威胁信息,英文为Threat Intelligence(TI),即威胁情报的别称。面对日益严峻的网络空间安全威胁,研究网络安全威胁信息有助于企业更好“知己”“知彼”,了解自身的网络安全脆弱点,掌握已知、未知的网络安全风险点,不断提升自身在实战中的检测与响应能力,筑牢网络安全防御城墙。
日前,中国信息通信研究院安全研究所联合北京微步在线科技有限公司共同研究编制了《2020年网络安全威胁信息研究报告(2021年)》。报告分为威胁信息产业研究、2020年威胁研究、行业落地研究和产业发展探讨等四个方面内容,同时,报告包含了七大关键点。
关键点一:快速理解“威胁信息”
网络安全威胁信息的研究对象是“威胁”,包含已知的和即将出现的未知网络威胁。综合国内外相关研究,报告归纳分析了多方定义后认为,网络安全威胁信息的核心内涵如下:
第一,网络安全威胁信息来源于对既往网络安全威胁的研究、归纳、总结,并作用于已知网络威胁或即将出现的未知网络威胁;
第二,网络安全威胁信息的价值是为受相关网络威胁影响的企业或对象提供可机读或人读的战术战略信息并辅助其决策,因此网络安全威胁信息需要包含背景、机制、指标等能够辅助决策的各项内容。
简而言之,网络安全威胁信息是为研究网络威胁而提取出的、用于发现威胁、认识威胁、追踪威胁的信息数据。
关键点二:威胁信息用于网络安全防护时有哪些优势?
根据PPDR安全防护模型理论,威胁信息的网络安全防护优势主要体现在如下几个方面:
(1)检测方面:网络安全威胁信息能辅助用户对相关资产、风险、攻击面进行排查,从而让用户快速了解网络当前受攻击情况。
(2)防御方面:采取主动防御措施,对网络威胁进行精准打击。威胁信息提供的恶意IP地址、域名/网站、恶意软件hash值等失陷指标(Indicators of Compromise,IOC)能够直接用于网络安全系统和设备进行防护。
(3)响应方面:网络安全威胁信息能够帮助提供更完善的安全事件响应方案。
(4)预测方面:构建安全预警机制,不断收集有关新型网络威胁的信息数据,根据当前网络环境的薄弱环节有效预测可能的威胁,以帮助企业更好地应对未知威胁。
综上,网络安全威胁信息的使用将有效提升报警准确性,降低无效报警数量,极大减轻安全运营人员工作压力,使其聚焦于真实威胁,提升工作效率,对政府部门、企事业单位、社会组织等用户机构的网络安全建设和运营具有重要意义。
关键点三:威胁信息的价值体现在哪些方面?
经过多方研究,网络安全威胁信息目前主要应用于企业网络安全防护、公共安全防护、国家安全防护等领域,相应的应用价值主要体现在提升企业主动防御能力、助力打击网络犯罪行为、保护国家网络空间安全三个方面。
首先,威胁信息能够提升企业对网络威胁的感知能力,让企业的安全防护由被动转向主动。
其次,威胁信息能实现对网络犯罪的调查分析和记录留存,网络犯罪的信息共享、防范和预警,能有效打击网络犯罪、改善网络环境,助力维护网络空间的公共安全。
最后,威胁信息能辅助指导相关行业的网络安全防护工作,从而保障各行业关键基础设施安全性、核心数据安全性和核心业务连续性,从而保护国家安全。
关键点四:2020年国内外网络威胁态势如何?
经过一整年的观测,2020年国内外网络安全态势较以往更为严峻。在PC端一直都有活跃表现的勒索软件在2020年全年呈激增态势,并造成严重危害。勒索软件开始利用基于暗网的云基础设施进行数据的分批次泄露,以此威胁被勒索组织,迫使其尽快交付赎金;随着世界范围内移动设备感染率的上升,IoT设备被感染的可能性也大大增加;黑客对供应链、VPN、漏洞等常见攻击面的兴趣仍然在持续,并且开始出现伪装成Zoom、Slack等通讯工具客户端进行攻击的现象;此外,黑客及黑产组织仍然在暗网上持续活动,并被监测到存在利用暗网买卖泄露数据、云基础设施等行为;在2020年,被曝光的APT攻击事件有数百起,40余个国家和地区遭受了不同程度的APT攻击。
此外,2020年的新冠肺炎疫情对网络环境也产生了一定影响,尤其在网络攻击方面,与新冠肺炎疫情相关的攻击数量大幅度上升,攻击手段更加多样,医疗行业受此影响较大,移动办公相关的信息基础设施和远程通讯工具是受攻击重灾区,新冠肺炎疫情及冠状病毒相关的话题成为攻击者偏好的诱饵。
关键点五:本报告中威胁信息的重点落地方向有哪些?
立足我国具体国情和网络安全需求,目前国内威胁信息应用落地有以下几个方向可供参考:
一是结合检测技术。在安全产品研发阶段,将威胁信息与流量分析、终端检测技术相结合,落地为基于网络安全威胁信息的检测响应类产品,部署在用户机构对应的网络环境中。
二是建立共享机制。对于分支部门较多的用户机构,建立本地威胁信息管理平台,构建网络威胁信息库和威胁信息共享机制,提高网络威胁挖掘研发和应用能力。
三是联动安全设备。联动其他网络安全设备,如IDS/防火墙、日志大数据平台等,与现有处置知识库与工单系统构建闭环处置流程,提升用户机构网络安全的整体检测响应能力。
关键点六:本报告中威胁信息的重点落地行业有哪些?
威胁信息的落地行业非常广泛,金融、互联网、智能制造、政府事业单位、地产、医疗、教育等行业都有不同程度的覆盖。本报告提供了工业和信息化相关行业中头部代表性企业中的落地应用案例,最终中国信通院选入了电子信息制造商、基础电信企业、网络视频平台和云计算服务商共4个典型应用案例。
在这些案例中,威胁信息或与防火墙、大数据平台、ELK日志系统等企业网络安全系统、设备有效联动,或赋能威胁感知设备,发现内部威胁、检测外部威胁、识别资产风险,展现了威胁信息盘活企业网络安全运营的良好效果,提升了案例中企业整体网络安全水平。
关键点七:政企单位接下来需如何推动威胁信息落地发展?
《网络安全法》《数据安全法》《关基条例》等法律法规的陆续出台,进一步明确了网络安全对于国家安全的重要性,彰显了我国守护网络空间安全的决心。随着等保2.0对信息系统网络安全威胁信息能力提出具体明确要求,威胁信息建设势在必行。中国信通院认为,政府部门、企事业单位、社会组织等机构作为威胁信息的最终用户,要强化安全主体责任意识,完善安全性自我评估制度,健全内部安全防御体系。
一是政策和市场双驱动。用户机构根据自身业务实际需求和面临的主要安全威胁,对照国家政策法规、标准等相关要求明确网络安全建设目标、重点内容和保障措施,结合网络安全威胁信息的覆盖度、准确度、可用性、可扩展性和专业度等多方面因素综合评估产品性能,政策合规和市场需求双轮驱动,规划设计可落地的网络安全防御体系构建方案。
二是严格规范威胁信息选用标准。网络安全威胁信息源选择方面,坚持威胁信息数量与质量并重,保障信息丰富全面的同时,避免大量低置信度信息淹没严重安全事件;多源威胁信息选择方面,提升不同来源威胁信息的差异性,通过网络威胁信息管理系统整合多源威胁信息,优化威胁信息准确性和覆盖面。
三是融入安全体系加快落地部署。应加快推进威胁信息体系落地部署,充分利用已有安全能力,联动已有安全系统和设备,将事件响应、自动化编排与威胁信息系统进行结合,切实将威胁信息能力融入现有安全架构中,建设威胁信息检测系统、威胁信息库、威胁信息本地管理平台、威胁信息在线查询平台等系统,充分利用威胁信息改善安全运营工作,筑牢网络安全防御体系。