什么是威脅情報,其實安全圈一直在使用着它們,漏洞庫、指紋庫、IP信譽庫,它們都是威脅情報的一部分。情報就是線索,威脅情報就是為了還原已發生的攻擊和預測未發生的攻擊所需要的一切線索。“所謂的威脅情報就是幫助我們發現威脅,並進行處置的相應知識。這種知識就是我們所說的威脅情報”。
互聯網安全曾經歷經了流氓互毆,俠客對決、黑社會火並等等階段,現在已經形成了攻擊者有組織有預謀,防御者有偵查有戰術的局面——無論是攻擊還是防御,都超越了點對點的戰術,而越來越倚仗於全面的戰法。簡單來說,就是搞安全的不僅要看編程指南,還要看孫子兵法了。既然是正規軍對壘,戰法就要變得相對立體。所謂知己知彼,百戰不殆。威脅情報,就像是八百里加急快報送來的敵情。
二戰中,盟軍依靠計算機之父圖靈的天才破解了德國的密碼,得知德國馬上要對考文垂進行轟炸。但是為了爭取更大的決定性勝利,盟軍選擇不讓德國人知道對手已經破譯了其密碼。因此盟軍方面沒有對考文垂進行有針對性的的防御措施。於是德國人相信其密碼依然是安全的,從而一步步走進了盟軍的圈套。
在威脅情報中,安全公司同樣運用類似的方法和黑客斗法。例如:穿梭各大安全論壇,裝作黑客的樣子,開心地與之討論最近哪種攻擊方式最流行,有哪些漏洞可以利用。然后回家修補漏洞。
於是,通過威脅情報,企業會對未來的攻擊擁有免疫力,這就徹底改變了原本的攻防態勢。原來也許黑客可以用上整整一年的攻擊手段,一旦進入威脅情報,就被重點監控。如果攻擊者第二次還在用同樣的后門,就等於主動跑到了探照燈下。
某大神爆料,目前美國正在有計划有組織地曝光其他國家對其基礎設施發動的攻擊。這句話讓人細思極恐,這表明美國已經擁有了一份精准的威脅情報,對其攻擊者的攻擊路徑已經了如指掌。為了不打草驚蛇,其中有60%-70%的攻擊路徑,美國並沒有曝光。沒錯,美國正在靜靜地看對手裝X。
講了什么是威脅情報,接下來說威脅情報有什么用?威脅情報給誰用?
從個人角度,如果提供代理IP,刷流量的人想要(繞過IP限制);如果提供僵屍網絡IP,安全防御者想要,其實攻擊者也想要,攻擊者要的總是比防御者多,所以Ta們更能達到目的。從公司角度而言,先說項目之間,做WAF的、做掃描器的、做漏洞管理平台的可以交換漏洞信息,做殺毒的和入侵檢測的可以交換惡意樣本信息,做業務欺詐的和做網絡攻防的可以交換IP信譽信息,這些都是為了做到內部資源(掃描器,WAF,IPS等安全組件)甚至外部資源(開源資源集合、廠商資源交換)的整合(現狀是公司越大,這些信息越碎片化),整合才能起到協同防御的效果,才能有能力地進行深度分析去發現真正有價值的攻擊事件與高級的難以發現的APT定點攻擊事件。
過去,我們將太多的精力放在實時防御上面,但並沒有將威脅完全擋住,這個時代已經過去了。我們需要建立一個完整的防御體系,從防御、檢測到響應,甚至通過威脅情報將攻擊事件的預測做起來,而這一切的核心就是要掌握海量的數據,並具備強大的數據分析能力。威脅情報,是面向新的威脅形式,防御思路從過去的基於漏洞為中心的方法,進化成基於威脅為中心的方法的必然結果,它和大數據安全分析、基於攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石。