如果有一种对现存所有安全设备或平台可以赋能的组件,那一定是威胁情报。
威胁情报正在成为一项核心的网络安全技术,已经是不争的事实,在几乎所有的网络安全解决方案和安全产品中,或多或少都有TI的身影。各类专业安全解决方案厂商通过采购专业威胁情报厂商的情报数据,将威胁情报的价值结合自身安全设备或平台的特长能力,提升客户价值以及自身的竞争力,称为Threat Intelligence Inside,TI Inside模式。
为什么要采用TI Inside
根据研究公司 IDC 的调研,威胁情报可以显着降低风险,同时推动安全和运营效率的提高。威胁情报可以将企业发现威胁的速度提高 10 倍,响应和解决威胁的速度提高 63%,并在受到攻击之前主动识别出 22% 的安全威胁。那么,TI Inside从哪些方面可以帮助到安全解决方案厂商?
产品能力
从技术和功能角度来看,内置了威胁情报的网络安全防护设备,可以通过已知威胁源将未知威胁手段(例如:各种绕过技术、新网络武器、0day漏洞利用等)在一定程度上拒之于门外。国内外网络安全厂商普遍认知到威胁情报的这一优点,因此,他们已经形成一个基本共识,即:新一代的网络安全产品一定要能够结合威胁情报进行主动防御或监测。TIG则是这一共识下发展出来的专用设备。
产品战略
将可靠的商业威胁情报能力预先整合到安全产品中,目前已经成为全球安全产品厂商的主流技术方向。从产品战略来看,结合了威胁情报的安全产品能够缩小网络安全厂商与国际知名品牌之间的能力差距。“新一代的安全产品要支持TI,威胁情报是安全产品的必备功能”,作为产品发展战略,集成威胁情报能力已经是迫在眉睫。
综上,TI Inside提升了完全厂商的安全解决方案的综合实力,更加贴近企业客户的实际应用场景,为客户解决实际问题创造价值;同时,也降低了网络安全厂商战略性竞争的风险。
TI Inside生态环境
Gartner《2019 安全威胁情报产品&服务市场指南报告》中指出,“ MRTI网络安全厂商可以先预打包海量多源机读情报(支持数百万甚至数十亿的威胁指标),并集成到一个特定设备中进行检测和防御,用于扩充现有网络安全解决方案。”,以下是两个常用场景:
内嵌情报+主动防御 :防护类设备,例如防火墙FW&NGFW、入侵检测IDS&IPS、高级持续性威胁APT、网络检测响应NDR和应用防火墙WAF等等;通过机读威胁情报实时动态阻断网络攻击 。以上所有的安全设备/平台/系统,都可按照自身性能和应用场景,通过威胁类型、信誉值等条件筛选和使用情报。
安全事件分析:SIEM/态势感知类,利用威胁情报进行关联分析和战术、战略分析,在主动防御的基础上上升到威胁对手、动机分析
TI Inside可行性
目前,国际主流威胁情报公司大都支持情报离线明文的订阅模式,例如IBM XForce,Webroot,Akamai,VirusTotal,等。基于离线明文订阅,给网络安全厂商执行TI Inside提供了避免漫长研发和庞大成本支持的可能。
专业安全解决方案厂商将情报与自己的产品进行整合,以提升整体能力,Webroot的情报订阅与Bandura的威胁情报网关TIG整合,就是可参考的实际案例。
TI Inside-安全厂商的声音
由于网络安全的技术跨度大,因此解决方案细分领域众多,形成了不同网络安全产品特色,从早期的网络杀毒软件、防火墙、IDS,到企业级SIEM,以及安全新星xDR、态势感知等,不同网络安全产品对网络威胁情报的需求是不同的,这取决于他们可以利用的数据、所处的网络位置等一系列因素。怎样才能把威胁情报嵌入安全产品,威胁情报应当具有哪些特点才能满足不同安全厂商的需求?
首先:可筛选性,可筛选要求威胁情报厂商可根据使用者的自定义的获取范围,如果无筛选条件,将输出全部情报;
其次:免回传性,针对云端查询,所查询的指示器,同时也间接的透露了使用者的信息,例如:塔吉特(Target)孕妇事件,即是由消费者查询消费物品引发的隐私泄露问题。离线落地的TI Inside,避免了回传所造成的潜在企业私密信息泄露。
第三:主动防御协同,预置的威胁情报可以使得防火墙、NGFW、WAF、xDR等设备在第一时间对潜在威胁进行拦截和预警,能够有效的降低被渗入和被渗入后的横向移动。
TI Inside-自制采购决策
既然TI Inside对于安全厂商如此重要,那么安全厂商为什么不自行研发呢?让我们来看看自制和采购的决策对比,之所以是自制成本,是需要考虑研发和运营两个层面的成本。以下对比基于无任何技术障碍的前提下。
自制成本构成分析
固定成本
- 设备:100T以上的数据需要进行存储和计算(或可选择公有云)
- 软件:研发用软件(开发工具)和运行软件(操作系统、数据库、中间件等)
- 人员工资:研发人员(项目组)、运营人员(可共享)、情报分析师
变动成本
- 运行环境:公有云(与私有环境可对换)、代理服务器
- 运行成本:电费(公有云无)
- 外采情报:多源情报
- 系统更新:研发人员
采购的优势:按年(或协商周期)的成本支出,财务支出更加平稳、成本更低且远低于自制;在采购多源情报时可委托供应商代为聚合,无后续研发费用。
自制vs采购预算构成示意图
另外,进行自制采购对比,还应当把缺货成本/机会成本考虑进去,由于自制所需要的时间周期,带来战略竞争地位的变化,也是CEO需要重点考虑的问题!
TI Inside实践用例-–SIEM与TI Inside
SIEM作为企业安全的工具之一,其特点是通过将所有可能的安全日志集中,并进行关联处理,以便对安全告警进行判断,包括识别误报、漏报、攻击行为间的关系。
攻击者在与SIEM使用者的博弈中,同样会使用绕过其他安全设备和平台的手法,对SIEM的分析行为进行多方位规避,这些手法通常被称为低频、缓慢攻击。其原理仍然是在采用新型网络武器(对防御者是未知的即称为新型,可避免基于特征的监测)攻击的前提下规避基于统计学原理的监测-即异常行为监测。
威胁情报的加入,可以让使得SIEM获得如下能力:
- 精准识别-通过威胁情报匹配,对安全设备的告警进行精准标记,确认其攻击行为,降低海量日志分析的困难度。
- 漏报识别-通过威胁情报匹配,对安全设备所记录的非典型事件进行标记,对那些规避基于统计学识别方法的攻击行为进行标记。
- 降噪-通过查询威胁情报,对虚警进行识别,降低日志中的噪音。
- 攻击归并-通过威胁情报的关联性,将日志进行分组,以识别出攻击者,并推测其动机。
以上诸类,并未穷举SIEM对威胁情报的使用,但可以看出,结合了威胁情报后的SIEM能力得到了长足的提升。
TI Inside赋能SIEM日志分析流向示意图
结语
TI Inside模式,是专业情报厂商与专业安全厂商合作的最佳实践。我们可以看到不远的将来,将出现越来越多的安全设备厂商与网络威胁情报厂商携手合作的场面,他们共同建设网络安全生态圈,为行业的发展贡献自己的力量。