墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

Threat Intelligence Inside:一种网络安全生态的探究

06-23 WEB安全

通常,大伙儿将2015年视为中国网络安全威胁情报的元年,按此算来,威胁情报在国内基本进展五年多了。这些年国内的绝大多数安全从业者对待威胁情报的态度,从好奇和惊喜开始,记忆了以为TI(Threat Intelligence)无所不能的“盲目崇拜”时期,到现如今基本差不多“泰然处之”。威胁情报成为了一项核心的网络安全技术,基本是不争的事实,在几乎所有的网络安全解决方案和安全产品中,或多或少都有TI的身影。

回忆五年前,笔者还在国家电网踌躇于安全运营的苦海,初步接触威胁情报之时,是啥让我怦然心动,毅可是然的投入TI的怀抱,坚决的以为威胁情报技术可以成为改变网络安全攻防天平失衡的重要砝码?那时候,我和四周的小伙伴们都看到了威胁情报终将打破网络安全产品各自为战、网络安全厂商各自为政、攻防双方各讲各话的僵局,成为网络安全生态的核心纽带。我们将在网络安全攻防天平的防守侧,放下一颗特别有重量的砝码。 而今,我欣喜的发觉,我们并没有不记得初衷。在记忆了各种各样的痛苦徘徊后,威胁情报将以“TI Inside”的形式和名义,开始尝试在安全人员之间形成知识协同,在安全产品之间形成技术协同,在安全产业里形成技术生态。

1.TI Inside的价值

“新一代的安全产品要支持TI,威胁情报是安全产品的必备功能”,基本成为国内外安全从业者毋庸置疑的共识。而且在国内,支持威胁情报的安全产品还能让客户在一定程度上快速满脚合规要求。具备威胁情报功能的产品,在自身安全检测、防护、分析等能力的基础上,还可以经过TI数据的时效性优势提升产品能力,缩小与国内外知名品牌厂商在安全分析能力等方面的差距。因为在实际部署和使用中,能够明显的缩短威胁处置的时刻窗口,也所以更受到甲方用户的青睐。

固然,还有一具特别重要的方面,算是直截了当部署内置了TI的安全产品,能够大幅度落低用户在现网工作中使用TI的复杂度。笔者亲身记忆的特别多大型企业客户在直截了当采购TI数据后,还面临大量与其他产品(尤其是态势感知平台)整合的工作,不光需要协调多家厂商配合,还需要自身有一定数量的研发人员投入。而且往往因为知识经验和投入不脚等现实缘由,造成相同的TI数据在不同项目中的成效差异较大。所以,将可靠的商业威胁情报能力预先整合到安全产品中,目前基本成为全球安全产品厂商纷纷尝试的技术方向。 怎么将威胁情报数据内置到各类安全产品中,并最大效率的提升产品能力,基本成为了安全产品经理必修的功课。

2.TI Inside的场景&方式

Threat Intelligence Inside:一种网络安全生态的探索

如上图,威胁情报所提供的数据能力,几乎能够和现时期常见的绝大多数安全产品关联使用。假如配合相应的共享与协同机制,不仅能让安全产品及时猎取最新的情报数据,还能在不同厂家的产品之间构建一套有机的协同体系。大伙儿指望多年的安全产品生态协同,在现有技术能力和商业竞争格局没有较大突破的情形下,这大概是最有希翼达成的一种现实方式。

纵观国内外安全产品与TI相结合的形式,从技术上大致可归为明文数据导入、SDK嵌入、即时在线查询三类解决方案。

a.明文数据导入

这一方案与开源软件路线类似,厂商在产品设计和研发层面有较大的自主权,能够相对灵便的依照自家产品特性来抉择数据类型、取舍使用数据字段。假如产品经理功力脚够,甚至能够实现对多个情报数据来源的支持。而且,这一类解决方案的普及,也更利于在组织内部以及行业间实现安全情报共享和快速利用。

然而目前可以提供明文威胁情报数据的多为开源数据来源,其数据质量普遍不能满脚直截了当使用需求。还好还是有部分专业威胁情报厂商愿意提供明文形式的商业TI数据,同时提供明文数据的质量治理方案。

b.即时在线查询

这一方案最大的优点,在于其基于SaaS平台的海量数据积存以及近乎实时的数据更新频率。随着云计算环境的普及,基于互联网环境的产品也越来越可以答应这一方式。

但基于这一方案设计开辟安全产品,会受限于数据提供商的API方案,而且“咨询答式”的响应机制将会大大拖累安全产品的性能和效率。用户在部署这类产品的时候,还要充分衡量网络延迟所带来的产品可用性咨询题。只是由于这一方案显而易见的关于TI数据的保密性较好,还是有更多的威胁情报提供商挑选这一方式。

c.SDK嵌入

那个方案最大的优点,在于SDK不仅能够提供TI数据本身,还可以一体化提供TI数据使用策略,从而保证所有产品在使用同一来源TI的时候的结果一致性(TI数据使用策略的差异造成的结果差异性到底有多严峻,我们后文讨论)。而且SDK还可以灵便的在离线数据和在线数据两种方式中达成一定的平衡。

固然使用威胁情报SDK也会存在兼容性、稳定性、黑盒不可解释性等(产品在使用第三方SDK时的共性)咨询题。

关于安全厂商的产品经理来讲,应该充分思量自身研发团队能力、产品形态、用户使用环境等因素来挑选上述技术方案。固然,这三种方案并不冲突,假如愿意并且支持多种方案,也不存在障碍。

Threat Intelligence Inside:一种网络安全生态的探索

3.TI Inside的难点

a. 威胁情报赋能安全产品,其最大的难点在于建立一具可以持续良性循环的产品生态。国内安全大厂几乎基本上全线产品模式,互相之间竞争远大于合作,想要相互之间共享TI数据和能力,需要领导者们拥有更大的勇气和魄力。这不是本文讨论的重点,有机遇我们当面讨论。而安全产品厂商是应该自研TI依旧挑选与第三方合作?希翼下图可以给大伙儿一些启发。

Threat Intelligence Inside:一种网络安全生态的探索

b. TI Inside技术上最大的难点在于不同厂商、不同产品经理关于TI的理解和想要达成的使用形态天差地别。这么参考和遵循威胁情报的国际标准和国内标准来理解和使用TI,将成为很关键的工作。并且,DDoS防护,也应该有更多的TI提供商主动承担技术普及的责任,并提供更合理的解决方案,CC防御,让更多的安全产品厂商能更方便的集成和使用。

c. 还有一具不能回避的咨询题,算是在TI数据质量的操纵上,不同厂商使用彻底不一样的逻辑。有时效性优先逻辑、命中率优先逻辑、有效性优先逻辑等等,而且各自都有一套合理的解释。从情报本身来讲,都有其相对合理性,然而关于安全产品厂商将会带来持续的困扰。安全产品本身需要增强的是快速发觉咨询题的能力?依旧发觉尽可能多安全线索的能力?亦或是提高告警准确度的能力?这是一具艰苦的选择。笔者以为,作为TI能力的输出方,我们不应该把难题扔给产品厂商,需要不断优化和改进自个儿TI的能力和水平。

d. 另外,前文提到的数据使用策略不同所导致的结果不一致,也是困扰了我们多年的咨询题。例如情报中的一具域名IOC,是否需要限定网络协议、是否需要限定网络流量方向、是否可以扩展其关联的IP地址、是否应该与同一条情报中的其他IOC有逻辑(与或非)关系?有厂商经过SDK来解决、有厂商干脆自个儿做一款产品来示范。然而迄今为止,笔者还没有看到普适性的解决方案。希翼随着TI Inside的推进,我们可以找到答案。

不管存在多少艰难,我们依旧欣喜的看到,有特别多人正在为了构建真正降地的安全生态而努力,有特别多的安全产品正在开启TI Inside模式。事实上,威胁情报技术所带来的不仅仅是产品生态合作的改变,更是一种安全能力交付模式的改变。不管是给客户直截了当提供威胁情报,高防cdn,依旧经过TI Inside向安全产品(安全厂商)提供威胁情报,其本质算是我们的安全能力以数据和服务的形式举行了一种全新状态的交付。

我们拥抱技术的进步,我们更应该考虑今后安全能力交付模式的转变。TI Inside不过在那个转变大潮前期的一小步探究和尝试,希翼本文可以抛砖引玉,有机遇一起探究更多的大概。

2020年10月8日,写于察隅。

版权保护: 本文由 主页 原创,转载请保留链接: /web/182623.html


QQ客服

400-0797-119