电脑装配网

攻防视角下威胁情报跨行业共享思路

 人阅读 | 作者xiaofeng | 时间:2022-08-18 00:20
近年来,随着各关键信息基础设施行业单位在实战化中的不断历练,威胁情报的重要性得到了普遍认可。各种官方、在野的威胁情报共享群不断涌现,大家对基于威胁情报开展攻击防护、入侵溯源的热情高涨。

威胁情报本质上是攻击者和防守方在时间上的赛跑,防守方先于攻击方拿到威胁情报,就能御敌于国门之外,并开展有效反击,后于攻击方则会造成各种误报,严重影响业务。所以,“覆盖率、实效性、准确性”是评价威胁情报质量高低的三个标准。好的威胁情报产品必须有高质量的数据源,数据源要有行业高覆盖率,要有一手的、实时的、海量的生产机制,要有准确及时的情报救济机制,消除误报。1网络威胁情报定义网络威胁情报是关于攻击者及其动机、意图和方法的知识,将这些知识收集、分析和传播以帮助各级安全和业务人员保护企业的关键资产。按照形态,传统威胁情报分为Hash、IP、域名、网络或主机特征、攻击工具、TTPS(Tactics,Techniques& Procedures)6类。Hash、IP、域名类情报属于易于获取但利用价值不高的低级情报,大多属于海量、异构、结构化的网络基础数据,其知识粒度低、关联关系差、应用场景单一,但是易机读、易处理。网络或主机特征、攻击工具、TTPs等情报属于相对不易获取但具有较高利用价值的高级情报。这些情报大多通过对低级情报进行人工或自动化处理得到,以非结构化、具有明显语义的说明文本配合结构化属性信息的方式存储。2攻防视角下的网络威胁情报从关键信息基础设施保护业务视角,我们认为威胁情报的类型可以分为三类: 640.webp (9).jpg图 情报收集、生成与利用链条“敌在攻我”类情报:指黑客正面对我网络发起漏洞攻击、暴力破解、数据窃取等攻击用到的IP地址、攻击跳板、网络武器等情报信息。“敌在控我”类情报:指黑客攻陷我网络后,在被控设备中植入木马后门,由此产生的恶意文件、回连IP/域名等情报信息。“溯源画像”类情报:通过对攻击IP分析溯源、对攻击线索开展数据挖掘、对攻击武器进行逆向分析、对攻击组织进行关联扩线等,刻画出的攻击者详情信息。利用威胁情报开展关基保护的总体思路是:基于实时准确的威胁情报,识别“敌在攻我”类攻击行为进行阻断,监测“敌在控我”类入侵事件进行处置,对攻击源头进行“溯源画像”,力争揪出攻击者,将其绳之以法。3跨行业联防联控的实现方式实现方式:依托我单位已部署的网防G01数十万个互联网主机软探针、网探D01全球网络资源画像数据、网盾K01数千台硬探针双向威胁检测引擎,再结合腾讯、360、奇安信等第三方互联网公司汇集的实时威胁情报数据,我所搭建了权威可信的“威胁情报共享平台”,在各重要单位数据中心和办公网络出入口部署网盾K01硬件监测设备,通过全国所有单位的数据汇集、实时联动、情报共享,依托网络威胁情报数据和专业专家分析团队研判,实现跨行业间的“一点监测、全网阻断,情报共享、集体防御”的目标。跨行业联防联控的工作原理示意图如下:640.webp (10).jpg图 工作原理示意图威胁情报共享平台数据还可以和各行业态势感知平台对接,提供实时可靠的威胁情报数据,提升行业网络安全联防联控能力。4“网盾K01”的核心功能双向监测与阻断:全流量、全协议监测入网和出网流量,就攻击行为进行“监测”或“阻断”;云与端联动检测验证:通过云端“情报共享平台”与本地K01设备联动验证攻击行为,降低攻击误报率;灵活的策略模式:基于具体防护资产和出入网访问关系,进行全局或部分黑白名单、IP访问控制等策略设置;多源情报融合、共享:搭建情报生成与管理系统,可灵活接入并共享公有情报、私有情报和第三方情报;多设备集中管控:搭建集中管控系统,可集中管理多个网络出入口、多级部署的网盾K01设备,统一策略配置、联动数据展示;情报综合查询:开放威胁情报综合查询接口,可实时查询一所全部“敌在攻我”、“敌已控我”、“溯源画像”数据;丰富联动数据接口:开通Syslog、FTP、SFTP、JSON等丰富数据接口,联动态势感知平台,进行控制指令传输;640.webp (11).jpg图 K01基本功能点示意5重要行业单位落地实施工作思路党政机关、企事业单位自行或在行业总部统筹规划下,应逐步开展如下三项工作:思路一:行业内互联网侧威胁情报共享与联动处置第一步:在总部互联网侧搭建“集中管控系统”;第二步:在总部及下属单位所有互联网出口(包含数据中心、办公网)部署网盾K01设备;第三步:接入已有防火墙、WAF、SOC、态势感知平台等私有情报数据或控制命令;第四步:统一管理部署的网盾K01设备,统一监测与处置网络安全事件。思路二:行业专网各区域间、跨边界接入点的威胁情报共享与联动处置第一步:在行业总部内网搭建“集中管控系统”、“私有情报生成系统”第二步:在专网内各安全域边界、区域边界和跨网接入点部署网盾K01设备;第三步:单项接入一所“威胁情报共享平台”,输出情报数据到行业专网;第四步:实时监测汇总所有K01告警数据和专网内所有防火墙、WAF、SOC、态势感知平台等情报数据到“私有情报自动化生成系统”,生成有效网络威胁情报;第五步:联动态势感知平台,通过“集中管控系统”统一管理、统一命令下发,实现内网纵深防御。思路三:跨行业、多行业的威胁情报共享与联动处置第一步:重复思路一、思路二,各自开展情报平台建设;第二步:多行业间开展情报平台“情报源”对接与分享;第三步:分别与一所“情报共享平台”进行联动与验证。6总结与展望通过实践努力,我所“威胁情报共享平台”已经初步具备了跨行业、数百家单位的威胁情报共享与联动处置能力,诚邀各行业单位部署应用网盾K01设备,或通过其他形式与我所情报平台联动,开展数据的交互与使用,共同研讨关键技术,我们将本着开放共享、谦虚谨慎的原则,组建专业分析团队、广泛采集各类情报源,竭诚为大家服务,为我国网络安全事业做出贡献。

9999.jpg


文章标签:

本文链接:『转载请注明出处』