自2013年威脅情報(Threat intelligence)提出以來,迄今已經在網絡安全領域得到廣泛應用,諸多安全產品如防火墻、入侵檢測、態(tài)勢感知、端點保護、SIEM、漏洞管理、DDoS防護等,都能看到威脅情報的身影,能力得到大幅提升。根據 IDC 的調研數據顯示,威脅情報可以推動安全和運營效率的提高,將企業(yè)發(fā)現威脅的速度提高 10 倍,響應和解決威脅的速度提高 63%,并在受到攻擊之前主動識別出 22% 的安全威脅。
威脅情報的落地方式有很多,天際友盟選擇了做好威脅情報的優(yōu)質“供貨商”,為此提出“TI Inside”生態(tài)戰(zhàn)略詮釋。TI ,即威脅情報Threat intelligence的縮寫,Inside類似電腦行業(yè)英特爾專注于做好CPU,賦能于各個PC廠商,天際友盟也是用TI Inside賦能整個安全產業(yè),通過TI Inside協(xié)同,通過生態(tài)聚合力量,實現威脅情報能力與安全廠商的集成聯動。
6月18日,以“新IN力 御萬象”為主題的 TI Inside 威脅情報應用生態(tài)協(xié)同峰會在北京召開。在“TI Inside”生態(tài)的集聚效應下,峰會吸引了大量網絡安全企業(yè)代表、威脅情報生態(tài)合作機構、分析機構,共同交流威脅情報的最佳應用實踐,探討 “TI Inside”生態(tài)共建戰(zhàn)略,推進安全行業(yè)威脅情報生態(tài)協(xié)同。
“TI Inside”生態(tài)伙伴現身說法
威脅情報最直接受眾當屬網絡安全廠商。據介紹,依托TI Inside模式,天際友盟目前的情報源達到200+,合作安全廠商60+,已成為安全行業(yè)威脅情報應用的牢固底座。對TI Inside模式的有效性和優(yōu)勢,以及威脅情報的實踐,奇安信、H3C、IBM、六方云等企業(yè)在會上進行了分享。
H3C安全攻防實驗室主任梁力文對TI Inside模式表示認同。她認為,威脅情報的協(xié)同和共享特性決定了TI Inside生態(tài)建設需要企業(yè)客戶、安全廠商和情報廠商一起努力?;谕{情報的主動安全和縱深防御體系共生,縱深防御是主動安全的落地抓手,二者相輔相成。TI Inside模式能夠實現威脅情報的生產和消費閉環(huán),讓威脅情報有效流動起來,進而拉高企業(yè)整體防御水位,縮短檢測響應周期,提升風險預測能力和分析水平。
奇安信威脅情報中心負責人汪列軍認為,要做好外部和內部情報的結合。首先要使用好開源和商業(yè)的威脅情報數據,其次還要從自身的安全設備、應急響應及安全分析過程中收集威脅情報。目前,這種既“消費”也“生產”威脅情報的用戶占比甚至近半?!皟壬閳蟆笔峭{情報SaaS化賦能的必備補充,適配無法外聯的封閉組織防護場景,同時應對APT高級威脅也需要內生情報數據和相應的判定能力。
IBM 大中華區(qū)信息安全售前經理高爽強調,行業(yè)要共建高端威脅情報服務。IBM X-Force作為領先的威脅情報研究機構之一,將與天際友盟攜手打造開放共享生態(tài)、共筑威脅情報聯盟,共建高端威脅情報服務,通過向市場傳遞高端威脅情報、共建樣板工程、展示更豐富的威脅情報使用場景,提升用戶對威脅情報使用的高度和認知。
六方云產品部總經理劉建興介紹了TI Inside模式在工業(yè)互聯網安全體系的構建。采用AI威脅檢測+TI Inside模式,通過威脅檢測、交叉驗證和溯源查詢等方式,將威脅情報能力融入工業(yè)互聯網安全產品,全面感知工業(yè)生產全生命周期的安全態(tài)勢,構建起高度智能化的工業(yè)互聯網安全防護體系。
共建安全新生態(tài) “TI Inside”的初心與未來
為什么要專注于做好威脅情報的“供貨商”?根本目的是要幫助安全廠商降本增效,集中精力做自己擅長的事情。
天際友盟 CEO 楊大路表示,網絡威脅日趨專業(yè)化,安全廠商自身獲取威脅情報具有局限性,同時自建威脅情報體系投入巨大,這里就是第三方情報供應商的價值所在。作為專業(yè)、中立的威脅情報供應商,天際友盟能夠實現全產業(yè)鏈、多源威脅情報的匯聚,在TI Inside生態(tài)中起到根基的作用,通過威脅情報場景化應用賦能,與生態(tài)合作伙伴一起,共同最大化發(fā)揮威脅情報的價值。
天際友盟CEO 楊大路
楊大路介紹,天際友盟的威脅情報能力實現了與奇安信、H3C、IBM等龍頭企業(yè)的打通,還實現與60+家安全廠商的集成聯動。同時,天際友盟與全球多家知名安全機構達成情報數據合作,實現200+家情報源的實時聚合,熱情報日更新2000萬+,并提供feed情報訂閱,支持明文批量交付數據,方便與安全產品集成或再加工。
另外,根據不同類型安全產品的定位、性能和應用場景,天際友盟TI Inside設計出三種典型的情報融合策略,包括處置類集合、分析類集合、EDR集合,針對不同的集合篩選出適用的威脅情報數據,滿足不同類型的安全產品與威脅情報進行高效的融合。
按照不同的情報來源和威脅類型,天際友盟的威脅情報市場建立情報卡片體系,在訂閱威脅情報數據時,只需要將感興趣的一張或多張卡片加入至數據下載集合,便可以自由下載使用。目前天際友盟維護包括自有情報、IBM、火絨、網宿等多家優(yōu)質情報源,包括惡意軟件、C&C節(jié)點、數字貨幣、APT情報、惡意網站、病毒木馬等在內的40余種情報卡片。
在生態(tài)共享的理念下,天際友盟作為威脅情報國標(GB/T 36643-2018)的協(xié)助起草單位,不但產出符合國標的威脅情報,還提供離線明文威脅情報,并支持在線查詢功能,幫助網絡安全廠商高效、便捷、低成本使用TI Inside服務。此外,天際友盟還設計了一套完整、高效的數據信譽度評價機制,實現對情報進行信譽度評價和動態(tài)跟蹤,并據此進行數據老化處理和數據清洗,以保證相關數據的可靠性和有效性。
對未來TI Inside的發(fā)展,天際友盟TI Inside戰(zhàn)略負責人趙嘉偉表示,天際友盟TI Inside將堅持開放、生態(tài)、共生的理念,致力于攜手安全廠商為最終用戶打造更加安全的網絡空間。TI Inside模式,不僅要實現與安全廠商的集成聯動,形成新的聚變效應;還要通過威脅情報賦能生態(tài)伙伴,應對客戶實際業(yè)務的各類場景,確??蛻粼跀底只椭悄芑臅r代里行穩(wěn)致遠。