防守到現在的威脅監控,都需要安全企業腳踏實地的去做好每一項工作,除了做好自身產品和研發之外,更要共同推動國內資訊保安產業的健康發展,為整個網路安全事業做出貢獻。