2019年情报驱动的网络安全新生态环境.pdf

1、刘广坤天际友盟 技术总监情报驱动的网络安全新生态环境2目录目录 威胁情报简介 威胁情报相关标准及应用 威胁情报共享生态研究情报驱动的网络安全新生态环境3情报的定位与价值数据信息情报决策数据维度：原始数据，未做加工，数据量大，利用难度大、应用频次低信息维度：基于数据，初步加工，准确性差，时敏性不高，多作为参考情报维度：深度加工，准确性高，时效性强，与场景贴合，应用频次高决策维度：多维结合，最终判断，处置策略，需实际落地，容错率极低网络安全信息的四个应用维度4威胁情报的由来情报安全情报威胁情报相关概念概念起源“威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的

2、、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。”-Gartner，2013年。安全情报是包含漏洞、资产、威胁、风险、运行和事件等维度的安全知识集合。最早源于军事情报领域，概念与技术成熟后被引入网络与信息安全领域，与网络安全态势感知理论密切相关。威胁情报是信息对抗的产物，是出于掌握对手动态的需求，对威胁的具现化描述。可简单理解为“知彼”。安全情报是威胁情报概念的延伸，是运用威胁情报的理念与技术，对网络安全态势感知OODA过程所需要的各类安全知识的综合运用，以支撑组织内部的所有安全活动。概念定义概念理解与延伸5从威胁情报到安全情报国外主流安全厂商在安全情报推广和

3、应用方面的举措威胁溯源威胁行为检测风险资产监测失陷主机检测资产发现漏洞监测漏洞修补态势感知自动化响应调查取证威胁反制漏洞验证业务风控通报预警样本分析威胁情报资产情报漏洞情报事件情报6安全情报所的内容漏洞木马软件蠕虫软件病毒软件勒索软件其他恶意软件Tor节点僵尸网络C&C节点扫描器节点恶意攻击威胁恶意站点威胁恶意软件威胁黑客团伙威胁钓鱼网站色情站点赌博站点DGA域名APT攻击被黑网站垃圾邮件恶意邮件恶意威胁资产发现风险资产资产变更资产IP信誉域名信誉URL信誉Whois信息IP Whois信息域名Whois信息IP地理位置IDC节点移动网IP教育网IP基础信息社会舆情安全资讯其他安全信息其它信息

4、失陷主机事件DDoS攻击事件数据泄露事件病毒木马事件Web攻击事件漏洞利用事件事件信息7以情报促进安全协同情报共享与协同应用安全终端安全数据安全网络安全事件处置风险管理犯罪防止数据分析NGFWIDS/IPS流量分析上网行为管理抗DDoSWAF网站安全监测EDR防病毒隐私保护DLPSOC/iSOC态势感知SOAPA安全通报应急响应/SRC资产管理漏洞管理品牌保护业务风控调查取证8目录目录 威胁情报简介 威胁情报相关标准及应用 威胁情报共享生态研究情报驱动的网络安全新生态环境9了解国外标准STIX是用于表征网络威胁信息标准化沟通的语言CybOX（Cyber Observables eXpressi

5、on）提供了一个通用结构，用于表征企业安全各运作区的网络观察对象。网络观察对象可以是动态的事件，也可以是静态的资产TAXII是一系列关于交换威胁情报信息的技术规格，可帮助企业与其合作伙伴共享信息NIST提出了SCAP系列标准，全称为Security Content Automation ProtocolMITRE致力于标准与框架技术研究，提出了知识库模型和框架ATT&CK，语言标准CAPEC、CCE与CWE，结构化命令标准CPE与CVE，结构化语言标准STIX、CybOX与MEAC，开放语言标准OVAL，以及应用层协议标准TAXII等。标准的目的：1、共享，2算机自动化操作SCAP支持自动化配

6、置、漏洞和补丁检查、安全测量和技术控制的多用途框架语言类枚举类度量类XCCDFOVALOCILCVECCECPECVSSCCSS描述评估内容和评估方法定义评估对象或配置项的格式、并提供相应库提供对评估结果进行量化评分的度量方法MITRE10NIST-SP 800-150(DRAFT)信息共享流程星型分层级的事件报告机制事件响应全生命期网络攻击生命期11让情报流动起来白色：对应的信息内容在共享和传递上不受任何限制，对所有人或组织完全开放TLP是一组确保敏感信息和合适受众共享的标记。TLP借鉴了交通灯信号，以红、黄、绿、白四种颜色来指示接收者对应信息的预期共享边界，每条信息对应的颜色一般会以标签形