引言
《工(gōng)業(yè)互聯網安全研究》—威脅情報(bào)在工(gōng)業(y$£×è)互聯網安全的(de)應用(yòng)。我中心組織編寫《工(gōng)業(yè)互聯網安全技(jì)術(shù)與應用(y←∞∞òng)白(bái)皮書(shū)(2020)》工(gōng)作(zuò)已經啓動,希望©✔δ提高(gāo)業(yè)界對(duì)工(gōng)業β≤→(yè)互聯網安全核心技(jì)術(shù)及挑戰的(de)重™₩♣∞視(shì)和(hé)共識,為(wèi)工(gōng)業(yè)互聯網健康發展保駕÷÷護航。白(bái)皮書(shū)将從(cóng)$•δ₩工(gōng)業(yè)互聯網安全技(jì)術(shù)的(de)演進、安全技(jì¥α≠σ)術(shù)框架、關鍵技(jì)術(shù)與挑戰、新技(♠←¶×jì)術(shù)與工(gōng)業(yè)互聯網安全的(de)融合、應用(y←&≥♥òng)案例等多(duō)角度全面分(fēn)析工(gōng)業(yè)互聯網安全技(jì)術(€¶≥shù)。
一(yī)、威脅情報(bào)國(guó)內(nèi)外(wài)發展現(xiàn)狀
威脅情報(bào)(Threat Intelligence),是(sσ✘hì)指通(tōng)過網絡測繪、大(dà☆™¥≈)數(shù)據等方式獲取收集的(de)漏洞、攻擊行(xíng)為(wèiσ§∞)等威脅知(zhī)識的(de)集合及可(kě)操作(zuò)性建議×¥(yì),可(kě)用(yòng)于還(hái)原已發生(sh£εēng)的(de)攻擊、預測未來(lái)可(kě)能(néng)發生(shēng)的(d¥e)攻擊、輔助用(yòng)戶選擇更合适的(de)應急"←響應策略。
(一(yī))國(guó)際政府積極引導,标準成果多(du♠β≤♦ō)樣發展,産業(yè)格局初步形成
以美(měi)國(guó)為(wèi)代表的(de)網絡強國(guó)高(g$āo)度重視(shì)威脅情報(bào)技(jì)↑α術(shù)的(de)發展。政策方面,美(měi)國(guó)出台多(duō)份政府令等'©α文(wén)件(jiàn)引導建立威脅情報(bào→•$)共享機(jī)制(zhì),成立多(duō)個(gè)專門(mén)機(jī)構促進政企間(jλ∏↕☆iān)、行(xíng)業(yè)間(jiān)的(de'& )威脅情報(bào)共享與分(fēn)析利用(yòng),實施三期愛(ài)因斯坦計(j ∞↔§ì)劃,建有(yǒu)高(gāo)水(shuǐ)平的(de)态勢感知(zhī)系統。标準方面,各∏φ國(guó)積極制(zhì)定威脅情報(bào)标準,國(guó)外≤Ω™(wài)成熟的(de)威脅情報(bào)标準有(yǒu)網絡可(kě)觀察表達式(CyboX)®↓•δ、指标信息的(de)可(kě)信自(zì)動化(huà)交換(T ®'AXII)、技(jì)術(shù)和(hé)通(tōng)用(yòng)&δ知(zhī)識(ATT&CK)等。其中,ATT&CK是(↑∞®Ωshì)2019年(nián)RSA大(dà)會≈↔®(huì)和(hé)Gartner安全與威脅管理(lǐ)會(huì)議(yì)的( de)關注熱(rè)點,更結構化(huà)λ$&¶地(dì)描述網絡攻擊手法,支撐智能(néng)化(huà)學習×±₩<(xí)攻擊知(zhī)識。國(guó)際威脅情報(bào)标準趨←∑"向于構建更細粒度、更易共享的(de)知(zhī)識模型和(♠Ωhé)框架。産業(yè)方面,威脅情報(bào)共享是(shì)應對(duì)複雜(zá)網&®絡威脅形勢、完善傳統安全防護系統的(de)重要(yào)手段之一(yī),國(guó¶≤↑)外(wài)著名安全廠(chǎng)商FireEye、CrowdStrike、♠✘<Flashpoint、Symantec、IBM等推出了(le)威脅情報(bào)服↕∏務和(hé)解決方案,建設有(yǒu)X-Fo•™βφrce Exchange等多(duō)個(gè)威脅情報(bào)共享平台。 ✘®>±
(二)我國(guó)政府積極布局,标準成果₹•≥同步跟進,産業(yè)生(shēng)态有(yǒu)待提升
我國(guó)十分(fēn)重視(shì)威脅情∑報(bào)發展,政策方面,習(xí)近(jìn)平總書(δ♥'∞shū)記在2016年(nián)419講話(huà)中提出“建立政府和(♥₹<≈hé)企業(yè)網絡安全信息共享機(jī)制(zhì)”,《網絡安全法》要(yào)求β•有(yǒu)關部門(mén)、網絡運營者₩← 、研究機(jī)構、網絡安全服務機(jī)構等之間(jiān)≤φ 共享網絡安全信息,“等保2.0”中部署威脅情報(bào)檢測系統是(shì)合規的(de<<✔)必需,工(gōng)信部等十部門(mén)聯合發布的(de)《加強工(£δδgōng)業(yè)互聯網安全工(gōng)作(<§↓zuò)的(de)指導意見(jiàn)》中提出要(yào)建設安≥₩÷全威脅信息庫等基礎資源庫,但(dàn)新政策引導下(xià)♣ ✔的(de)威脅情報(bào)技(jì)術(shù)應用(yòng)尚處在起步階段。标準方面,201 ≈∏≠8年(nián)我國(guó)發布威脅情報↕¶☆♦(bào)國(guó)家(jiā)标準《信息安全技(jì)術(shù₽¥π∞) 網絡安全威脅信息格式規範》(GB/T 36643-2018),與國¥ ♠(guó)際最新标準相(xiàng)比,對(duì)攻擊的(de)描述不(bù)夠細化(h"®₹φuà),難以支撐智能(néng)化(huà)分(fēn)析。λ§✘産業(yè)方面,奇安信、奇虎360、微(wēi)步在線、安天等廠(chǎng✔¶)商積極投入到(dào)威脅情報(bào)相(xiàng→€)關産品的(de)研發和(hé)生(shēng)态建設中,建成多(duō)個(gè)頗具影(yǐn₽'←♦g)響力的(de)威脅情報(bào)共享分(f☆×£ēn)析平台,對(duì)外(wài)提供威脅情報(bào)服務,但(d↑↓εàn)情報(bào)收集與分(fēn)析能(néng)力較國(g£φσ₩uó)際水(shuǐ)平存在差距,情報(bào)共享>δ存在壁壘。此外(wài),我國(guó)通(tōn₩ γγg)過政企合作(zuò)建有(yǒu)國(guó)家(jiā)級網絡空(kōng)間(jiān ±)威脅情報(bào)大(dà)數(shù)據共享開(kāi)放(fàng)平台CNT™$IC,當前面臨多(duō)渠道(dào)威脅情報(bào)難以充₽←分(fēn)彙聚等問(wèn)題。
二、威脅情報(bào)在我國(guó)工 ₩Ω (gōng)業(yè)互聯網安全中的(de)應用(yò¶¥ ng)前景
當前,網絡安全風(fēng)險不(bù)斷向工(gōng)業(yè)☆←領域轉移,工(gōng)業(yè)互聯網正在成為(wèi)網絡安全的(d→πe)主戰場(chǎng)。傳統被動式的(de)防禦手段以及針對(duì)單點的(de)攻擊© <取證與溯源技(jì)術(shù)難以應對(duì)高(gāo)級持續性威脅(APT)、新型高(g©≥₽$āo)危漏洞等複雜(zá)安全威脅。利用(yòng)威脅情報(bào)技(jì)術(s★γ€βhù)能(néng)夠收集整合分(fēn≥÷₽)散的(de)攻擊與安全事(shì)件(jià ♦★✘n)信息,支撐選擇響應策略,支持智能(néng)化(huà)ΩΩλπ攻擊追蹤溯源,實現(xiàn)大(dà)規模網絡攻擊的(dλ&£e)防護與對(duì)抗,進而構建融合聯動的(de)工(gōng)業(yè)互聯網安全防護體¶♥γ(tǐ)系。
一(yī)是(shì)威脅情報(bào)賦能(néng)工(g≈←✘ōng)業(yè)互聯網安全事(shì)件(jiàn)管理(lǐ)與響應©€₽ 。按照(zhào)威脅情報(bào)标準對(duì)安<"★ε全信息與安全事(shì)件(jiàn)進行(xíng)記錄,便于信息共享、關聯分(fēn÷♦☆)析以及事(shì)件(jiàn)響應。根據威脅情報(bào)反映的(de)≥β工(gōng)業(yè)互聯網安全态勢,有(yǒu)助于預判後續可(kě)能(™$×néng)的(de)安全風(fēng)險,使得(de)響應網絡π♥ ₹威脅的(de)速度更快(kuài),準确度更高(gāo),防範能(néng)力更強。€<α÷
二是(shì)威脅情報(bào)支持工(gōng)業(yè)互聯網攻擊分(fēn)析與€σ溯源。威脅情報(bào)技(jì)術(shù)可(kě)用(yòng)¶ ∑于分(fēn)析攻擊手法還(hái)原攻擊路(lù)徑。結合關聯>±威脅情報(bào),可(kě)以對(duì★¥)攻擊方進行(xíng)組織畫(huà)像和(hé)溯源,利用(yòng)威脅情報(bào)構建♥Ω攻擊知(zhī)識庫,能(néng)夠實現(xiàn)對(duì"π)APT攻擊的(de)智能(néng)化(huà)攻擊意圖推理(lǐ)♦ 及樣本變種自(zì)動化(huà)跟蹤。最新威脅情報(bào)框架×βATT&CK支持引入知(zhī)識圖譜等AI技(jì)術(shù),支α↓→撐工(gōng)業(yè)互聯網攻擊智能(néng)分(fēn)析。
三是(shì)威脅情報(bào)支撐工(gōng)業(yè)互聯₹✔網安全防護體(tǐ)系建設。主動防禦方面,利用(yò↔↓₽↔ng)威脅情報(bào)制(zhì)定和(hé)組織攻擊計(jì)劃,能(néng)★∞™規避可(kě)能(néng)的(de)防禦手段。被動防禦方面,基于威脅情報(bào)研究&♦攻擊路(lù)線,可(kě)探索應對(duì)抗檢測手段的(♣™de)新方法。在工(gōng)業(yè)互聯網設$ε'備層,集成威脅情報(bào)快(kuài)速識别攻擊行(xíng)↕€©為(wèi)的(de)優勢,能(néng)實現(xiàn)工(gōng)業(yè¶π ←)互聯網設備輕量化(huà)攻擊檢測。對(duì)工(gōng)業(yè€πε)互聯網企業(yè),可(kě)利用(yòng)威脅情報(bào)模拟攻π©✔✘擊,測試和(hé)評估其防護系統的(de)↑∑™檢測和(hé)防禦效果,指導制(zhì)定安全增強方 案。
三、威脅情報(bào)在我國(guó)工(gōng σ♥)業(yè)互聯網安全中的(de)應用(yòng)挑戰
在工(gōng)業(yè)互聯網應用(yòng)威脅情報✘♣(bào)技(jì)術(shù)面臨收集₽±、共享、分(fēn)析以及利用(yòng§¥←↓)等方面的(de)挑戰。
一(yī)是(shì)工(gōng)業(yè)互聯網對(duì)象海(h∞"αǎi)量異構,威脅情報(bào)收集難度升級。當前威脅情報(bào)主×>∏要(yào)來(lái)自(zì)網絡爬蟲、針對(duì)特定屬性漏洞掃描以及共享交換。而網絡爬蟲£γ§♦和(hé)漏洞掃描不(bù)能(néng)滿足威脅情報(bào)對(duì)于準确性、↑∏可(kě)靠性和(hé)實時(shí)性的(de)高✘♥ (gāo)要(yào)求。加上(shàng)工(gōng)業(yè)互聯'ε網邊緣連接對(duì)象海(hǎi)量異構,相(xiàng)較于傳統互聯網威₹≥₽脅情報(bào)收集難度升級。
二是(shì)威脅情報(bào)共享不(bù)足,難以支撐關聯事(shì)件(jiàn)的(de)分(fēnφ↓×★)析。當前工(gōng)業(yè)互聯網威脅情報(bào)共享機β'(jī)制(zhì)尚未成熟,企業(yè)間(jiān¶∞÷&)、行(xíng)業(yè)間(jiān)的(de)威脅數(shù)據未形成标準格式的(de)↕∏威脅情報(bào),加上(shàng)共享渠道(dào)尚未打通(tōng),威脅信息難♥£以交互同步。加上(shàng)不(bù)同組織間(ji₽$φ€ān)存在利益競争,很(hěn)難将各自(zì)掌握的(de)威脅情報(✔±λ♠bào)信息和(hé)研究成果完全分(fēn)享。三是(shì)工(gōng)業(yè)互聯網威脅情報(bào)利用(yòng)不≈§→(bù)足,基于情報(bào)的(de)防禦和(hé)響應機(jī)制(zhì)有(yǒu)待§∞完善。勒索病毒在工(gōng)業(yè)系統的(de)泛濫表明(m™☆íng)傳統互聯網安全威脅也(yě)能(néng)對(duì)工(gōng)業( Ωyè)系統造成影(yǐng)響。 “永恒之藍(lán)”爆發兩↓×年(nián)多(duō)以後,工(gōng)業(yè)主機(jī)仍然頻(pí ☆§n)頻(pín)遭受該勒索病毒攻擊,可(kě)見(jiàn)當前工> ♥↕(gōng)業(yè)系統尚未做(zuò)好(hǎo)對↕$(duì)威脅情報(bào)的(de)利用(yòng)。 ↔×>σ
作(zuò)者簡介
餘果,碩士,就(jiù)職于國(guó)家(jiā)工(gōng)業(yè)信息→>安全發展研究中心保障技(jì)術(shù)所,主要(yào)研究領域:工(gōng)業♠∑(yè)互聯網安全、威脅情報(bào)、區(qū)塊鏈技(jì)術(shù)。聯& ®系方式:yuguo@cics-cert.org.cn
王沖華,博士,就(jiù)職于國(guó)家(jiā)工÷≥®(gōng)業(yè)信息安全發展研究中心保障技(jì)術(₹φ↕shù)所,主要(yào)研究領域:工(gōng)業(yè)互聯網安全、網絡與系統安全、網絡攻防技✔¶α↑(jì)術(shù)。聯系方式:wangchonghua@cics-certπ∞÷.org.cn
聲明(míng):本文(wén)來(lái)自(zì)工(gōng★σ)業(yè)信息安全産業(yè)發展聯盟,版權歸作(zuò)者所♠ 有(yǒu)。文(wén)章(zhāng)內(nèi)容僅代表作(±€zuò)者獨立觀點,不(bù)代表安海(hǎi)博≤α≤£科(kē)技(jì)立場(chǎng),轉載目的(de)在于傳♠>&遞更多(duō)信息。
