威脅情報賦能 | 安恆資訊首家釋出城市級安全態勢分析報告
隨著資訊科技的發展,雲和大資料技術得到了廣泛應用,網路空間在我們的生活,乃至甚國計民生的發展中,扮演著越來越重要的角色。
沒有信息安全就沒有國家安全,網路空間安全面臨的威脅和挑戰與日俱增,如何通過有效的技術手段,提升網路空間安全,是當前整個安全產業面臨的嚴峻話題。
2018年12月2日,安恆風暴中心舉辦第一屆安恆資訊威脅情報論壇,就“威脅情報賦能、資訊保安智慧”展開討論。
議題一
IT-DT-TI 我們何去何從
如今,誰掌握了威脅情報,誰就掌握了網路安全對抗的主導權。威脅情報在資訊背景下應運而生,作為國內資訊保安領軍企業的安恆,如何看待威脅情報呢?
安恆資訊副總裁楊勃表示,目前安恆主要以機讀情報和戰略情報為主,真正為使用者提供資料和決策支撐,結合使用者場景,提升網路安防SaaS能力,從而進一步增強企業綜合實力,提升企業的品牌影響力和專項實戰能力。
威脅情報主要的價值在於:在戰略層提供決策資訊,在戰術層提供可操作的建議;從時間維度看,基於歷史知識達到預判未來的效果。
這些特徵就如同戰場上的偵查部隊,獲取風險情報,判斷潛在威脅,為網路空間安全的攻擊預警、應急響應及發展態勢預測提供依據。
議題二
安全資料大腦 驅動智慧安全
當前網路安全面臨了嚴重的資訊不對稱以及被動防禦的瓶頸,制約了我們檢測防禦能力的提升。威脅情報的出現,讓我們擁有了“看見敵人”的能力,城市情報系統,安全風險監測,都依賴於威脅情報技術的應用。
那麼, 如何依託威脅情報技術發現風險,如何更好的讓威脅情報技術在產品中落地?
安全資料大腦產品經理金麗慧在《安全資料大腦,驅動智慧安全》中講到, 安全資料大腦定位於IoC情報與城市級監管情報兩個核心應用場景 。
IoC致力於提升現有安全檢測防禦產品如APT/WAF/Ailpha等,對流量與日誌中威脅的智慧化分析,協助聚焦高威脅事件。
城市級情報應用在安全監管客戶專案中,提供對整個城市的資產摸底,失陷檢測與攻擊檢測。由此, 安全資料大腦團隊首家釋出城市級安全態勢分析報告。
從城市安全監管的三個維度切入:網路資產摸底,區域失陷資產與遭受攻擊情況,完整地分析展現城市內網路空間底數以及其問題,協助網路監管單位全面把控態勢,精準研判趨勢與工作方向。
系統報告中,對城市中的重要資產全面摸底探測跟蹤,分析提取其中的監管盲區與重要資訊系統,以期協助網路監管單位掌握全面資產清單,消滅由於盲區引起的各類事件。
本次釋出的城市報告,基於機器學習,分析發現城市中存在的失陷資產盲區。
在過去很長時間內,大量網路資產失陷,導致安全問題頻發,形成安全管理的被動應對局面。而對失陷資產的分析,能夠提前預警,有效阻止大型事件的發生,削減黑客掌控殭屍網路資產的勢力。
議題三
IoC情報和城市級情報的應用
威脅情報的應用,大幅度的提升了現有的安全檢測效率,從海量告警中,聚焦到真正的攻擊源。
威脅情報體現資料價值, 安恆是如何建立自己的威脅情報系統,實現資料分析、威脅量化呢?
蔣海峰在《IoC情報和城市級情報的應用》講到,安全資料大腦團隊利用大資料分析和機器學習技術,對惡意IP降噪,提高惡意域名識別的準確率。
IoC威脅情報,除了在防火牆、DPI等裝置中的碰撞應用以外,還具備威脅溯源能力。
如果在流量側發現了一個惡意IP,那如何判斷IP的歸屬性?使用什麼手段判斷?如何協助警方司法取證?這也就是溯源的必要性。
議題四
威脅情報在Ailpha大資料中
的應用、案例與展望
安全資料大腦團隊集合了安全研究院、安全服務、Ailpha大資料實驗室、風暴中心等多個部門,形成了基於情報研究、捕獲、分析與應用的完整情報體系,擁有可靠的海量情報資料。
Ailpha大資料實驗室的莫凡提到,大資料時代的威脅情報是伴隨著海量資料增長而出現的,資訊保安管理中,我們要將資料轉化為有價值的情報,並輔助決策。
Ailpha大資料分析平臺,為了增強對未知攻擊威脅的檢測識別與預警,目前已經 全 面融合安全資料大腦中的C2、黑產IP、掃描、代理、爬蟲、惡意主機等威脅情報。
每日動態更新最新情報庫,在使用者網路環境中,對採集的海量日誌與流量資料的情報碰撞分析,並採用關聯分析、橫向分析等模型,發現潛伏失陷與未知攻擊等問題,優化分析演算法,聚焦核心安全威脅,精準研判攻擊事件,溯源攻擊者所在的黑客組織團伙與攻擊意圖。
目前,Ailpha大資料實驗室結合安全資料大腦,成功協助公安廳、政務雲、醫院等多家機構,監測安全威脅,研判網路攻擊,實現風險追溯。
案例一
黑產挖礦 政務雲失陷
我們可以看到,威脅情報技術對資訊保安技術的發展,起到了重大的推動作用。而近年來,隨著虛擬貨幣市場的熱度提升,越來越多的目光聚集到虛擬貨幣交易與虛擬貨幣價值上。
虛擬貨幣,從一開始充當地下交易的介質,到成為逃避追蹤的勒索病毒的錢包,利益之所向,黑產必跟隨。越來越多的黑灰產業,通過非法入侵,尋找肉雞挖礦。
本次威脅情報論壇中,謝辰承、溫延龍兩位,就某市政務雲中的失陷事件講到黑產挖礦的那些事兒,分享了 威脅情報技術如何打擊黑產挖礦,實現案件溯源 。
安全資料大腦通過威脅情報庫和某政府網路機房部署的DPI流量中,提取大量資料,分析了最近195,029,610條流量資訊,通過聚類,從訪問日誌中提取訪問日誌資訊。
通過與資料大腦威脅情報碰撞,最終確定了20個挖礦主機,並且通過溯源發現,其中有一部分是某政府網段的IP,發現6個殭屍,受控網路主機。
定位IP後溯源收集證據
案例二
重保期間的威脅情報應用
十一月的安恆,先後參與保障了中國國際進口博覽會、第五屆世界網際網路大會以及聯合國世界地理資訊大會這三大國際型會議,成功完成了網路安保使命,保障網路安全空間零事故發生,獲得多方嘉獎與讚許。
本次論壇中,餘洪英為我們講解了在這重大活動的網路安全保障中威脅情報的應用。
以第五屆世界網際網路大會為例,安全資料大腦實時為網路安保中心輸送威脅情報報告,監測資料庫遠端埠開放情況,對工控系統及重要單位實行風險監測預警。
安全資料大腦團隊,依靠威脅情報技術,對失陷主機、關鍵資訊系統、遠端資料庫危險等進行情報收集、整理與分析,到高危攻擊源精準溯源,是世界網際網路大會的網路安保技術團隊的堅實後盾。
論壇成果
城市級安全態勢分析報告
大資料驅動安全創新,新安全助力數字中國。 以資訊為中心,以安全策略為核心,依據強大的安全分析團隊和安全情報共享機制,形成威脅情報,防範高階網路攻擊。
安全資料大腦的出現,讓威脅情報技術更好地為網路安保技術服務。至此,掃描二維碼,進入威脅情報官網,可以檢視更多技術報告。
知彼知己,百戰不殆。網路安全領域的威脅情報技術,開闢了情報理論與實踐的新方法,從傳統的被動式防禦,轉向主動進攻式的防禦模式,推動國家資訊保安管理模式的轉型。未來的威脅情報技術,將會在資訊保安強國戰略中發揮著越來越重要的作用。
安恆作為資訊保安行業中的領先者,紮根網路安全領域,著力於研究並突破網路安全核心技術,為網際網路政務、經濟、民生等領域貢獻網路安防力量,推進數字經濟發展。
☟
年度福利
玄武盾雲檢測雲防護,年度新單客戶,增值享受 6個月 產品服務。
活動截止:2018-12-31
安恆風暴中心