随着以APT为典型代表的新型威胁和攻击的不断增长,企业和组织在防范外部的攻击过程中越发需要依靠充分、有效的安全威胁情报做为支撑,以帮助其更好的应对这些新型威胁。安全威胁情报分析市场应运而生,并蓬勃发展。
针对传统的威胁,我们采用的防御和检测机制基本上是以特征检测为主,而新型威胁更多地利用0day进行攻击,这意味着防守方可能无法提前获知特征信息,从而无法发挥现有检测机制的作用。即便有些新型威胁利用的不是0day,而是1day或者更老的漏洞信息,但是由于防守方的特征检测库过于庞大,且没有针对性,也会因受困于性能和有效性而频频漏报。
新型攻击的特点也决定了现有的检测机制恐难以凑效。这类攻击的特点包括:潜伏的时候多采用低慢频度的攻击,难以察觉;发起实质性攻击的过程十分快(通常就几分钟,不超过几个小时),并且攻击目标的指向性特别明确【称之为Targeted】,同样的攻击过程几乎以后再也不会重复(就像惯犯好抓,而只犯一次的人就难抓一样)【称之为Polymorphic】。
任由你防守方有多么厉害的防御体系,最终也难逃被攻破,RSA、洛克希德马丁、诺斯罗普都是顶级的安全防御公司,最终都被攻破,可见一斑。
因此,作为防守方,需要改变策略。
有很多事情可以去做。其中一个事情就是依靠来自外部的安全威胁情报。
什么是安全威胁情报(Security Threat Intelligence)?形象地说,我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等,这些都属于典型的安全威胁情报。而随着新型威胁的不断增长,也出现了新的安全威胁情报,例如僵尸网络地址情报(Zeus/SpyEye Tracker)、0day漏洞信息、恶意URL地址情报,等等。这些情报对于防守方进行防御十分有帮助,但是却不是单一的一个防守方自身能够获取和维护得了的。因此,现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。根据IDC的估计,市场规模会从2009年的2亿美元迅速膨胀到2014年9亿美元。
之前,我已经多次提及过安全威胁情报,例如SBIC的报告《当APT成为主流》中,例如这篇文章——《INSA:美国须发展网络空间情报系统 》,例如对情报分析的介绍,等等。
现在的情报分析市场还有一个很重要的特点,就是给客户提供的情报的特定性越来越强。情报提供者会根据购买者的网络/应用的环境信息,提供给他们特定的威胁情报,而非简单的通用情报信息。
谁是这个市场的玩家?包括专业的安全情报分析厂商,MSS厂商,公开的情报分析组织(OSINT,例如http://isc.sans.edu/index.html),甚至某些个人。
而作为一个专业的玩家,其核心竞争力在于安全情报分析系统。一个强大的安全情报分析系统,首先有广泛的基础信息来源,有的厂商会监测整个互联网。还有的厂商,会将客户的网络纳入监测的范围,以获得该客户的特定安全情报信息。然后,有高级的分析手段,不论是FPC/FPI技术,DPI/DFI分析技术,还是SIEM技术,蜜网技术、沙箱技术、以及BDA技术,通通都可以派上用场。
作为安全情报的购买者,有最终用户,也有下游的安全厂商,他们会将这些情报打包其安全产品和服务中去。
情报的分享与传递也很重要。例如在A企业遭受攻击的信息及其追踪分析的结果对于同行业的B企业可能就极为有用。美国政府的智库们就很重视这点。而之前介绍过的欧洲龙虾计划中也有类似的工作(匿名化)。
最后,请注意,我们有时候说Security Intelligence是指安全情报,而在另外一些时候又会指代安全智能(相对于BI,商业智能),请勿混淆。为了避免模糊化,我一般将安全情报说为安全威胁情报——STI,或者Cyberspace (Security) Threat Intelligence,Cyber Threat Intelligence。