金湘宇:从概念到实践,威胁情报的落地

主持人金湘宇:大家下午好!现在开始今天下午的威胁情报的分论坛。我叫金湘宇,网名是Milk,我做的事情比较复杂,现在主要做一些信息安全投资相关的工作,在威胁情报方面近年来也做了一些研究,有幸成为今天下午分论坛的主持人,也是第一个议题的演讲人,所以给大家分享一些威胁情报方面的认识。因为我既是分论坛的主持人,也是议题的演讲人,我们就直接开始吧。

1  金湘宇

第一个议题是从概念到实践威胁情报的落地。首先是威胁情报的概念,这是一个很有意思的话题,目前在市场上已经有很多的公司来说自己是威胁情报的公司,说自己的产品是威胁情报的产品,可能一时之间威胁情报的概念就很火热,实际上这里面有很有意思的事,我发现经过一些沟通发现每个人对威胁情报的理解都是不一样的,相差很大,造成我们在交流的时候大家觉得说的是一件事,可是说来说去不是一件事,有一点鸡同鸭讲的意思。

首先,当前安全防护体系的议题,我相信目前没有人对当前的安全防护体系是满意的,从目前的传统的防护体系基本上是千疮百孔的状态,这是国外的咨询公司的统计,这个统计很典型,根据攻击的时间和响应的时间来看,一般从攻击到获取权限这个时间很快,基本上是在分钟级小时级就完成了攻击,之后会偷数据,根据统计来看,基本上是一天左右的时间偷数据就完成了,这是因为目前的攻击技术高速发展,以后高度产业化甚至是产品化,以前我们做攻击还想黑客是不是会写代码,写溢出才是黑客呢?当年真的是这样的,可是现在不是了,现在有很多漏洞扫描的产品甚至是渗透测试的产品,甚至在黑市上可以找到木马的东西,攻击的难度下降了,甚至是高度产品化,自动地扫描、自动地植入,甚至是自动地插出一些痕迹,高度自动化的。还有目前的IT的发展速度也很快,带宽也很快,家庭又普遍都光线了,百兆左右的,所以攻击很快的,基本上一天左右的都实现了,目前的防控体系,高度发展的空间中出现了瓶颈,从防御方的统计来看,基本上防御方发现被攻击了,基本上都需要以月为周期才能发现,周末的时间问题才能响应,目前的防御体系基本上是接近于无效了,这是目前的问题。因此,大家对这个防护体系都不满意,都对目前的防护体系提出了更高的要求,因为攻防双方是对抗的,攻击的效率提升了,防御方跟以前相比没有太大的变化。

防御体系来说有几点需要提升,第一是海量事件中真正有价值的事件出现,还有目前的事件尤其是大型的企业而言每天收到的事件很多,就算是我们做了一些事件的合并,可能一个大型企业说的也是几百上千的,按照正常的分析的流程我们需要分析师把这一千条分析看是不是漏报和误报,这个效率很低下,淹没在数据里了。传统的都是基于签名的,一般是防病毒和入侵检测的厂家要先拿到攻击的样本和流量,这样才能写出签名来,实际上这是一种滞后的防御手段。而且目前可以看到厂商的升级入侵检测也好,扫描也好,可能都是月级的,做得好一点的有周为频度的更新。目前的攻击又遇到了瓶颈,因为目前的攻击都是APT的攻击,都是有高度指向性的,黑客为了攻击你往往会做一些碾杀或者是用自己写的木马的程序,传统的基于签名的防御体系,在APT的时代又不好使了,黑客不断地做面纱传统就不行了。组织之间是没有协同的,之前一个比较典型的以前做过应急响应,经常出现的情况是管理员发现了被入侵了,往往遇到的基本上所有的情况都是管理员说中国不喜欢把被攻击的事件共享,跨公司的没有,甚至干活的和领导之间都不希望有共享。明明是大家可以协防一下,还有很多的服务器,都是一样的问题,大家都不说就挨个遭殃。一个是目前的安全产品和厂家,都是孤立的之间也不能进行联动,都遇到了一些瓶颈。

所以国外就产生了一些威胁情报的概念,那么就回到了今天第一个问题,威胁情报到底是什么?这个概念其实很有意思,里面有威胁两个字,这不同于安全情报和漏洞情报,不同在哪儿?实际上威胁的概念不是一个很新的概念,这个概念大家比较熟悉的根源应该来自于风险管理领域,这是大家耳熟能详的模型,企业的风险跟什么有关?跟资产有关、跟漏洞有关、跟咨询有关跟事件也有关系,这里面的威胁是什么?威胁实际上是对威胁源的描述,比如说攻击者大概是谁?目的是什么?用了哪些手法?会用哪些工具,工具的过程中样本是什么?这些是对攻击源头的描述,对攻击源头的描述是威胁情报,目前在市场里其实还有很多相近的概念,比如说资产情报,这个最典型的就是国外有撒旦,中国有中非之眼,我把它称之为资产扫描的一些系统,这些系统其实很典型,收集的是IP跟域名的对应的,这个IP看来哪些端口,端口上有哪些应用是什么版本的,其实这些情报是安全情报中的一种,但不是威胁情报是资产情报。还有比如说乌云有时候会爆出一些漏洞来,其中一部分通用的漏洞比如说某个论坛的应用程序有一个漏洞,实际上这并不是威胁情报而是漏洞情报,还有一些情报,实际上这些已经有点进入到事件情报的范畴内了。所以,威胁情报是什么?威胁情报一定是对攻击源头的描述。威胁情报最大的概念是安全情报的概念,安全情报有一些厂商叫做安全智能,实际上安全情报更大的概念是包含了很多其他类的情报,所以确实是不一样的,威胁情报会有一些什么用呢?威胁情报中包含了什么东西,刚才说漏洞情况不是威胁情报,资产情报也不是威胁情报,威胁情报典型的里面有什么东西呢?首先就是威胁情报里应该可能会包含一些威胁源,这些威胁源就是对攻击源头的描述,比如说是国外的什么什么组织,还有会描述攻击的目的,是为了钱还是为了知识产权。再一个威胁情报会描述攻击对象,跟哪些东西有关联,还有是对电厂感兴趣还是对金融感兴趣,还有攻击手法,利用的漏洞是什么?用的工具有没有什么共有的特征,以及我们怎么描述它,这个概念是很重要的,威胁源的描述实际上在安全分析中有很多的好处。因为威胁源从攻击者来说往往会有一个问题,个人会经常上习惯的网站,会用习惯的浏览器,可能喜欢用自己的服务器,黑客也是这样的,总有它的习惯和历史,也有他常用的跳板,所以这些信息实际上都可以用来对威胁进行一些发现。

威胁情报实际上是战略和战术的协同,攻防的对抗一定是拼的人的智能,所以如果从宏观来说一切安全防护体系一定是以人为核心的,当然大家可能也有一些说是我的安全体系是以数据为核心的,我是以业务为核心的,有可能是以其他的东西为核心的,但是宏观来说,一定是以人为核心的,因为是人在用这个体系。但是在攻防对抗里人是比较少,有技能的人比较少,不是每个公司都能雇佣到黑客级的人,战术层面一定是机器的对抗,一定利用的是机器的功能,这个战略和战术之间实际上是通过情报打通,也就是一些有研究能力的人,有攻防能力的人专门做一些分析,对大多数战术层面的用户而言,我们只需要让我们的设备支持这个情报就可以了。

从宏观来说,威胁情报其实不是银弹,是不是我用了威胁情报就不会被入侵呢?是不是用了就万能了呢?实际上一定不是的,因为威胁情报是一种知识,是一种知识的共享,所以它解决的不是你不被攻击的问题,而是只要有一个人有一个地方被攻击了,我的知识可以快速地传递,帮助其他的人更快地更好地来响应这个威胁,所以威胁情报一定不会让你不被攻击,但是它对我们防护的体系又是很重要的,威胁情报实际上是一种改变成本的技术,因为用了威胁情报,实际上黑客一定还可以攻击你的内网,可是他的成本大大提升了。前面提到威胁情报提到的内容,黑客会经常用木马,还会买一些跳板的机器来进行攻击,这一切其实都是钱。如果用了威胁情报以后,每次买了木马依然可以攻击成功,可是应用的时间大大地缩短了,以前用半年,现在可能用一周就会被发现,被发现之后反而就会极为被动,威胁情报是基于威胁分析的,对威胁源头的指向性相当地强,国外经常曝中国的国家级APT,很多判断的依据是什么?因为有一些木马样本只是被这些人所用,而美国产生了一个理论叫做网络的军火,军需官的理论,因为这些木马只卖给某些单位,不在民间出现,所以只要出现了这个木马,一定是国家级的APT事件,我们做安全应急响应的时候也是这样的,如果我们攻击的是大家已经知道的漏洞,这个事会降低相应的级别的,一旦我们发现这个攻击是通过零队(音)来完成的,所以难度一定很大。所以这大大地提升攻击者的成本和暴露的风险,当用了威胁情报之后,确实可以改变我们说的不平衡的态势。还有一个经常问的问题,大家说威胁情报的东西实用么?是不是又是一个很虚的概念?厂商偏用户钱或者是骗融资编的概念,我们举了一些国外的威胁情报的概念。这是著名的爱因斯坦计划,当时也提到了一些爱因斯坦的诟病,因为他是做全流量的分析的,流量太多、数据太大,我前面提到的第一个问题,给你这么多数据怎么分析呢?其实已经没法分析了,爱因斯坦计划中很重要的一点是应用威胁情报来解决这么大数据量的分析的问题。同时,以美国为例,在政府和企业之间也开展了一些威胁情报的交换,包括美国在去年通过了一个法案叫做CISA法案,美国还建立了很多ISAC信息共享和分析的中心来做分享。以美国为例,这是根据美国国土安全部的材料的总结,还有一个CISCP的计划,这是网络安全的信息共享和协同的效果,统一发现威胁情报,把威胁情报发给相关的重要基础设施和单位。美国还有一个ECS的项目,主要做的是国家参与威胁情报的链条,其实威胁情报在我们国家也是这样的,谁手里的威胁情报最多,一定不是市面上的公司,一定是国家,因为国家有网络的流量,还有执法权,而公司只能找一点自己的流量抓样本来分析,是没有取证能力的,其实最大威胁情报的产生者和使用者都是政府,美国也是这样的。ECS这个计划里,是由美国国土安全部和产业相关单位做情报的交换、收集,自己也会做一些发现,他把这些威胁情报提供给可以为美国关键基础设施的厂家提供的。美国海提出了AIS的计划,主要是做自动指示器的共享,其实这种指示器是威胁情报中的一部分。甚至美国还提出了基于威胁情报的生态系统,这是安全和弹性的网络生态典型架构。中间那部分是类似于情报平台的东西,左边是外部的一些情报的相关的伙伴,右边这个比较有趣了,上边的绿的叫NCPS,实际上绿色的这块就是爱按斯坦计划,右下角这块最有意思,美国的典型架构里,未来的防火墙、路由器、防病毒、代理服务器,必须支持机读的威胁情报,美国政府之前开发了一个威胁情报标准,所有的设备未来都可以用机读的方式来交换威胁情报。其实按照这个体系来进行建设之后,美国所有相关的重要基础设施的设备都可以连起来了,当它有一个签名和特征或者是一个AP可以下发的时候,几分钟就可以下发全网进行检测和响应。还有一个是威胁情报的百准,为了提升它的实时性,一定是用机读的方式,而且威胁情报是由人来处理的话还是不行,所以威胁情报最后的落地一定是系统间的对接,一定是通过标准化机读接口的对接。

美国做了很多的铺垫和标准,其中一个标准是CVE,这系做漏洞的扫描标准,我们以前做扫描不同厂家对漏洞的定义不一样,可能说的是一回事,可是作为一个客户有多个厂家的东西就没法儿对应的。中国也有引进,中国有CVCNE,实际上美国也做了一个威胁情报的标准,典型的是中间的三个,就是STIX,这是威胁情报格式定义的标准,还有TAXII。根据美国的标准的公开的情况,美国基本上一线的组织和厂家都已经支持威胁情报了,可能很多我们耳熟能详的厂家,比如splunk,可以看到国外的厂家其实也不傻,国外一线的厂家都支持了,国内的可行性和必要性也是一目了然的。

最后再说一些威胁情报的实践和落地的情况,威胁、情报这几个词提及的程度减少了,所以也有一个论调就是说威胁情报是不是在国外认为也是一个吹牛的东西,已经住建部认可了,可是根据我在现场了解的情况来看,不是这样的。我们看到了终端的安全的产品,网络设备也好,防火墙也好,甚至我见到有DNS的提供商都支持威胁情报的,所以根据我看的情况不是威胁情报不靠谱,正好与之相反,国外的威胁厂家都认为这是功能了,大家已经都支持了,所以看起来它的热点在降低,可是落地程度其实是提升的。威胁情报也不能走入一个误区,是不是有情报就可以了,机读一定是跟设备对接,一定要解决问题,有威胁情报相当于网络根据跟我们看病是一个道理,如果有一个人天天说你有毛病,我可能就觉得你说得挺准,你是一个“名医”,除了问我有什么毛病,我还要问你能治么?你说不能治我就会觉得这个医生有毛病。所以威胁情报里告诉你有问题,有人对你进行攻击了,这些都不重要,最重要是你怎么帮助用户去响应和解决这个问题。还是类比医疗,大夫给你看病的费用其实是很便宜的,可是治疗费贵、药贵,威胁情报领域也是这样的,单纯的分析一些威胁情报是一个不错的生意,但这个生意其实不是市场中真正赚钱的,真正赚钱的是能利用这些情报解决用户问题的解决方案产品,防火墙可能会出现下一代防火墙和支持威胁情报的。

举一个基于威胁情报的安全体系,这个体系是目前以SOCK为安全体系的安全的升级版,SOC解决的是数据汇集的问题,但并不能解决数据的分享和设备之间进行及时响应和联动的问题,实际上目前一些新的安全解决方案里把SOC升级为SIC。所以情报体系也升级了。再一个是威胁情报的价值,应用的场景是很多的,在事中、事前、事后都是可以进行应用的,以事后为例,我们的平台里有很多的信息,我们可以机遇威胁情报把这1000个事件进行排序,有一个IP对很多的用户都发起了攻击,这样可以对事后分析做一些辅助,还可以做一些溯源,甚至事中的时候可以自动把情报给设备,自动滴做一些响应,威胁情报是对源头的画像,我们可以预先知道它可能进行攻击,比如说我们知道攻击者专门做攻击了,用的一部分的域名。

我第一个议题就这么多,我们下面有请IBM首席资讯安全架构师为大家做一个X-Force如何抵御安全威胁的分享。

上一篇:汽车之家纪舒瀚:企业安全与威胁情报

下一篇:对话腾讯马斌 解读互联网+安全战略