威脅情報數(shù)據(jù)是越多越好嗎?威脅情報檢測產(chǎn)生大量誤報怎么辦?到底什么樣的情報才最合適?安全運(yùn)營團(tuán)隊(duì)不足該怎么辦?作為威脅檢測的“良藥”,自威脅情報被提出以來,這些問題一直困擾著大量用戶。由此可見,威脅情報的應(yīng)用仍然具有較高的門檻。
為解決上述問題,奇安信威脅情報中心基于多年威脅情報技術(shù)積累,面向終端、網(wǎng)關(guān)、大數(shù)據(jù)平臺等環(huán)境推出了威脅情報SDK檢測引擎(QTDE),提升相關(guān)產(chǎn)品基于威脅情報的檢測和發(fā)現(xiàn)能力,并且大幅降低了威脅情報的消費(fèi)門檻。
市場需求只增不減
能夠看到的是,在歷經(jīng)了前期動蕩的階段后,經(jīng)過多方扎實(shí)有重點(diǎn)的試驗(yàn),對威脅情報的適用范圍及限制擁有客觀并實(shí)際的了解,市場規(guī)模逐漸成長。根據(jù) Gartner 的最新預(yù)測,威脅情報支出預(yù)計將以 15.8% 的復(fù)合年增長率增長,到 2025 年將達(dá)到 26 億美元。
奇安信威脅情報中心認(rèn)為,威脅情報本質(zhì)上是威脅檢測能力在知識層面的打包輸出,基于威脅情報檢測能力已經(jīng)成為新安全、新基建防御的基礎(chǔ)和核心,在安全事件分析和應(yīng)急響應(yīng)中不可或缺。并且,未來威脅情報會進(jìn)入垂直細(xì)分領(lǐng)域市場,情報內(nèi)生(TI INSIDE)的模式將會成為主流。
但需要注意的是,威脅情報的應(yīng)用并非一勞永逸,而是需要持續(xù)的運(yùn)營。然而,由于缺乏專業(yè)的安全運(yùn)營團(tuán)隊(duì),大多數(shù)組織的情報消費(fèi)能力略有不足,根據(jù)Gartner的調(diào)研顯示,目前仍有大量用戶未能很好的將威脅情報應(yīng)用于威脅狩獵的過程,導(dǎo)致部分安全投資“打了水漂”。
降低情報消費(fèi)門檻
奇安信威脅情報中心認(rèn)為,大幅簡化威脅情報應(yīng)用的過程,同時保持高質(zhì)量的威脅情報輸出,對于降低用戶側(cè)威脅情報消費(fèi)門檻至關(guān)重要。
為此,奇安信威脅情報中心推出的QTDE,實(shí)現(xiàn)了便捷生產(chǎn)、共享與消費(fèi)威脅情報的閉環(huán),能夠通過為不同形態(tài)的產(chǎn)品提供情報檢索、基于分析師的研判和關(guān)聯(lián)分析能力,定時分發(fā)熱點(diǎn)IOC數(shù)據(jù),使各集成產(chǎn)品整合、應(yīng)用接口傳遞結(jié)果,檢測威脅類型包括APT攻擊、遠(yuǎn)控木馬、蠕蟲木馬、僵尸網(wǎng)絡(luò)、勒索軟件、挖礦、黑客利用EXP等。
該引擎整合了高價值情報數(shù)據(jù)和專業(yè)的檢測處理邏輯,一次集成完成,通過簡單的接口調(diào)用,就可以使設(shè)備或產(chǎn)品具有高精準(zhǔn)、高性能、可定性、可攔截的威脅情報檢測能力。用戶不需要任何威脅情報、安全對抗知識,也無需了解威脅情報研判和檢測邏輯,即可輕松具備產(chǎn)品的情報能力加持。
生態(tài)共贏
另外,Gartner調(diào)查發(fā)現(xiàn),盡管威脅檢測能力取得了長足的進(jìn)步,但攻擊者仍然能夠完成滲透目標(biāo),這在很大程度上是由于不同競爭對手和行業(yè)的不合作或不共享威脅信息。由此可見,生態(tài)合作是威脅情報市場發(fā)展的必由之路。
奇安信威脅情報中心面向網(wǎng)絡(luò)安全威脅情報生態(tài)聯(lián)盟(CEATI)成員,提供不同等級的QTDE集成應(yīng)用服務(wù)。該服務(wù)可通過集成威脅情報的SDK動態(tài)庫方式,讓聯(lián)盟合作伙伴的產(chǎn)品在短時間內(nèi)具備基于威脅情報的檢測能力,共同推動產(chǎn)品、解決方案層面的情報深度融合的同時,也推動了威脅情報行業(yè)生態(tài)發(fā)展。
圖4 聯(lián)盟生態(tài)合作伙伴
面對計算資源受限導(dǎo)致無法很好消費(fèi)威脅情報數(shù)據(jù)的情況,奇安信威脅情報中心能夠提供定制化的 QTDE 分發(fā)規(guī)則,僅提供分析師運(yùn)營過濾、確認(rèn)的熱點(diǎn)情報數(shù)據(jù)和高價值情報數(shù)據(jù)(例如APT類數(shù)據(jù));而對于硬件性能、使用場景均適宜的產(chǎn)品,則提供全量的 IOC 數(shù)據(jù)和更豐富的上下文信息,充分滿足NGFW、UTM、終端防病毒、虛擬化終端、云安全、SOC、態(tài)勢感知等多種網(wǎng)絡(luò)安全設(shè)備、主機(jī)應(yīng)用和大數(shù)據(jù)平臺的集成需求。
不僅如此,奇安信威脅情報中心推送的情報數(shù)據(jù)升級包頻率為小時級更新,極大程度上保證了威脅情報的時效性和準(zhǔn)確性。
附:網(wǎng)絡(luò)安全威脅情報生態(tài)聯(lián)盟簡介
CEATI(Cybersecurity Ecology Alliance of Threat Intelligence)網(wǎng)絡(luò)安全威脅情報生態(tài)聯(lián)盟,是由奇安信威脅情報中心聯(lián)手國內(nèi)多個著名安全公司共同發(fā)起的共建威脅情報行業(yè)生態(tài)的的聯(lián)盟機(jī)構(gòu),旨在以威脅情報能力應(yīng)用為核心,打造新生態(tài)圈模式,情報使能、共謀共策、開放合作、共贏未來。
