360首提IOC评估“19条” 打造威胁情报市场新标准

当前，随着数字世界急剧扩张，全球步入网络“大安全”时代，传统被动防御与单点防御无力应对新型攻击，而网安新物种“威胁情报”却逆势凸显关键实力。

针对这一问题，近日， 360旗下360网络安全研究院（360netlab）提出威胁情报IOC评估“19条”，成为我国威胁情报市场首个覆盖用户实际需求且成熟度较高的IOC价值评估标准。

在不久前召开的第八届互联网安全大会ISC 2020上，360网络安全研究院安全分析工程师张在峰在“威胁情报驱动的安全能力建设论坛”中发首次介绍了威胁情报IOC评估“19条”。

该套标准包括8项动态评估指标与11项静态评估指标，基于全网范围内的DNS数据对IOC数据集进行评估，其DNS数据请求量能达到1000亿/天，用户覆盖量超过2000万，打破了此前各家厂商仅根据本公司安全攻防理解提出标准的做法。“基于如此大规模的数据，IOC的动态评估跟能够准确反映不同IOC数据在真实网络环境中的实际表现，也能够涵盖绝大多数甲方用户的使用场景。”张在峰表示。

“没有用户数据库支撑，缺乏对用户实际需求的理解。”在张在峰看来，我国当前威胁情报市场内，无论是产生威胁情报的乙方还是使用威胁情报的甲方，对IOC的评价都还处在拼数量的原始阶段。事实上，作为IOC的提供者，要有足够的数据来说服用户自己提供的IOC足够好。作为IOC的使用者，关心的问题也不仅是数量是多少？误报、漏报情况怎么样？还要关心IOC中有多少活跃？更新频率怎么样？每次更新有多少是新增、多少淘汰？检测能力是否足够多样和高效？

“举个非常基本的例子，A和B厂家提供两份威胁情报，A有100万条记录，B有80万条记录，目前的市场现状基本上就是默认认为A会做得更好，但是在实际中，可能A的100万条记录在实际大网中总命中率不到一千条，剩下的全部都是不活跃无命中的。从这个意义上来看，仅仅看原始IOC数据量价值并不大，也不应该作为评价威胁情报厂商的核心标准。”因此，张在峰认为，要解决这些问题，就必须根据大网用户的实际防护效果，建立一套全面、科学、能用实网检验的IOC价值评估标准。

为打造一套完善的IOC评估标准， 360netlab参考了国际上现有的IOC评估研究项目，不仅从IOC本身包含的内容来评测，还会把IOC放在实际网络环境当中，利用团队所掌握的数据库资源，用实际网络流量来匹配IOC数据，察看IOC的整体表现。以此建立了 “动静结合”的IOC评估“19条”。

“这套标准的成熟度是很高的，但是要完全做到‘19条’的测试，还是存在较高数据库门槛。”张在峰表示，360netlab之所以能成为国内第一个提出并使用这套标准完成IOC科学评估的团队，正是因为该团队运营着当前国内公开最大的PassiveDNS数据库（https://passivedns.cn）；其DNSMon系统以DNS数据为基础，结合其他多维度数据综合研判分析，每天从海量的DNS数据中产出百～千级别的黑域名以及高可疑域名，同时利用智能算法每天产生50余种，数万规模的DGA域名。在无规则的情况下DNSMon在实网中率先识别并拦截了多种大规模的恶意程序使用的域名。

同时， 360netlab在大规模僵尸网络的检测和跟踪领域也一直处于全球领先的水准。近年来，360netlab首发并有限披露了多个有影响力的僵尸网络，在业界引起关注。

据了解，360netlab打造的IOC评估“19条”已经向市场全面公开，并已使用该标准评价完成4个公开情报源，评价结果也已公开。后续还将持续更新。