0
“珍珠港事件是美國情報史上最失敗的一戰,這樣的失敗不會再發生。”電影《決戰中途島》中有這樣一句臺詞,指出了情報對戰爭走勢的重大意義。
圖(影視資料):情報在中途島海戰中發揮關鍵作用
從偷襲珍珠港到中途島海戰,恰恰對應了情報工作的正反兩個案例。在珍珠港海戰中,美國忽視了提前獲得的情報,導致海軍損失慘重;相反,到中途島海戰,美軍提前破獲重要情報,分析出日軍意圖并提前籌備部署,最終大獲全勝,一舉扭轉了二戰的局勢。
從兩場結局迥異的戰爭不難發現,情報獲取固然必要,而情報的分析、判別和處理能力,才是重中之中。在如今網絡空間的攻防戰場上,威脅情報,早已成為網絡安全防御體系中不可或缺的組成部分,而如何用好威脅情報、充分發揮好威脅情報的作用,也成為業內探討的焦點。
當今,隨著數字經濟的發展和數字化轉型的深入、數據資產的不斷增大和數字業務的增加,以數據為目標的網絡攻擊愈演愈烈,商業利益訴求和恐怖破壞目的交織,組織化攻擊和網絡犯罪交織威脅呈現多樣化、未知性態勢,建立實戰化的攻防能力體系已是大勢所趨。
圖:威脅情報是高級網絡安全能力的標配
“在實戰化攻防中,威脅情報正在成為一種必要技術和手段。”在不久前奇安信的TI INSIDE計劃發布會上,奇安信集團總裁吳云坤表示。“準確有效的威脅情報能夠幫助企業實現對各類威脅的實時檢測、主動防御、提前預警、快速響應,實現從被動防御體系向積極防御體系的轉變。”
但在現實中,威脅情報在國內的發展并非一帆風順。
“雖然威脅情報進入中國市場的時間不長,僅有5年時間,卻已經歷了從懵懂期待到狂熱追捧,再到回歸冷靜理性的三個階段。” 奇安信威脅情報中心負責人汪列軍認為。
圖:威脅情報的三個發展時期
據汪列軍回憶,威脅情報最早概念的提出,來自于2014年Gartner在《安全威脅情報服務市場指南》的論述。2015年前后,它這個全新概念被引入國內市場,到2017年、2018年,國內對于威脅情報的關注達到了一個空前高峰,甚至出現了“威脅情報萬能論”的狂熱論點。
圖:Gartner發布的2019年威脅情報發展趨勢
汪列軍認為,威脅情報之所以受熱捧,得益于它能夠“料敵預先”,在理論上可以改變攻守不對等的局面,所以業界對威脅情報的期望很高。另一方面,專業機構也在為其推波助瀾。從Gartner發布的《全球威脅情報市場指南》、到SANS的每年發布的《網絡威脅情報調查》,再到多家專業廠商接連發布報告,威脅情報急劇升溫。而在去年RSA大會上,威脅情報上升至熱詞榜第七位。
“當時我去參加國內外大的安全展會,威脅情報幾乎無處不在,各種防火墻、IDS、終端安全、SOC等等產品,都集成了威脅情報模塊,已經到了‘言必稱威脅情報’的地步。”汪列軍表示。
“過度的贊譽是一種捧殺”,這種威脅情報的“大躍進”式普及,也給發展帶來隱憂。據介紹,很多客戶匆忙上了威脅情報功能,卻抱怨不好用、不會用,尤其是部分安全產品集成了威脅情報后,產生了大量的告警和誤報,搞得安全人員不堪重負,甚至得出威脅情報‘沒用’的結論。
“威脅情報具有相當的門檻,對使用者要求比較高。”汪列軍表示,“如果沒有專業的情報分析和安全運營團隊,就很難發揮其本身的作用。”
經過了2017年至2018年的狂熱之后,到2019和2020年,威脅情報市場潮水退卻,進入了理性冷靜期。不過,奇安信威脅情報中心認為該領域的市場需求依然很大。根據美國安全研究機構SANS發布的《威脅情報的演進:2019應用調研報告》顯示:81%的受訪者認為威脅情報改善了企業的安全檢測與響應能力。這與前一年的60%相比有大幅的增長,這證明威脅情報的有效性得到高度認同。
圖:SANS對威脅情報的應用調研
威脅情報被認同的同時,用戶的需求也在不斷分化。SANS今年發布的《2020年網絡威脅情報現狀調研報告》顯示,40%的受訪者既消費情報也生產情報,——這是威脅情報領域日益成熟和專業化的重要標志。但對于大量的中小組織機構而言,普通的情報訂閱服務即可滿足他們的需求。而根據Gartner對用戶群的預測,中型組織和小型IT團隊對情報的需求會成為未來高速增長的一部分市場。
“我們不能讓每一個用戶讓他們都成為情報專家,所以需要更多元化的滿足不同類型組織機構的需求。”汪列軍表示。
為了讓更多客戶用好威脅情報,2020年初,奇安信提出了“情報內生”的觀點,并指出:基于內部信息化和業務系統實現“情報內生”,構建內生安全能力,將成為實現和提升高級威脅檢測的必要條件。同時,情報內生也是應對高級威脅的必然需求。
“在實戰化攻防環境下,威脅情報如果沒有與內部信息化、業務和安全數據有效結合,情報將是一個空殼,無法落地。”吳云坤表示,“威脅情報不僅需要互聯網數據,還要考慮把信息化數據、業務數據和安全數據結合在一起,將信息化技術、人員和流程緊密結合,這對于很多組織機構而言,門檻較高。”
SANS《2020年網絡威脅情報現狀調研報告》也發現,制約威脅情報應用的原因有很多,其中占到57%的首要因素,是缺乏專業的員工和能充分利用威脅情報的經驗。操作難度問題/自動化水平差、在管理方面缺少足夠支持、缺少自動化報告高管層的能力等等,也占了很大比例。受訪者普遍認為,“人、工具、流程相互配合及內外部團隊合作,是有效使用威脅情報的關鍵”。
那么,如何降低用戶威脅情報消費的門檻?如何讓更多用戶更加便捷的使用威脅情報?中小廠商沒有安全分析師又該怎么玩情報?中小廠商沒有大數據怎么玩情報? 2020年6月29日,奇安信面向威脅信息共享交換聯盟(TIXA聯盟)內的生態合作伙伴,發起了威脅情報技術應用2.0 ----TI INSIDE計劃,旨在降低威脅情報的消費門檻,助力行業生態健康發展。
圖:由奇安信發布的TI INSIDE計劃
據介紹,TI INSIDE計劃分為三個層面,在技術實現層面,通過SDK和API接口開發集成來實現開放;在合作方面,它將面向TIXA聯盟內合作伙伴或者其他有意愿加入聯盟的合作伙伴;而在能力輸出方面,該計劃將開放奇安信的核心威脅情報檢測能力,以吸引更多的伙伴加入。
TI INSIDE計劃體現了奇安信開放協同、共建共贏的理念,迅速得到主管部門、行業協會、合作伙伴以及核心客戶的積極反饋。中國網絡空間安全協會副秘書長張健指出,目前威脅情報的共享和產業協同方面,存在明顯的短板,其中重要原因是“競爭大于合作,封閉分散大于開放聯動”,“TI INSIDE”計劃是產業內技術合作、聯動防御的一次有益的嘗試,對加強最終用戶的安全建設與檢測能力,大有裨益,也利于進一步提升行業的整體防御能力基線。
盛邦安全CEO權小文也持同樣觀點。他認為,國內有數十家威脅情報廠商,不可避免出現重復造輪子的情況,而高質量的情報不能靠單打獨斗,而需要生態合作,強強合作,實現團隊協同作戰,開放的心態和行動至關重要。
達爾文《進化論》曾說過一句話----世界上最后能生存的生物,不是最強的,也不是智慧最高的,而是適應能力最強的。汪列軍認為,在威脅情報的新賽道之上,誰能夠解決并降低用戶側的情報消費門檻,誰能最滿足、最適合普通用戶的切實需求,誰將在未來的威脅情報市場上占據主導地位。
“通過TI INSIDE計劃,我們希望將威脅情報中心6年來的數據積累、技術、能力、專家,尤其是威脅情報實戰經驗固化形成平臺,以平臺化和標準化的方式,服務于客戶和生態合作伙伴,能夠有效降低威脅情報應用的門檻,加速威脅情報的普及,進而提高國內整體的網絡安全防護水平,并推動威脅情報市場進入新一輪的高速增長時期。”汪列軍表示。
雷鋒網雷鋒網
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
