日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

威脅情報（Threat Intelligence），是指通過網(wǎng)絡(luò)測繪、大數(shù)據(jù)等方式獲取收集的漏洞、攻擊行為等威脅知識的集合及可操作性建議，可用于還原已發(fā)生的攻擊、預(yù)測未來可能發(fā)生的攻擊、輔助用戶選擇更合適的應(yīng)急響應(yīng)策略。

（一）國際政府積極引導(dǎo)，標準成果多樣發(fā)展，產(chǎn)業(yè)格局初步形成

以美國為代表的網(wǎng)絡(luò)強國高度重視威脅情報技術(shù)的發(fā)展。政策方面，美國出臺多份政府令等文件引導(dǎo)建立威脅情報共享機制，成立多個專門機構(gòu)促進政企間、行業(yè)間的威脅情報共享與分析利用，實施三期愛因斯坦計劃，建有高水平的態(tài)勢感知系統(tǒng)。標準方面，各國積極制定威脅情報標準，國外成熟的威脅情報標準有網(wǎng)絡(luò)可觀察表達式（CyboX）、指標信息的可信自動化交換（TAXII）、技術(shù)和通用知識（ATT&CK）等。其中，ATT&CK是2019年RSA大會和Gartner安全與威脅管理會議的關(guān)注熱點，更結(jié)構(gòu)化地描述網(wǎng)絡(luò)攻擊手法，支撐智能化學(xué)習(xí)攻擊知識。國際威脅情報標準趨向于構(gòu)建更細粒度、更易共享的知識模型和框架。產(chǎn)業(yè)方面，威脅情報共享是應(yīng)對復(fù)雜網(wǎng)絡(luò)威脅形勢、完善傳統(tǒng)安全防護系統(tǒng)的重要手段之一，國外著名安全廠商FireEye、CrowdStrike、Flashpoint、Symantec、IBM等推出了威脅情報服務(wù)和解決方案，建設(shè)有X-Force Exchange等多個威脅情報共享平臺。

（二）我國政府積極布局，標準成果同步跟進，產(chǎn)業(yè)生態(tài)有待提升

我國十分重視威脅情報發(fā)展，政策方面，習(xí)近平總書記在2016年419講話中提出“建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機制”，《網(wǎng)絡(luò)安全法》要求有關(guān)部門、網(wǎng)絡(luò)運營者、研究機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間共享網(wǎng)絡(luò)安全信息，“等保2.0”中部署威脅情報檢測系統(tǒng)是合規(guī)的必需，工信部等十部門聯(lián)合發(fā)布的《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》中提出要建設(shè)安全威脅信息庫等基礎(chǔ)資源庫，但新政策引導(dǎo)下的威脅情報技術(shù)應(yīng)用尚處在起步階段。標準方面，2018年我國發(fā)布威脅情報國家標準《信息安全技術(shù) 網(wǎng)絡(luò)安全威脅信息格式規(guī)范》(GB/T 36643-2018)，與國際最新標準相比，對攻擊的描述不夠細化，難以支撐智能化分析。產(chǎn)業(yè)方面，奇安信、奇虎360、微步在線、安天等廠商積極投入到威脅情報相關(guān)產(chǎn)品的研發(fā)和生態(tài)建設(shè)中，建成多個頗具影響力的威脅情報共享分析平臺，對外提供威脅情報服務(wù)，但情報收集與分析能力較國際水平存在差距，情報共享存在壁壘。此外，我國通過政企合作建有國家級網(wǎng)絡(luò)空間威脅情報大數(shù)據(jù)共享開放平臺CNTIC，當(dāng)前面臨多渠道威脅情報難以充分匯聚等問題。

當(dāng)前，網(wǎng)絡(luò)安全風(fēng)險不斷向工業(yè)領(lǐng)域轉(zhuǎn)移，工業(yè)互聯(lián)網(wǎng)正在成為網(wǎng)絡(luò)安全的主戰(zhàn)場。傳統(tǒng)被動式的防御手段以及針對單點的攻擊取證與溯源技術(shù)難以應(yīng)對高級持續(xù)性威脅（APT）、新型高危漏洞等復(fù)雜安全威脅。利用威脅情報技術(shù)能夠收集整合分散的攻擊與安全事件信息，支撐選擇響應(yīng)策略，支持智能化攻擊追蹤溯源，實現(xiàn)大規(guī)模網(wǎng)絡(luò)攻擊的防護與對抗，進而構(gòu)建融合聯(lián)動的工業(yè)互聯(lián)網(wǎng)安全防護體系。

一是威脅情報賦能工業(yè)互聯(lián)網(wǎng)安全事件管理與響應(yīng)。按照威脅情報標準對安全信息與安全事件進行記錄，便于信息共享、關(guān)聯(lián)分析以及事件響應(yīng)。根據(jù)威脅情報反映的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢，有助于預(yù)判后續(xù)可能的安全風(fēng)險，使得響應(yīng)網(wǎng)絡(luò)威脅的速度更快，準確度更高，防范能力更強。

二是威脅情報支持工業(yè)互聯(lián)網(wǎng)攻擊分析與溯源。威脅情報技術(shù)可用于分析攻擊手法還原攻擊路徑。結(jié)合關(guān)聯(lián)威脅情報，可以對攻擊方進行組織畫像和溯源，利用威脅情報構(gòu)建攻擊知識庫，能夠?qū)崿F(xiàn)對APT攻擊的智能化攻擊意圖推理及樣本變種自動化跟蹤。最新威脅情報框架ATT&CK支持引入知識圖譜等AI技術(shù)，支撐工業(yè)互聯(lián)網(wǎng)攻擊智能分析。

三是威脅情報支撐工業(yè)互聯(lián)網(wǎng)安全防護體系建設(shè)。主動防御方面，利用威脅情報制定和組織攻擊計劃，能規(guī)避可能的防御手段。被動防御方面，基于威脅情報研究攻擊路線，可探索應(yīng)對抗檢測手段的新方法。在工業(yè)互聯(lián)網(wǎng)設(shè)備層，集成威脅情報快速識別攻擊行為的優(yōu)勢，能實現(xiàn)工業(yè)互聯(lián)網(wǎng)設(shè)備輕量化攻擊檢測。對工業(yè)互聯(lián)網(wǎng)企業(yè)，可利用威脅情報模擬攻擊，測試和評估其防護系統(tǒng)的檢測和防御效果，指導(dǎo)制定安全增強方案。

在工業(yè)互聯(lián)網(wǎng)應(yīng)用威脅情報技術(shù)面臨收集、共享、分析以及利用等方面的挑戰(zhàn)。

一是工業(yè)互聯(lián)網(wǎng)對象海量異構(gòu)，威脅情報收集難度升級。當(dāng)前威脅情報主要來自網(wǎng)絡(luò)爬蟲、針對特定屬性漏洞掃描以及共享交換。而網(wǎng)絡(luò)爬蟲和漏洞掃描不能滿足威脅情報對于準確性、可靠性和實時性的高要求。加上工業(yè)互聯(lián)網(wǎng)邊緣連接對象海量異構(gòu)，相較于傳統(tǒng)互聯(lián)網(wǎng)威脅情報收集難度升級。

二是威脅情報共享不足，難以支撐關(guān)聯(lián)事件的分析。當(dāng)前工業(yè)互聯(lián)網(wǎng)威脅情報共享機制尚未成熟，企業(yè)間、行業(yè)間的威脅數(shù)據(jù)未形成標準格式的威脅情報，加上共享渠道尚未打通，威脅信息難以交互同步。加上不同組織間存在利益競爭，很難將各自掌握的威脅情報信息和研究成果完全分享。

三是工業(yè)互聯(lián)網(wǎng)威脅情報利用不足，基于情報的防御和響應(yīng)機制有待完善。勒索病毒在工業(yè)系統(tǒng)的泛濫表明傳統(tǒng)互聯(lián)網(wǎng)安全威脅也能對工業(yè)系統(tǒng)造成影響。 “永恒之藍”爆發(fā)兩年多以后，工業(yè)主機仍然頻頻遭受該勒索病毒攻擊，可見當(dāng)前工業(yè)系統(tǒng)尚未做好對威脅情報的利用。

來源：工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟