當(dāng)?shù)貢r間2月13日下午�����,國內(nèi)威脅情報領(lǐng)軍品牌微步在線在美國舊金山舉行的RSA大會期間發(fā)布重量級產(chǎn)品-微步威脅情報平臺���。這款軟件平臺產(chǎn)品解決了企業(yè)在威脅情報落地中存在的挑戰(zhàn)�,繼續(xù)引領(lǐng)威脅情報發(fā)展方向���。
一直以來����,安全廠商和企業(yè)安全人員都在致力于預(yù)測和預(yù)防威脅����,經(jīng)歷多年的發(fā)展,雖然各種安全產(chǎn)品與解決方案琳瑯滿目����,但事實一次又一次地證明了這樣的目標(biāo)很難實現(xiàn)。因此企業(yè)逐漸意識到了縮短威脅檢測時間的重要性�,檢測與響應(yīng)的作用開始顯現(xiàn),因為單純防御的邊界效應(yīng)已經(jīng)在遞減�。以威脅情報為代表的威脅檢測與響應(yīng)(Detection and Response)技術(shù)在大中型企業(yè)得到廣泛應(yīng)用。我們這里就重點(diǎn)討論國內(nèi)外企業(yè)[1]中關(guān)于威脅情報如何有效地幫助企業(yè)提高威脅檢測和響應(yīng)能力����,以及如何落地的挑戰(zhàn)。
一�����、 威脅情報落地的挑戰(zhàn):
威脅情報比較復(fù)雜�����。需要能指導(dǎo)行動,并用于提升安全運(yùn)營能力
國外70%的受訪者表示威脅情報通常比較復(fù)雜��,因此����,52%的受訪者認(rèn)為他們的公司需要一個合格的威脅分析師來最大限度地發(fā)揮威脅情報的價值。另有小于46%的受訪者表示��,正在使用威脅情報數(shù)據(jù)來指導(dǎo)事件應(yīng)急響應(yīng)行動��。而國內(nèi)企業(yè)希望通過及時準(zhǔn)確的威脅情報來幫助企業(yè)提升安全運(yùn)營能力����。
將威脅情報平臺與現(xiàn)有的安全工具和產(chǎn)品相集成具有挑戰(zhàn)性
64%的受訪者認(rèn)為威脅情報平臺與其他安全技術(shù)或工具的集成是一項艱巨而耗時的任務(wù)。62%的受訪者表示����,與SIEM/SOC集成是必要的,可以最大限度地提高威脅情報數(shù)據(jù)的價值��。有49%受訪者還選擇了IDS / IPS�,有46%的受訪者還選擇了下一代防火墻。
在沒有平臺的情況下��,難以確定威脅情報的優(yōu)先級
70%的受訪者表示,在沒有相應(yīng)平臺的情況下定義威脅情報優(yōu)先級別非常困難�。如果他們沒有威脅情報平臺,71%受訪者的安全團(tuán)隊不能及時傳遞相關(guān)的領(lǐng)導(dǎo)層���。79%的受訪者認(rèn)為�,威脅情報平臺被認(rèn)為是最大化威脅情報數(shù)據(jù)價值所必需的��。威脅情報平臺能夠精確對攻陷指標(biāo)(IOC)進(jìn)行優(yōu)先級定位�����。
威脅情報的價值要能量化��。
目前只有27%的安全從業(yè)人員認(rèn)為他們的公司在利用威脅數(shù)據(jù)來識別網(wǎng)絡(luò)威脅方面做的很出色�����。31%的董事會或者CXO會接收與公司面臨的重要安全問題相關(guān)的威脅信息���。可見國內(nèi)外企業(yè)都能認(rèn)識到威脅情報的重要性�����。但國內(nèi)用戶更直接關(guān)心其價值如何量化。
二����、解決方法與建議:
威脅情報平臺是一個解決方案,有79%的受訪者認(rèn)為通過威脅情報平臺來最大化威脅數(shù)據(jù)的價值是很有必要的���,并有三分之二的企業(yè)已經(jīng)擁有或者準(zhǔn)備開發(fā)威脅情報平臺����。微步在線是國內(nèi)網(wǎng)絡(luò)安全威脅情報領(lǐng)軍品牌��。由來自亞馬遜����、阿里巴巴、微軟等安全專家組成�,提供以威脅情報為核心的安全服務(wù),致力于幫助企業(yè)檢測與響應(yīng)正在發(fā)生和即將發(fā)生的威脅�。微步在線自成立以來,憑借通過威脅情報驅(qū)動的安全能力�����,多次在重大社會性和行業(yè)性網(wǎng)絡(luò)安全事件上的出色表現(xiàn)���,得到了業(yè)內(nèi)的充分認(rèn)可����,客戶已經(jīng)遍布于金融及世界500強(qiáng)企業(yè)。針對企業(yè)用戶所遇到的問題和痛點(diǎn)�����,微步在線正式推出的威脅情報平臺就是針對當(dāng)前問題的一個綜合性的解決方案����,與企業(yè)現(xiàn)有安全產(chǎn)品進(jìn)行結(jié)合���,可獲取實時威脅情報����,并應(yīng)用威脅情報進(jìn)行威脅檢測����,準(zhǔn)確發(fā)現(xiàn)內(nèi)部威脅和失陷主機(jī),同時結(jié)合威脅情報提供豐富的上下文信息以及強(qiáng)大的基礎(chǔ)數(shù)據(jù)支撐�,幫助組織挖掘攻擊特點(diǎn)、更快地采取安全防范措施�。
微步展位RSA大會北展廳N5003歡迎親臨現(xiàn)場��。
微步威脅情報平臺具備以下特點(diǎn):
1. 覆蓋全球高價值情報:威脅情報是威脅情報平臺的基礎(chǔ)支撐���,微步在線具備獨(dú)有的情報挖掘能力,為威脅情報平臺提供穩(wěn)定的情報輸出����。ThreatBook Labs長期跟蹤和分析與各行業(yè)相關(guān)攻擊事件和團(tuán)伙,其產(chǎn)出的高級情報得到金融和能源等行業(yè)多個大型企業(yè)高度認(rèn)可�������;赥hreatBook Labs對高級情報的跟蹤與分析處理能力���,同時整合200+不同數(shù)據(jù)源�,采用多種檢測分析機(jī)制���,整合沙箱的動態(tài)分析能力��、大數(shù)據(jù)的安全狩獵能力����,確保了威脅情報平臺可實時獲取大量高質(zhì)量的可機(jī)讀威脅情報。
2. 檢測精度高�,提供可指導(dǎo)響應(yīng)活動的上下文:微步在線利用白名單、分析規(guī)則��、機(jī)器學(xué)習(xí)���、分析師人工判定等多層次的研判機(jī)制����,保障檢測能力的高精準(zhǔn)度�����,其準(zhǔn)確率可達(dá)到99.99%���。對于命中的威脅,威脅情報平臺可提供包含攻擊者團(tuán)伙信息�、攻擊目的、攻擊方式����、傳播路徑、行為特點(diǎn)�,影響范圍以及相關(guān)的行動建議等豐富的內(nèi)容���,幫助企業(yè)安全響應(yīng)團(tuán)隊更有效率的工作。
3. 可展現(xiàn)企業(yè)整體安全態(tài)勢�,并全面定位分析內(nèi)部威脅:基于檢測結(jié)果,威脅情報平臺提供高可視化方案�,對企業(yè)內(nèi)的整體安全態(tài)勢進(jìn)行集中展現(xiàn),包括整體安全狀態(tài)��、威脅檢測結(jié)果��、內(nèi)部失陷主機(jī)�����、風(fēng)險等級等�。幫助用戶感知和了解當(dāng)前企業(yè)內(nèi)的威脅狀態(tài)。對于接下來的安全響應(yīng)工作���,相較于傳統(tǒng)人工排查�����,威脅情報平臺運(yùn)用人工智能實現(xiàn)了內(nèi)外數(shù)據(jù)的關(guān)聯(lián)分析���,可以更快速定位內(nèi)部機(jī)器及操作�����。對內(nèi)來說��,威脅情報平臺關(guān)聯(lián)了企業(yè)內(nèi)部的各類設(shè)備和記錄數(shù)據(jù)���,包括DNS日志、HTTP日志���、DHCP日志等���,能夠全面追蹤與相應(yīng)事件關(guān)聯(lián)的內(nèi)部數(shù)據(jù),更多發(fā)現(xiàn)關(guān)聯(lián)內(nèi)部主機(jī)�,對回溯攻擊位置、攻擊途徑與確定損失具有重要意義;對外來說�����,威脅情報平臺運(yùn)用微步在線的黑客資產(chǎn)模型�,可對攻擊者身份��、團(tuán)伙、資產(chǎn)等進(jìn)行追蹤溯源�。
4. 部署靈活簡單,可與企業(yè)現(xiàn)有安全產(chǎn)品和方案結(jié)合:部署過程可縮短至2小時! 該平臺可安裝在虛擬機(jī)或者硬件服務(wù)器上����,對機(jī)器配置要求較低,部署簡單且維護(hù)成本低��������?蛇x擇流量鏡像�����,或者運(yùn)用DNS或DPI設(shè)備上的日志配置功能����,實現(xiàn)該平臺的快速部署���,無需串聯(lián)���、無需修改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���。微步威脅情報平臺即可獨(dú)立部署,也可與現(xiàn)有安全產(chǎn)品(如SIEM�、SOC、大數(shù)據(jù)平臺等)快速集成����。,運(yùn)用威脅情報產(chǎn)生的威脅警告�,既可獨(dú)立呈現(xiàn),也可通過Syslog或API的方式與企業(yè)現(xiàn)有其它產(chǎn)品進(jìn)行互動�,方便集中處置和響應(yīng),同時提高原有設(shè)備利用率����。
5. 制定可以量化的安全檢測與響應(yīng)管理目標(biāo):國內(nèi)外企業(yè)都能認(rèn)識到威脅情報的重要性,國內(nèi)用戶更直接關(guān)心這個價值如何量化?其實兩個關(guān)鍵指標(biāo)可以用來衡量一個企業(yè)檢測響應(yīng)能力的有效性���,即平均威脅檢測時間(MTTD)和平均響應(yīng)時間(MTTR)��。MTTD指是一個組織發(fā)現(xiàn)和識別那些安全事件所需要的平均時間��。MTTR是指企業(yè)充分分析并采取有效手段應(yīng)對和處理安全事件所需要的平均時間����。根據(jù)企業(yè)規(guī)模和安全團(tuán)隊的投入不同���,全球來看MTTD平均值大約在146天�,MTTR平均值為1周到30天���。所以從管理到執(zhí)行確定響應(yīng)與檢測的重要性和考核方式是效率的基礎(chǔ)�。
寫在最后�,2017RSA大會以 “Power of OPPORTUNITY”寓意我們正處于一個安全盛世,但也是一個安全亂世��,期待本次盛會能夠帶來更多的安全創(chuàng)新!而作為國內(nèi)威脅情報領(lǐng)軍品牌���,微步期待與更多安全廠商攜手合作����,通過威脅信息和情報的共享機(jī)制�,保護(hù)我們的共同用戶,打造安全的互聯(lián)網(wǎng)!
京公網(wǎng)安備 11010502041587號