吴云坤:威胁情报生态就是多产情报,用好情报
中新网1月17日电 1月17日,威胁情报生态峰会在北京举行,这是威胁情报领域首个聚焦生态的行业会议。
来自公安部网络安全保卫局、国家保密局科学技术司、中科院信息工程研究所CNTIC工作组、国家互联网应急中心以及360企业安全集团、华为、中国人民银行金融信息中心、中国华电集团、天际友盟等多家机构和企业的领导、专家出席了大会,从威胁情报生态的不同角色,分享了威胁情报在安全信息通报、安全能力建设、安全体系建设、威胁捕猎等多个领域的应用,以及基于威胁情报生态的合作模式和实践探索。
360企业安全集团总裁吴云坤发表了题为“情报驱动的安全体系建设”的主题演讲,他认为威胁情报的应用不单单是数据和技术问题,还是防御体系和生态的问题。威胁情报生态就是需要帮助生产者生产更优质的情报,帮助消费者更好地利用情报。
在数字化转型的大背景下,面对越来越多样化和未知性的安全威胁和新的网络安全形势,网络安全建设必须从被动的威胁应对和标准合规的规划模式,走向面向能力的体系化同步建设模式,在演讲中,吴云坤提出了面向能力的体系化建设的三个关键点:
关键点1:关口前移,与信息化同步规划与建设综合防御能力体系。
能力导向的安全体系建设,首先要改变过去“创可贴”式的安全模式,信息化与安全同步,尤其是在以云计算和大数据为核心的新一代信息化系统建设中,安全从“零”开始,与信息化和安全同步规划、同步建设防御能力体系。
参照SANS的网络安全滑动标尺基础模型,在规划与建设中分五个阶段组织安全能力,进而从能力的角度构建防御体系。
第一阶段的基础架构安全中把内设安全放进去,利用信息化系统自身的能力,缩小攻击面,在信息化的早期就可以做到;在第二阶段的纵深防御,是在信息化的基础设施之上附着安全,通过设备、软件、配置策略等进一步缩小攻击面,消耗进攻者的资源,这两阶段偏静态的防御能力体系,有大量的噪声攻击可能会被过掉,为之后的积极防御做更多可以辨识的工作,降低积极防御的工作量。这两个阶段能够共同实现偏静态的综合防御能力。强调“深度结合,全面覆盖”,覆盖信息化的每一个点,实现与信息化的深入结合。
第三阶段是积极防御,更多采用监测、识别、溯源、猎杀,还有可能通过指挥调度来做应急处置;第四阶段的情报体系,对于积极防御有非常大的作用,这两个阶段是偏动态的积极防御能力体系。强调“掌握敌情、协同响应”,实现对安全事件的快速应急处置。静态综合防御能力体系和动态积极防御能力体系的结合,构成了能力导向的安全体系。
关口前移,描述的是偏静态的综合防御体系,强调安全措施应该覆盖所有体系中不同层次的信息化系统,通过安全与信息化的深度结合,实现内生安全。比如做数据安全,规划必须回到云信息化的技术化层次描述各个层次的控制点,回到云信息化本身做内生安全。
关键点2:威胁情报是构建积极防御能力体系的关键,同时也将在纵深防御乃至基础结构安全发挥作用。
在演讲中,吴云坤分析了威胁情报在检测与响应、安全狩猎、报警分析、事件响应与处置等积极防御体系中典型场景下的价值,同时提出对于威胁情报的消化理解不单单是用于检测和响应,更大的价值是在于对综合防御体系,基础结构安全和纵深防御体系有很大的指导作用。
在综合防御体系中,将情报消化理解到安全措施,安全措施既包含相对静态的防御措施又包含动态的防御措施,情报的利用是整体的完善的体系。用一句话描述就是“从IOC转化成为监测特征,从TTP转化成为态势感知的心智模型,从漏洞情报转化成为资产匹配筛选模板以及从覆盖全环境/情报发现者环境的威胁情报,做减法匹配到实际的具体信息化环境(资产、配置、拓扑等)。”
简单说就是威胁情报可以通过积极防御当中的态势感知消化威胁情报后在积极防御、纵深防御乃至基础结构安全中发挥作用。
关键点3:威胁情报能力构建,需要从生态开始。
从生产高质量威胁情报,到使用威胁情报完善安全体系,充满各种挑战,难以依赖单方面的力量,需要构建完整的生态。
从威胁情报的典型应用场景我们发现单单的威胁情报不会发挥作用,只有融入到总体的防御体系中才能体现价值,所以威胁情报能力的构建必须要从生态开始,如何有效利用威胁情报不是一个在实验室研究数据的过程,它是一个综合的防御体系如何有效把态势感知消化威胁情报的结果应用于防御体系的过程,这个过程当中涉及到非常多的生态角色,有网络安全监管机构、信息化服务商、行业用户、研究机构,也有安全厂商,这些生态角色相互协作,构建形成威胁情报生态。
吴云坤认为,威胁情报生态就是需要帮助生产者生产更优质的情报,帮助消费者更好地利用情报,有效的形成这样的安全防御体系。
他介绍,早在2017年的ISC互联网安全大会上多家机构就发起成立了威胁情报交换联盟,推动威胁情报生态建设,作为该联盟成员,360威胁情报中心向生态伙伴开放云端ALpha情报分析平台、开放情报API等多种平台和工具,为推动威胁情报生态建设做务实探索。
