信息化觀察網(wǎng)

當(dāng)前，網(wǎng)絡(luò)安全威脅日益突出，勒索病毒、APT 等網(wǎng)絡(luò)攻擊愈演愈烈，呈現(xiàn)多樣化、復(fù)雜化、專業(yè)化的發(fā)展趨勢(shì)?！毒W(wǎng)絡(luò)空間安全藍(lán)皮書》稱，網(wǎng)絡(luò)沖突和攻擊成為國家間對(duì)抗主要形式，就在剛剛發(fā)布的《2018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》中數(shù)據(jù)顯示，來自美國的網(wǎng)絡(luò)攻擊數(shù)量最多。

如何有效地檢測(cè) APT 等網(wǎng)絡(luò)攻擊？利用威脅情報(bào)數(shù)據(jù)，借助大數(shù)據(jù)分析和人工智能技術(shù)，是目前最有效的手段。

安恒信息首席科學(xué)家劉博表示，從生產(chǎn)高質(zhì)量威脅情報(bào)，到使用威脅情報(bào)完善安全體系，這個(gè)過程中充滿各種挑戰(zhàn)，難以依賴單方面的力量，這就需要構(gòu)建完整的生態(tài)。

世界各國網(wǎng)絡(luò)空間戰(zhàn)略和政策也都指明了，需要加強(qiáng)網(wǎng)絡(luò)威脅情報(bào)和信息共享能力建設(shè)。2015年，美國發(fā)布《國家安全戰(zhàn)略》，設(shè)立“網(wǎng)絡(luò)威脅情報(bào)整合中心”；歐盟發(fā)布五年《歐盟安全議程》（2015-2020），主要包括加強(qiáng)歐盟成員國之間的信息共享，增強(qiáng)歐洲刑警組織與各成員國的合作等。

安恒首席科學(xué)家劉博認(rèn)為，網(wǎng)絡(luò)空間威脅情報(bào)能力的建設(shè)，需要從融合威脅情報(bào)數(shù)據(jù)、“大數(shù)據(jù)+AI” 智能分析、協(xié)同處置等角度著手，形成流程的閉環(huán)。

融合：構(gòu)建大數(shù)據(jù)多源情報(bào)生態(tài)

威脅情報(bào)能力的基礎(chǔ)，是威脅情報(bào)的收集。安恒的威脅情報(bào)從何而來？主要包含以下幾個(gè)渠道：

1. 云端監(jiān)測(cè)：安恒玄武盾每日產(chǎn)生數(shù)億攻擊日志

2. 全網(wǎng)蜜罐/流量捕獲：美歐日等全球各地部署蜜罐流量探針

3. 網(wǎng)絡(luò)空間測(cè)繪：每周更新全球43億資產(chǎn)信息

4. 國內(nèi)外開源/商用情報(bào)：200+開源與商用情報(bào)源

5. 安恒用戶分析情報(bào)：安恒各類設(shè)備，服務(wù)分析經(jīng)客戶允許后產(chǎn)生的精準(zhǔn)情報(bào)

6. 威脅情報(bào)聯(lián)盟共享：CNCERT 等聯(lián)盟情報(bào)共享

圖：多源威脅情報(bào)

安恒信息依托 SaaS 監(jiān)測(cè)服務(wù)、云防護(hù)服務(wù)、蜜罐網(wǎng)絡(luò)、全球資產(chǎn)探測(cè)等能力，同時(shí)集成國內(nèi)外200余家情報(bào)源，采用云沙箱、機(jī)器學(xué)習(xí)與專家分析等方式，提煉形成面向服務(wù)器安全的高質(zhì)量威脅情報(bào)中心—— IoC 信譽(yù)庫、網(wǎng)絡(luò)資產(chǎn)庫、安全事件庫、專家情報(bào)庫四大核心情報(bào)庫。

細(xì)化來看：

1. 威脅捕獲：捕獲全球惡意攻擊樣本

安恒蜜罐虛擬出網(wǎng)絡(luò)信息系統(tǒng)來吸引攻擊者攻擊，對(duì)惡意代碼和攻擊行為的信息采集和分析，形成安全威脅情報(bào)，集中到安恒數(shù)據(jù)大腦（態(tài)勢(shì)感知平臺(tái)威脅情報(bào)采集中心），為攻擊檢測(cè)策略提供參考。

2. Sumap 網(wǎng)絡(luò)空間測(cè)繪：發(fā)現(xiàn)全球資產(chǎn)風(fēng)險(xiǎn)

Sumap 全球網(wǎng)絡(luò)空間超級(jí)雷達(dá)，43億 IP 掃描空間，利用全網(wǎng)快速掃描引擎，2小時(shí)全網(wǎng)極速掃描，完成全網(wǎng)資產(chǎn)探測(cè)、漏洞掃描和風(fēng)險(xiǎn)趨勢(shì)分析。4年多的全球掃描數(shù)據(jù)積累，利用異步無狀態(tài)的批量橫向資產(chǎn)檢測(cè)技術(shù)，形成全球資產(chǎn)指紋畫像與風(fēng)險(xiǎn)庫。

圖：海量指紋與風(fēng)險(xiǎn)庫

3. 國內(nèi)外開源/商用情報(bào)/威脅情報(bào)聯(lián)盟共享

安恒數(shù)據(jù)大腦集成了開源情報(bào)、商用情報(bào)、戰(zhàn)略情報(bào)、機(jī)讀情報(bào)、威脅情報(bào)聯(lián)盟共享等多維情報(bào)，形成威脅情報(bào)生態(tài)。

4. 風(fēng)暴中心云端情報(bào)

玄武盾云防護(hù)平臺(tái)每天數(shù)億的訪問與攻擊數(shù)據(jù)提煉高質(zhì)量的漏洞利用，黑產(chǎn)組織，最新攻擊樣本等情報(bào)。先知云監(jiān)測(cè)平臺(tái)積累多年的資產(chǎn)，域名，指紋，漏洞，事件等情報(bào)數(shù)據(jù)，并實(shí)時(shí)對(duì)超過600萬的重要系統(tǒng)監(jiān)測(cè)。

安恒信息將來源于網(wǎng)絡(luò)空間測(cè)繪、大數(shù)據(jù)智能安全分析 (AI)、網(wǎng)絡(luò)流量分析 (NTA)、高級(jí)威脅監(jiān)測(cè) (APT)、用戶行為分析 (UBA) 的本地化威脅情報(bào)，借助智能安全分析提煉高價(jià)值威脅情報(bào)，以提高安全事件的檢測(cè)效率和精準(zhǔn)度，輔助態(tài)勢(shì)感知。

智能分析與威脅情報(bào)結(jié)合：大數(shù)據(jù)+ AI

面對(duì)海量告警的信息過載，我們?nèi)绾螌?shí)而不虛的發(fā)揮數(shù)據(jù)和情報(bào)的價(jià)值？在我們過去的探索中，我們發(fā)現(xiàn)有效融合情報(bào)的能力作為關(guān)鍵要素，能幫助安全運(yùn)營人員快速、精準(zhǔn)的識(shí)別受攻擊對(duì)象和完成攻擊者畫像。

利用大數(shù)據(jù)和人工智能技術(shù)，能有效地發(fā)揮威脅情報(bào)的價(jià)值，應(yīng)用于多個(gè)場(chǎng)景：

1. 全局監(jiān)控與感知

借助安恒 AiLPHA 深度感知智能引擎 DSI，全面多維度特征提取與畫像，通過聚類異常模型、時(shí)序基線異常模型等機(jī)器學(xué)習(xí)算法模型與威脅情報(bào)相結(jié)合，提高準(zhǔn)確率與檢新率。

2. 加密流量處理——監(jiān)督式機(jī)器學(xué)習(xí)

據(jù) Gartner 預(yù)測(cè)，到2019年，80%的網(wǎng)站流量都會(huì)被加密。攻擊者可利用加密流量進(jìn)行 APT 攻擊。安恒信息利用背景流量數(shù)據(jù) （contexual flow data） 識(shí)別 TLS 加密惡意流量，采用 SVM 等分類器 (有監(jiān)督機(jī)器學(xué)習(xí)) 對(duì)加密流量的高維特征空間進(jìn)行分類，結(jié)合威脅情報(bào)從而識(shí)別加密的惡意流量。

3. 基于邊界流量中的威脅檢測(cè)預(yù)警

通過近百次安保實(shí)踐，安恒信息發(fā)現(xiàn)每一百臺(tái)服務(wù)器當(dāng)中事先植入后門的比例是29%，內(nèi)網(wǎng)出現(xiàn)已經(jīng)淪陷主機(jī)的概率接近100%。安恒信息憑借大數(shù)據(jù)威脅情報(bào)和全流量的能力支撐，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析和檢測(cè)，對(duì)可疑網(wǎng)絡(luò)行為進(jìn)行告警，全方位發(fā)現(xiàn)失陷主機(jī)、從海量攻擊事件中識(shí)別針對(duì)性攻擊。

4. 高級(jí)威脅檢測(cè) (APT)

通過對(duì)攻擊行為的模型/知識(shí)庫與檢測(cè)告警結(jié)合威脅情報(bào)分析，判斷意圖明確的針對(duì)性攻擊、預(yù)期有嚴(yán)重影響的入侵行為、APT 組織等。

協(xié)同處置：SOAR智能研判、編排與響應(yīng)

威脅情報(bào)需要形成一個(gè)閉環(huán)，通過 SOAR 智能編排技術(shù)，將人、技術(shù)和流程整合，提供快速智能的研判和應(yīng)急響應(yīng)能力，自動(dòng)化分析研判、處置聯(lián)動(dòng)、通報(bào)預(yù)警，流程化完成事件管理，提高協(xié)作溝通效率。

1.通過制定安全分析規(guī)則、統(tǒng)計(jì)模型，進(jìn)行網(wǎng)絡(luò)安全事件實(shí)時(shí)監(jiān)測(cè)；

2.當(dāng)發(fā)生安全事件快速進(jìn)行攻擊來源分析、攻擊上下文分析、安全事件邏輯關(guān)聯(lián)分析；

3.對(duì)攻擊者進(jìn)行威脅情報(bào)碰撞、攻擊指紋分析、攻擊特征分析

4.對(duì)影響范圍分析，分析攻擊目標(biāo)，確定攻擊的影響范圍

5.通過智能研判，確定安全事件的性質(zhì)、攻擊來源、危害程度等

6.進(jìn)行智能相應(yīng)，例如：聯(lián)動(dòng)處置、通報(bào)預(yù)警、自動(dòng)分析報(bào)告、對(duì)接工單平臺(tái)。

2017年某省公安廳舉行網(wǎng)絡(luò)安全攻防應(yīng)急演練，安恒信息為其提供技術(shù)保障。

技術(shù)支持：給演練提供了場(chǎng)地、網(wǎng)絡(luò)、攻擊 IP、現(xiàn)場(chǎng)監(jiān)控、安全實(shí)時(shí)檢測(cè)、漏洞記錄平臺(tái)及攻擊進(jìn)展情況大屏展示等全方位技術(shù)保障。演練全程采取“背靠背”的方式進(jìn)行，即事先不通知、攻擊源不明確、攻擊目標(biāo)不明確、攻擊手段不明確，完全接近于實(shí)戰(zhàn)。

演練成果：攻擊方累計(jì)發(fā)起了15萬次攻擊，采用多種攻擊手段，發(fā)現(xiàn)問題超過百處，典型問題包括弱口令、文件上傳、命令執(zhí)行、邏輯漏洞等。提升被攻擊目標(biāo)防御和應(yīng)急處置能力，同時(shí)鍛煉了浙江網(wǎng)警接警、出警、取證的能力。

威脅情報(bào)應(yīng)用：藍(lán)方安全設(shè)備發(fā)現(xiàn)一個(gè)攻擊行為，快速研判攻擊，將該攻擊以情報(bào)方式共享至情報(bào)中心，海量的情報(bào)數(shù)據(jù)通過大數(shù)據(jù) AI 算法提高情報(bào)準(zhǔn)確率后，同步給其他安全設(shè)備，對(duì)下次訪問流量進(jìn)行情報(bào)碰撞，快速預(yù)警。

知己知彼，方能百戰(zhàn)??????不殆。威脅情報(bào)作為網(wǎng)絡(luò)空間治理的重要一環(huán)，需要政府部門、科研院校、網(wǎng)絡(luò)安全企業(yè)、運(yùn)維服務(wù)支撐單位、行業(yè)安全專家等形成情報(bào)協(xié)同、數(shù)據(jù)協(xié)同、能力協(xié)同，共同構(gòu)建網(wǎng)絡(luò)空間治理與協(xié)同防御能力體系。