RSA 2017全面解读 : 安全厂家之威胁情报

RSA2016厂商安全领域分布:

RSA2017厂商安全领域分布:

威胁情报定义

对于威胁情报的定义暂时还没有一个定论,这里引用一下CIA对于情报的定义--------情报是我们所处世界中的知识和预判。美国政策制定者决策和行动的先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官,以便让他们去思考可替换的选项和结果。在信息安全工业内,关于数字威胁的情报就是我们这里的讨论的威胁情报。对于业界内的定义,我们引用一段2015年《Definitive Guide to Cyber Threat Intelligence》书中对威胁情报所下的定义:

“对敌方的情报,及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。”

威胁情报的本质是情报,是一把双刃剑,即可以帮助企业提高安全防护,也可以帮助黑客团伙获得攻击手段。情报在起什么作用在于谁在使用。

因为安全厂商众多无法面面俱到,这次仅谈谈威胁情报的相关厂家

厂商的类型

按照情报的来源看,所有能够发现恶意行为的厂商都可以作为情报来源。具体可以按照如下分类方式:

  • 由传统杀软转型的情报厂商,比如Webroot,Symantec
  • 由新型单机安全agent产生情报的厂商,比如Cylance,CrowdStrike
  • SIEM/MSSP厂商,比如SecureWorks,Verizon,LogRhythm
  • 传统的基于数据进行风险分析的情报厂商,比ThreatMetrix
  • 注重与数据关联分析的情报厂商,比如Anomali

厂商分析

1、WebRoot,Symantec和其他杀软厂商

杀软厂商是可以提供有效的威胁情报的,其道理就和360当前在做的事情类似。单机部署的,深入系统底层的软件(比如杀毒)可以有效的读取主机上的任意内容,监听网络流量等等。缺点是对系统资源的消耗,对特征库的依赖。提供的情报主要包括外网的CC IP信息,恶意文件的hash等等。

2、Cylance和Crowdstrike等新一代终端安全厂商

这俩家厂商在情报方面的做法比较类似,情报来自于自己Agent所收集的用户的行为分析。他们的Agent都是基于用户行为的检测,往往采取截取系统调用的方式来实现,而不是依赖传统的特征库。提供的情报主要包括外网的CC IP信息,恶意文件的hash等等。解决方案类似传统杀软,但是厂商声称有更高的准确性。

3、ThreatMetrix

情报概念定义之前,ThreatMetrix就专注于信用开交易的风险分析,常见的做法是和用户合作,通过快速API调用的方式,在每个交易进行时就即时生成对应的风险分数,帮助用户决断交易的可信度。具体实现可以参考国内的邦盛。数据的来源主要是向其客户索取(交易时刻用户通过API向其提供)和其系统内部的关联分析。大客户如Visa,Paypal等。

4、NuData,Sift Science等新型反欺诈厂商

新型反欺诈厂商意在解决自动注册,撞库等问题,常见的做法是,通过页面JS植入和SDK植入的方式在站点或者移动app里埋点,然后生成每次登陆流程的可信度分数,供服务端来决定是否阻断当前操作,加入注册码,或者进行限速。生成的威胁情报包括IP(及其可信度),设备水印等。

5、Anormali (ThreatStream)

HP Archsight前高管创立的安全情报厂商。Anormali侧重于情报的质量,它的主要情报来源是其合作的第三方,主要的特点是提供情报的关联分析和可视化。用户可以关联来自不同信息源的数据,进行综合分析。特别适用于企业用户发现可疑行为后的调查流程。

6、传统的SIEM/MSSP

传统的SIEM/MSSP厂商提供威胁情报是个很自然的行为,大型的MSSP管理的客户规模巨大,可以产生海量的数据,处理后可以作为情报输出。这部分的信息取决于MSSP所管理的设备和软件,可能和其他设备(或者软件)厂商的情报数据有重合。SecureWorks,Verizon,LogRhythm,HPE都归入这个范畴。

7、Digital Shadow

这个厂商的主营业务是在公网和暗网寻找数据泄漏痕迹,和用户相关的任何有价值信息。

当前的局限

● 价格 1)威胁情报普遍是以解决方案或者订阅的方式获取的,对中小型企业来说,企业的预算往往不足以涵盖情报的订阅。 2)威胁情报的价格的比例不能够过高。 ● 情报的作用点 1)情报和解决方案(设备和服务)的关系相当于子弹和枪。必须要有适当的设备,人力,情报才能发挥作用。常见的使用方式比如 ■ 基于情报的实时阻断 ■ 协助SOC决断安全事件的严重性 ■ 后期的调查取证 ■ 与第三方的合作和情报交换 2)企业往往需要在安全解决方案完备之后才会考虑付费的情报。 ● 情报的价值 1)目前的情报源错综复杂,同一客户有往往不会订阅许多的情报源。很难交叉证明特定情报的可靠性 2)情报虽然可以定期更新,但其本质还是在一个时间内相对静态的列表,对更复杂更有针对性的攻击往往效果不佳 3)对企业来说证明有效性的难度相对较大,对未来预算来说是个难点

未来的发展

  • 威胁数据的持有量和交叉验证 1)从根本上来说,任何安全设备或者软件都可以产生大量的威胁数据,目前缺乏一个平台来统一化整合和处理来自个大厂商,各种设备的数据。 2)来自不同来源的数据可以提供交叉验证,从而证明数据的有效性,目前用户通常不见得会订阅多来源的情报,情报的可信性无法深度分析
  • 威胁情报和云平台的深度整合 1)目前的威胁情报的价格(偏高)导致中小用户无法负担有效的情报。 2)云平台作为大型客户,本身可以承受威胁情报的价格。其本身可以通过规模化效应提供更有效的防护 3)云平台可以利用其用户量,分担威胁情报的成本,让其上的中小客户能够负担和使用。 4)同样的规律适用于CDN,和基于CDN的安全产品。
  • 新的威胁数据源 基于数据分析的反自动化工具可以提供非常有价值的威胁信息。传统的反自动化攻击数据倾向于采用更新静态列表的方式,新的反自动化解决方案采用动态植入和AI算法分析的方式进行来源分析,有更高的准确率和可靠性。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏VRPinea

8.23 VR扫描:Oculus计划在2019年Q1发售VR一体机Santa Cruz

近日,有报道称Oculus最新VR一体机Santa Cruz预计将于今年9月公布具体的发售日期。Santa Cruz的开发已有多年时间,支持6自由度头部追踪和内...

1532
来自专栏人称T客

数据库血海一片 浪潮为何非要趟这浑水?

其实从前两年开始,坊间就不断传出浪潮要进军数据库市场,于去年底月浪潮宣布与Tmax共同建立合资公司,浪潮也因此拿到了Tmax中国区的知识产权和经营授权,由此开展...

27010
来自专栏BestSDK

【一周简报】支付聚合SDK公司Ping++获得千万美元B轮融资,宽带资本领投

编辑导语 智选SDK一周资讯大事记,将会为您呈现过去一周最受欢迎的SDK资讯、投融资、企业活动、人物访谈和创业故事等信息,让您在最短的时间内了解最火 BeeCl...

2299
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(79)-SOP-车间生产计划

车间生产计划 车间生产计划是工厂生产计划的具体执行计划,是把工厂全年的生产任务具体地分配到各个车间、工段、班组以至每个操作人员,规定各相关人员在月、旬、周、日以...

2886

GDPR:对您的数据管理环境的影响(第1部分)

遵守欧盟“通用数据保护条例”(GDPR)的时间线正在快速接近。从2018年5月25日起,任何未能满足新法规的组织将面临最高达全球收入的4%或2000万欧元的罚款...

2204
来自专栏企鹅号快讯

腾讯有苦说不出,声音商标难注册!

在商标界里面 除了基本的文字、图形、数字等方式 还有一种独特的呈现方式 就是声音商标 ? 声音商标在国内比较有代表性的 那就是腾讯申请过的声音商标 ? 腾讯QQ...

2487
来自专栏罗超频道

或将入怀阿里的豌豆荚,如何错失应用分发黄金时代?

今天,互联网爆料平台“开八”爆料,阿里巴巴已正式收购豌豆荚,收购价格未知,确切消息将在今日公布,而豌豆荚创始人王俊煜对此的回应是“我并未听说”。在笔者看来,豌豆...

2889
来自专栏安恒信息

GeekPwn 2017上海站:主持人黄健翔发短信变身“马路杀手”

2017年10月24日,GeekPwn2017国际安全极客大赛在上海举办。本次比赛以“解构行动”为主题,来自全球的顶级黑客用“无所不Pwn”的脑洞,为全球安全技...

2806
来自专栏安恒信息

高校个人信息泄露问题安恒信息能帮到你!

近日,澎湃新闻连续披露了全国各省份多所高校官网存在泄露学生个人信息的情况,这些高校在公示受助学生信息时,包含了身份证号码、银行卡号等个人信息。针对这种现象,全国...

2745

小型企业数据保护

随着互联网成为一场大规模的革命,几乎每笔交易都是从金融到签署在线合同,保护机密信息变得非常重要。

973

扫码关注云+社区