从RSA USA 2014看今年的信息安全新趋势-之Intelligence

    转发以前微信公众号发的文章，Sec-UN独家。

    原文档各位自己去网站下吧，我这里面只贴文件名和相关重点部分的抓图。

今天这续1，就从昨天说的那个第一个趋势，Intelligence关键字开始说起。个人水平所限，中间也很多断章取义的地方，仅供各位参考啊，就当省去了各位自己一篇篇读和翻译的时间。

    1.anf-f01-malware-under-the-hood-keeping-your-intellectual-property-safe

    这一议题是由两个恶意代码研究者，分析恶意代码的趋势和防御领域的发展趋势的。我就不整个议题做详述了，只是选择其主要的相关观点做描述。

其认为在2014年，恶意代码发展会更加令人毛骨悚然。

• 含有恶意代码的网站将增长增长近600%

• 这些网站的85%在合法的主机上

• 利用社交媒体来传播恶意代码的比例增加

• 攻击更加目标导向

• 在2013年，针对移动设备的恶意代码增长了近800%

• 恶意代码在感染的时候会根据主机进行适应

    其认为应该采取的行动是？

• 以坏人的角度来思考

• 使用更好的工具来识别和分析恶意代码

• 使用threat intelligence

• 取得战略胜利，而不是战术

    2.anf-f02-collaboration-across-the-threat-intelligence-landscape-na

    这一议题是有internetidentity CISO提供的，这篇十分详细的论述了Threat Intelligence发展的背景、目前存在的标准和框架、未来的发展等内容。这个议题十分有价值的是其十分全、详细的罗列介绍了目前已有的相关组织、公司等提供Threat Intelligence内容，并对相关标准、框架进行了介绍。

    目前已有的标准框架，包括IODEF、CIF、STIX、OpenIOC、Veris；传输协议，包括RID、TAXII、XMPP、NMSG、SOAP。如果想开展SI相关工作的同学，可以重点研读一下这篇，避免走弯路。

    3.anf-f03a-information-exchange-on-targeted-incidents-in-practice_final

这一议题是CERT-EU提供的，其主要从CERT之间SI信息交互、应用的角度，举了4个SI的应用场景进行了描述。

    4.anf-r01-using-automated-cyber-threat-exchange-to-turn-the-tide-against-ddos_v2

    这一议题是由美国国土安全部提供的，主要分享了如何用自动化的网络威胁信息交换来防御DDOS攻击。

其提出的国家网络安全指数共享生态系统如下图。

    其提供的Threat Intelligence共享方式如下图。

    可以看出其目前共享方式还比较原始，机读才是未来方向，其也提出了未来会采用STIX、TAXII等格式来传输。

    5.ast1-r01-cybersecurity-an-innovative-approach-to-advanced-persistent-threats

McAfee关于APT防御的议题，其中也提到了其利器之一，Global Threat Intelligence，如下图。

    其Threat Intelligence主要围绕其相关安全产品，可以看到其全球的查询量还很大。

    6.spo2-w02-one_step_ahead_of_advanced_attacks_and_malware

    另一个McAfee的议题，主要针对恶意代码攻击。

    其也提出了应对恶意代码攻击的创新方法，简历涵盖网络、高级分析、邮件、web和终端的Intelligence共享和生态系统。

    McAfee主要针对自己产品，还搞了Threat Intelligence Exchange Server，用来接收外部Feed，并同时结合APT检测平台，协同SIEM、NGFW、IPS、Web Gateway、Email Gateway，以及服务器和终端上的TIE module。

    7.spo3-t07-how-shared-security-intelligence-can-better-stop-targeted-attacks

    这个是Symantec的议题，其提到了现在安全的瓶颈，目前由IDP/IPS技术发现入侵事件的只占32%，并且72%的用户一个月SIEM会收集到超过1TB的数据，其中35%认为误报太多，83%的企业认为很难雇到安全专家，28%的认为复杂的安全事件已经很难检测，比较有趣的是其提出35%的用户不打算使用外部Threat Intelligence来进行分析。

    其列举了一个全球Intelligence的规模如下图。

    注意其提到的“库”有7B大，并且有550个威胁分析师。

    其“统一安全测量”如下图。

    可以看出Symantec的思路是把Threat Intelligence当做是其MSS服务的新形式和新卖点。

    8.spo3-w03-threat-centric-security

    这个是Cisco的议题，其提出了以威胁为中心的安全架构，提出了未来安全战略的方向是能见驱动、聚焦威胁、基于平台的。基于云的Security Intelligence是其聚焦威胁的重要支撑，如下图。

    9.stu-w01a-intelligence-driven-security

    这个CrowdStrike的，最有趣的intelligence就是我朝的各种功夫Panda了吧，Comment Panda、Vixen Panda、Numbered Panda、Samurai Panda、Deep Panda、Impersonating Panda整个一个Panda之家。

    10,tech-f03a-malware-defense-integration-and-automation-v4

    Netflix提出其基于了F.I.D.O. 全集成的防御运行的恶意代码防御和自动化防御体系。

    这体系我看简单说就是一锅烩、烩一锅。

    在其下一步发展里面也提到了，其会进一步集成更多的threat feeds。

    此外还有很多从标题能看出可能相关，但是内容没有下载的。

spo2-w03-building-a-mystery-threat-intelligence-in-modern-security

anf-t08-the-relevance-of-government-cybersecurity-intelligence

exp-f02-we-are-all-intelligence-officers-now

trnd-r03-utlilizing-threat-indicators-and-context-to-improve-security-response