首页 > 业界动态 > 正文

技术专题?安全威胁情报(1)
2016-02-20 19:45:08   来源: 杜美洁整理 51CTO.com    评论:0 点击:

安全威胁情报(Threat Intelligence)是2015年信息安全产业中的一个热词,不管是传统的产业巨头还是新兴的初创公司都在宣称可以提供某种形式和类型的威胁情报,发布自己的威胁情报交换方案或技术平台,相应的共享和交换标准也在推进中。其实在国外的安全业,对威胁情报已经有比较明确的定义。

一、汪列军 奇虎360公司企业安全部高级研究员

技术专题·安全威胁情报 

奇虎360公司企业安全部高级研究员 汪列军

汪列军,2000年涉足网络安全领域,曾任绿盟科技核心技术部漏洞规则组首席研究员,负责公司最主要的两个安全产品入侵防护系统与远程安全评估系统的检测规则和扫描插件的维护。现任奇虎360公司企业安全部高级研究员,目前关注APT攻击事件的分析与挖掘,负责相关威胁情报的生成与维护。

点评:

安全威胁情报(Threat Intelligence)是2015年信息安全产业中的一个热词,不管是传统的产业巨头还是新兴的初创公司都在宣称可以提供某种形式和类型的威胁情报,发布自己的威胁情报交换方案或技术平台,相应的共享和交换标准也在推进中。其实在国外的安全业,对威胁情报已经有比较明确的定义,如Gartner的定义:“威胁情报是一种基于证据来描述威胁的知识信息,包括威胁相关的上下文环境信息,采用机制、指标、影响与行动建议等。这些用以描述已经存在或正在发生的攻击威胁的信息,可以被受害目标用来进行决策并对威胁进行响应”。同时,可机读威胁情报(MRTI)是威胁情报的特殊格式,已经被转化为可机读的格式,从而可以更容易、更快的被传递到云端或客户端的系统中发挥作用。威胁情报在高级威胁的发现,以及安全态势感知中,都发挥着关键作用。

从当前的业务成熟度来看,2015年各家厂商对威胁情报的商业模式还处于探索阶段,老厂商只是提供些基于原有业务的衍生数据,新厂商则在尝试提供何种情报服务及如何提供服务。在威胁情报的消费端,高端的战略威胁情报(可以从攻击组织与攻击者角度出发的综合情报)仅限于政府及某些大组织机构,而战术威胁情报(威胁指示器IOC)的主要消费设备SOC、SIEM、NGFW等还未大批量地提供可机读威胁情报的支持,真正的消费群体还未形成。威胁情报的共享和交换标准方面,以STIX为代表的开放标准正在获得越来越多的厂商支持从而非常有可能成为主流,但是也不排除一些轻量级的标准在一定范围内流行。360企业安全是国内威胁情报领域的先行者,2015年,360建立了国内第一个商用的威胁情报中心,一是通过360在互联网云端多年积累的安全大数据平台,持续产生可机读威胁情报,并在360天眼威胁感知系统中进行落地。二是360也发布了威胁情报基础数据查询平台,面向安全业内人员开发威胁情报相关的数据查询。更进一步,新的威胁情报服务模式,也逐步在关键客户处落地。

威胁情报要发挥预期的作用,关键在于建立一个可操作的高效的情报交换网络,这里的技术限制不大,阻碍可能更在于商业模式的可行性及组织间的非技术壁垒,2016年会是威胁情报真正开始落地之年。

相关热词搜索:威胁情报 安全威胁情报

上一篇:世界经济论坛2016年全球风险报告 网络攻击位列前五
下一篇:态势感知技术在网络安全中的应用

分享到: 收藏