RSAC 2015见闻之威胁情报

发表评论 / 技术 / 作者: / 2015-05-06
打印 .PDF 电子书

IMG_4003

说起RSAC 2015上最热的词是什么?莫过于Threat Intelligence!说起Intelligence,对于笔者来说一点都不陌生,最初见这个词的时候还是1999年刚参加工作的时候,那时候的工作说起来算是竞争情报,从各种公开渠道获得的信息进行分析加工形成竞争情报。说到Threat Intelligence也不陌生,2014年从小范围讨论到成立安全威胁情报推进联盟,也算经历了多次的研究、交流和学习。去RSAC之前就有预感,Threat Intelligence必将大热,如果说在飞机上看参展商介绍时发现Threat Intelligence频频出现感受还不够强烈的话,到现场之后就是深深的震感了,除了华丽丽的各种Attack Map,Intelligence Map外,满眼的Threat、Intelligence、Next Generation ……,顿时让人觉得高大上起来。

 

历届RSAC,北馆都是多半被高大上的厂商占领,今年也不例外,RSA、IBM、HP、DELL、FireEye、Cisco、Juniper、Microsoft等,还有很多号称Threat Intelligence的厂商,每个厂商都在说Threat,仿佛不说Threat根本不是安全厂商,不说Intelligence不好意思打招呼。不仅仅是新兴厂商,老厂商也在提Threat Intelligence,像IBM搞的SOC里面一直在提Threat Intelligence,看了一下演示,貌似没有特别出众的地方,看起来仍然是SOC,Threat Intelligence体现的不多。下图是演示时的界面,主要是关联分析和展示:

IMG_4066

 

下图是在现场拍的IBM的XFORCE EXCHANGE,号称是“A new way to share and operationalize threat intelligence ”,是做情报共享的,还有API,我试图寻找情报来源没有找到,看起来是IBM从自身或其他渠道获取的:

IMG_4060

    事实上,XFORCE EXCHANGE可以直接在IBM网站找到(https://exchange.xforce.ibmcloud.com/),注册IBM ID后可以登录使用。登录之后即如上图所示,可以搜索URL、MD5、IP、CVE编号等等。

 

FireEye则通过产品和服务来实现可采取行动的验证过的事件情报,通过所谓的高级威胁情报来让客户清楚的了解谁是攻击者、攻击者关心什么数据、谁是主导者、利用了什么漏洞、这类攻击会造成什么样的风险等。个人比较看好此种模式,基于云的分析+FireEye和Mandiant的情报及人工分析的模式,能够比较有效的为用户提供有价值的信息。这种服务相比国内近乎免费的服务更有质量保证,安全服务人员能够发挥更大的价值。

IMG_3829

FireEye今年的主题是FireEye as a Service,特别强调了服务的价值,希望在FireEye的带领下,服务人员的价值能够越来越被重视。在FireEye的演示中还提到了移动app的防护,使用的技术是通过行为分析来评估威胁。此处没有特别介绍具体技术。

 

    在另外一个展台,倒是发现了一个有点意思的产品,是为企业用户服务的,也号称是基于行为分析的,当我询问使用什么技术的时候还跟我卖关子说是秘密,不能说,在深入追问的情况下回答说是通过机器学习的方式来分析人的操作比如不同人按键盘的速度方式等等不同来识别不同的人。据说用在金融领域。就是下图这家公司,BehavioSec,一家来自瑞典的公司。

IMG_4020

这个公司与威胁情报的主题看起来不靠边,实际上笔者认为这个可以用在威胁情报的生产上。其公司网站上可以找到更多资料,有张图可以说明他们用的关键技术:

modalities

这种技术挺有意思的,就是不知道实际效果如何,该公司被评为欧洲最热的100个创业公司之一。

 

笔者认为值得一提的行为分析的另一个公司是Interset公司,这家公司的产品比较有意思,主要是针对企业内部的各种员工的各种日常操作建模,机器学习分析异常,可能也用到了大数据技术,从展示的界面看,会对用户的不同异常行为进行打分,超出阀值会报警并给出详细的信息,大致看了下做的工作还比较细。从展示的部分界面来看,异常行为可能包含异常访问源代码、访问源代码次数比平时多很多,访问源代码次数比别人多很多,有进行大数据包压缩动作,有使用psexec命令等等。

在此提行为分析的另一个原因是,越来越多的公司关注到了内部威胁,并提出了针对内部威胁的解决方案,或多或少的都会有行为分析与威胁情报的影子,而内部威胁情报,则是重中之重,这一部分也是较少能够与外部交换或难以从外部获取到的。

 

说到威胁情报的交换,从RSAC2015现场来看,越来越多的威胁情报相关公司参与进来,形成了威胁情报生态圈,厂商间的合作频频闪现。

像FireEye、Bit9、OpenDNS、Splunk……等等太多厂商之间支持威胁情报的交换,有情报源、有分析平台、有设备联动形成威胁情报的闭环,不同公司在各自领域发挥专长互相配合,形成了以威胁情报为载体的新一代安全解决方案。

最后说下标题图的Webroot,这家公司的展台做的很漂亮,大屏幕播放的Threat Intelligence宣传片也做的非常棒,该公司提供各种威胁情报信息,号称有800万+的Sensors、有庞大的威胁情报库——40亿IPs、200亿URLs、1400万APPs……

IMG_4006

为很多安全公司提供威胁情报:

IMG_4014

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注