安全的趋势是以威胁情报为中心

2015-11-13

Gartner的网站曾提出过一种荒谬但却真实的用户案例,大体的事件过程是这样的:

● 购买DLP产品并部署;

● 组织被黑客渗透并且数据被盗;

● 组织启动防数据泄露的项目;

● 新的项目中DLP技术不在处于中心环节甚至不再出现。

引用Gartner分析师的话,就是出现没有DLP技术的DLP项目趋势。这些项目的重心往往是网络流量为中心的安全分析。

不考虑Gartner发现的这种趋势,我们回想一下身边的案例,无论是国内的网易邮件账号风波,或是索尼的T级别数据被盗,都值得深思,我们最需要的是什么?安全的一个重要原则在于简明,某种部署、运维过于复杂的安全系统并不能给用户带来真实的安全性,更多的也许是一种幻象。在基础安全措施(如:身份认证、访问控制)之上,用户最需要的也许应该是一种基于威胁情报的网络流量分析系统。之所以是基于网络流量,是因为它相对于终端更易于部署维护;之所以基于威胁情报,是因为它已经成为新形势下安全检测无可争议的中心。

IDS时代的检测技术以攻击特征为中心,难以平衡漏报和误报;随着而来的是以漏洞利用为中心的检测技术,在对抗逃逸技术的基础上还能带来极高的精度,由此我们进入了IPS的时代,但随着更多的0day攻击出现,我们发现漏洞总是层出不穷,需要新的方法;启发式检测,存在和攻击特征方式同样的问题;基于异常的检测,在现实的生产网络中正常模型的建立是那样的遥不可及。不断的摸索中,我们隐隐看到了一扇门,这条道路用新的大数据IT架构为基础,铭刻着深深的印记:威胁情报。

威胁情报是基于证据的,有关已知或新的威胁或危险的知识,包括环境、机制、指标、影响和活动建议,能够作为应对此威胁或危险的决策依据(参照Gartner的定义)。威胁情报不排除签名检测,有些情报就可以转化为签名,并可以给相应的报警赋予更有价值的优先级排序;威胁情报也不排斥异常检测,相反它可以使异常检测更加成熟可用,产生更有安全价值的输出。

威胁情报也不仅仅用于检测过程中,在安全体系设计中,在事件响应中,威胁情报都发挥了不可或缺的作用。在安全体系设计中所犯的错误,往往不是因为对业务及人的心理把握不足,就是因为对威胁情报的收集有缺失。在事件响应中,要对事件进行定性,作出决策判断,依赖的也是威胁情报。

返回Blog首页