今日頭條
官方微信
官方抖音
資訊頻道一、威脅情報(bào)國(guó)內(nèi)外發(fā)展現(xiàn)狀
威脅情報(bào)(Threat Intelligence),是指通過網(wǎng)絡(luò)測(cè)繪、大數(shù)據(jù)等方式獲取收集的漏洞、攻擊行為等威脅知識(shí)的集合及可操作性建議,可用于還原已發(fā)生的攻擊、預(yù)測(cè)未來可能發(fā)生的攻擊、輔助用戶選擇更合適的應(yīng)急響應(yīng)策略。 (一)國(guó)際政府積極引導(dǎo),標(biāo)準(zhǔn)成果多樣發(fā)展,產(chǎn)業(yè)格局初步形成 以美國(guó)為代表的網(wǎng)絡(luò)強(qiáng)國(guó)高度重視威脅情報(bào)技術(shù)的發(fā)展。政策方面,美國(guó)出臺(tái)多份政府令等文件引導(dǎo)建立威脅情報(bào)共享機(jī)制,成立多個(gè)專門機(jī)構(gòu)促進(jìn)政企間、行業(yè)間的威脅情報(bào)共享與分析利用,實(shí)施三期愛因斯坦計(jì)劃,建有高水平的態(tài)勢(shì)感知系統(tǒng)。標(biāo)準(zhǔn)方面,各國(guó)積極制定威脅情報(bào)標(biāo)準(zhǔn),國(guó)外成熟的威脅情報(bào)標(biāo)準(zhǔn)有網(wǎng)絡(luò)可觀察表達(dá)式(CyboX)、指標(biāo)信息的可信自動(dòng)化交換(TAXII)、技術(shù)和通用知識(shí)(ATT&CK)等。其中,ATT&CK是2019年RSA大會(huì)和Gartner安全與威脅管理會(huì)議的關(guān)注熱點(diǎn),更結(jié)構(gòu)化地描述網(wǎng)絡(luò)攻擊手法,支撐智能化學(xué)習(xí)攻擊知識(shí)。國(guó)際威脅情報(bào)標(biāo)準(zhǔn)趨向于構(gòu)建更細(xì)粒度、更易共享的知識(shí)模型和框架。產(chǎn)業(yè)方面,威脅情報(bào)共享是應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)威脅形勢(shì)、完善傳統(tǒng)安全防護(hù)系統(tǒng)的重要手段之一,國(guó)外著名安全廠商FireEye、CrowdStrike、Flashpoint、Symantec、IBM等推出了威脅情報(bào)服務(wù)和解決方案,建設(shè)有X-Force Exchange等多個(gè)威脅情報(bào)共享平臺(tái)。 (二)我國(guó)政府積極布局,標(biāo)準(zhǔn)成果同步跟進(jìn),產(chǎn)業(yè)生態(tài)有待提升 我國(guó)十分重視威脅情報(bào)發(fā)展,政策方面,習(xí)近平總書記在2016年419講話中提出“建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制”,《網(wǎng)絡(luò)安全法》要求有關(guān)部門、網(wǎng)絡(luò)運(yùn)營(yíng)者、研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間共享網(wǎng)絡(luò)安全信息,“等保2.0”中部署威脅情報(bào)檢測(cè)系統(tǒng)是合規(guī)的必需,工信部等十部門聯(lián)合發(fā)布的《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》中提出要建設(shè)安全威脅信息庫(kù)等基礎(chǔ)資源庫(kù),但新政策引導(dǎo)下的威脅情報(bào)技術(shù)應(yīng)用尚處在起步階段。標(biāo)準(zhǔn)方面,2018年我國(guó)發(fā)布威脅情報(bào)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全威脅信息格式規(guī)范》(GB/T 36643-2018),與國(guó)際最新標(biāo)準(zhǔn)相比,對(duì)攻擊的描述不夠細(xì)化,難以支撐智能化分析。產(chǎn)業(yè)方面,奇安信、奇虎360、微步在線、安天等廠商積極投入到威脅情報(bào)相關(guān)產(chǎn)品的研發(fā)和生態(tài)建設(shè)中,建成多個(gè)頗具影響力的威脅情報(bào)共享分析平臺(tái),對(duì)外提供威脅情報(bào)服務(wù),但情報(bào)收集與分析能力較國(guó)際水平存在差距,情報(bào)共享存在壁壘。此外,我國(guó)通過政企合作建有國(guó)家級(jí)網(wǎng)絡(luò)空間威脅情報(bào)大數(shù)據(jù)共享開放平臺(tái)CNTIC,當(dāng)前面臨多渠道威脅情報(bào)難以充分匯聚等問題。 二、威脅情報(bào)在我國(guó)工業(yè)互聯(lián)網(wǎng)安全中的應(yīng)用前景 當(dāng)前,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷向工業(yè)領(lǐng)域轉(zhuǎn)移,工業(yè)互聯(lián)網(wǎng)正在成為網(wǎng)絡(luò)安全的主戰(zhàn)場(chǎng)。傳統(tǒng)被動(dòng)式的防御手段以及針對(duì)單點(diǎn)的攻擊取證與溯源技術(shù)難以應(yīng)對(duì)高級(jí)持續(xù)性威脅(APT)、新型高危漏洞等復(fù)雜安全威脅。利用威脅情報(bào)技術(shù)能夠收集整合分散的攻擊與安全事件信息,支撐選擇響應(yīng)策略,支持智能化攻擊追蹤溯源,實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)攻擊的防護(hù)與對(duì)抗,進(jìn)而構(gòu)建融合聯(lián)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系。 一是威脅情報(bào)賦能工業(yè)互聯(lián)網(wǎng)安全事件管理與響應(yīng)。按照威脅情報(bào)標(biāo)準(zhǔn)對(duì)安全信息與安全事件進(jìn)行記錄,便于信息共享、關(guān)聯(lián)分析以及事件響應(yīng)。根據(jù)威脅情報(bào)反映的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì),有助于預(yù)判后續(xù)可能的安全風(fēng)險(xiǎn),使得響應(yīng)網(wǎng)絡(luò)威脅的速度更快,準(zhǔn)確度更高,防范能力更強(qiáng)。 二是威脅情報(bào)支持工業(yè)互聯(lián)網(wǎng)攻擊分析與溯源。威脅情報(bào)技術(shù)可用于分析攻擊手法還原攻擊路徑。結(jié)合關(guān)聯(lián)威脅情報(bào),可以對(duì)攻擊方進(jìn)行組織畫像和溯源,利用威脅情報(bào)構(gòu)建攻擊知識(shí)庫(kù),能夠?qū)崿F(xiàn)對(duì)APT攻擊的智能化攻擊意圖推理及樣本變種自動(dòng)化跟蹤。最新威脅情報(bào)框架ATT&CK支持引入知識(shí)圖譜等AI技術(shù),支撐工業(yè)互聯(lián)網(wǎng)攻擊智能分析。 三是威脅情報(bào)支撐工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè)。主動(dòng)防御方面,利用威脅情報(bào)制定和組織攻擊計(jì)劃,能規(guī)避可能的防御手段。被動(dòng)防御方面,基于威脅情報(bào)研究攻擊路線,可探索應(yīng)對(duì)抗檢測(cè)手段的新方法。在工業(yè)互聯(lián)網(wǎng)設(shè)備層,集成威脅情報(bào)快速識(shí)別攻擊行為的優(yōu)勢(shì),能實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)設(shè)備輕量化攻擊檢測(cè)。對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè),可利用威脅情報(bào)模擬攻擊,測(cè)試和評(píng)估其防護(hù)系統(tǒng)的檢測(cè)和防御效果,指導(dǎo)制定安全增強(qiáng)方案。 三、威脅情報(bào)在我國(guó)工業(yè)互聯(lián)網(wǎng)安全中的應(yīng)用挑戰(zhàn) 在工業(yè)互聯(lián)網(wǎng)應(yīng)用威脅情報(bào)技術(shù)面臨收集、共享、分析以及利用等方面的挑戰(zhàn)。 一是工業(yè)互聯(lián)網(wǎng)對(duì)象海量異構(gòu),威脅情報(bào)收集難度升級(jí)。當(dāng)前威脅情報(bào)主要來自網(wǎng)絡(luò)爬蟲、針對(duì)特定屬性漏洞掃描以及共享交換。而網(wǎng)絡(luò)爬蟲和漏洞掃描不能滿足威脅情報(bào)對(duì)于準(zhǔn)確性、可靠性和實(shí)時(shí)性的高要求。加上工業(yè)互聯(lián)網(wǎng)邊緣連接對(duì)象海量異構(gòu),相較于傳統(tǒng)互聯(lián)網(wǎng)威脅情報(bào)收集難度升級(jí)。 二是威脅情報(bào)共享不足,難以支撐關(guān)聯(lián)事件的分析。當(dāng)前工業(yè)互聯(lián)網(wǎng)威脅情報(bào)共享機(jī)制尚未成熟,企業(yè)間、行業(yè)間的威脅數(shù)據(jù)未形成標(biāo)準(zhǔn)格式的威脅情報(bào),加上共享渠道尚未打通,威脅信息難以交互同步。加上不同組織間存在利益競(jìng)爭(zhēng),很難將各自掌握的威脅情報(bào)信息和研究成果完全分享。 三是工業(yè)互聯(lián)網(wǎng)威脅情報(bào)利用不足,基于情報(bào)的防御和響應(yīng)機(jī)制有待完善。勒索病毒在工業(yè)系統(tǒng)的泛濫表明傳統(tǒng)互聯(lián)網(wǎng)安全威脅也能對(duì)工業(yè)系統(tǒng)造成影響。 “永恒之藍(lán)”爆發(fā)兩年多以后,工業(yè)主機(jī)仍然頻頻遭受該勒索病毒攻擊,可見當(dāng)前工業(yè)系統(tǒng)尚未做好對(duì)威脅情報(bào)的利用。 來源:工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟
北京市公安局海淀分局備案號(hào):11010802023656號(hào)