Threatbook合伙人李秋石:具有中国特色的安全威胁情报

DBAplus 2015-12-01 09:46:38
 
 
WOT2015"互联网+"时代大数据技术峰会于2015年11月28日于深圳前海华侨城JW万豪酒店盛大揭幕,42位业内重量级嘉宾汇聚,重磅解析大数据技术的点睛应用。秉承专注技术、服务技术人员的理念。DBA+社群作为本次大会合作方,将通过图文直播为大家全程跟踪报道这场技术盛宴。
 
 
 

在安全圈提起“威胁情报”,可谓无人不知无人不晓。什么是威胁情报?威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。


那么,什么是具有中国特色的安全威胁情报呢?在大会现场,李秋石带来了题为《中国特色的安全威胁情报》的精彩演讲。


他表示,所谓“中国特色”主要体现在:


第一,其实古时候在《孙子兵法》里面就已经提出了“知己知彼”,我们今天把它叫做“知彼知己”,这是情报最有用而且流传最广的一个概念,其实在我们中国的历史文化当中就已经突出了它的重要性。


第二,我们需要有自己的威胁情报处理能力,因为毕竟我们需要有自己自主可控的情报平台,来帮助我们中国的企业去及时的获取和及时的响应。


>>>>

如何从海量的数据中去挖掘威胁情报

 

在海量的数据面前,我们该如何挖掘真正有价值的威胁情报呢?李秋石表示,其实这也是具有“中国特色”的一部分,现在很多中国的互联网公司都在谈大数据,数据对于很多企业来说真的不愁,他们有很多大量的原始数据。包括:IP,以及用户的设备信息等各种各样的信息。


那么,该如何从这些信息中及时发现线索?这其实是威胁情报所具备的一个特性,基于情报的分析和分析师关联的判断。它是基于证据可执行的一个线索,那么这些信息其实是基于海量数据,从中发现的。企业及时发现威胁是非常重要的一个行动点。


其实,威胁情报的作用不是代替现有的安全措施,企业应该有必须具备应该具备的安全防御措施,比如:日常检测等。而情报就是让企业知道该怎么利用这些信息,在摸清楚攻击来源,攻击者身份时,通过安全工具进行防御,甚至反击。大家普遍关注的是漏洞,但是漏洞很难被百分之百杜绝和避免。对于漏洞最好的办法就是,在事中及时地发现这种攻击行为在事中。安全分为三个部分事前、事中、事后,而威胁情报发挥的最大作用就是在事中。企业第一时间发现威胁,并知道这个威胁源自于哪里、做了什么,或者是在产业链的某一个环节当中出现了安全问题。那么,此时作为产业链整个流程当中的企业,其如何在第一时间防范信息的威胁和泄漏的情况,这是很重要的工作。


>>>>

怎么样才能使威胁情报价值最大化

 

李秋石认为,首先要看威胁情报的客户,其实情报有两种应用方式:

一种应用方式是给机器。比如:企业中现有的设备、算法,或者企业的SRC团队,或者有IDS这种设备,那么情报可以作为可机读的信息,让机器立刻具备防御能力。


另一种应用方式是给人读。比如:企业安全管理者,企业决策层,让他们能及时看到相关的报告。


此外,它还有一个非常重要的作用,就是让企业能够提早准备和采取应对措施。因为,往往信息泄漏对于企业造成的威胁是不可估量的,特别是在美国,很多企业可能会因为信息泄漏,或者是企业信息被攻破而导致企业的破产。虽然在“中国特色”的互联网环境当中,因为大家都是在起步阶段,很多时候都是先有了业务来发展,安全才会跟上的。在这种情况下,其实企业需要具备一定的感知能力和发现能力,以便即时修补漏洞。哪怕企业安全人员手头发现了一打漏洞,那肯定要排优先级去修复它,当然最好的方式是全部修复。如果发现外面的攻击者盯上我某一个漏洞,或者尝试用某一种工具攻破系统的话,那首先要把这一块威胁给解决。


>>>>

目前攻击者对于威胁情报的应对策略有哪些

 

安全圈一直流传着一句话:“未知攻,焉知防。”


李秋石表示,安全永远是一个攻防对抗的过程,攻击者对情报的掌握比在明处的企业可能会更多。在工作中,我们可以看到很多有组织、有规模、成产业链的攻击机制的攻击者群体,其实他们内部就已有非常丰富的情报发掘和共享的机制,包括:攻击对象、主要防御措施、工作人员上班时间,还有企业处理威胁的方式。比如:企业的安全系统,或者风险防控系统的技术细节,他们都有共享的机制。攻击者们对于这个体系已经运用得比较完善。所以作为防守方其实也应该去进行相应的反制措施,能够及时的发现这些行为,并采取相应的应对措施。威胁情报的作用就是一种平衡和对抗,就像现实中情报也是类似的,就是信息的感知能力。


>>>>

写在最后

 

李秋石表示,在国际上,威胁情报已经是非常火热的话题了,围绕威胁情报的企业也非常受关注。在国内,由于刚刚兴起不久,威胁情报利用方面仍存在不足和亟待改善的地方。企业主要都是出于摸索和尝试的阶段,但是声势越来越浩大。现在,讨论最多的是企业安全和信息安全领域,而情报能够验证它的价值和方法,并且能够有非常好的一套机制,与企业的业务进行更深入的结合。未来,威胁情报还需要进行更快速的共享,这有助于各个企业,以及做情报的公司能够一起去有效的防范威胁,其实最主要目的是为了能保证企业与用户免受威胁。


小编精心为大家挑选了近日最受欢迎的几篇热文:

回复001,看丁俊的《【重磅干货】看了此文,Oracle SQL优化文章不必再看!》;

回复002,看《灾备故障上了红头文件,容灾技术到底哪家强?》;

回复003,看吕海波的《去不去O,谁说了算?》;

回复004,看胡怡文《PG,一道横跨oltp到olap的梦想之桥》;

回复005,看付新《达梦专家解读:国产数据库也疯狂》;

回复006,看郭耀龙《假事务之名,深入研究UNDO与REDO》;

回复007,看宋日杰《Oracle后台专家解决library cache锁争用的终极武器》;

回复008,看周俊《被埋没的SQL优化利器——Oracle SQL monitor》。


最新评论
访客 2023年08月20日

230721

访客 2023年08月16日

1、导入Mongo Monitor监控工具表结构(mongo_monitor…

访客 2023年08月04日

上面提到: 在问题描述的架构图中我们可以看到,Click…

访客 2023年07月19日

PMM不香吗?

访客 2023年06月20日

如今看都很棒

活动预告