“威胁情报能预测哪里要发起攻击?说这话的一定是骗子
有一个不幸的消息。 小王在某公司安全运营部上班,因为想钱少、事多、离家远,最近他想离职了。 换工作本身并没有什么不幸,但可怕的是,他的小秘密被老板发现了…… 悲剧是这样发生的—— 小绿:张主任,您好,今天公布了一个Web应用漏洞,编号是CVE-2017-XXX,如果被利用,将会被远程执行任意代码,后果非常严重。您公司的安全运维接口人王工已经在今天早晨7点55分,漏洞公布后的5分钟内,收到了我们的安全通告邮件和短信。我们有下列安全建议和配置:blablabla…… 张主任:我让小王立刻进行配置。 小绿:最近王工是不是有什么心事?或者想离职? 张主任:啊,你怎么知道?他刚刚提出离职。 小绿:云端情报显示,他和以前不太一样,以前新设备入网,规则配置的相当及时,基本在一小时内完成;最近3天,都需要一天才完成,我们每隔一小时会发送短信提醒。另外,他从文档服务器上下载了大量密级很高的文件,并发给一个他不常用的邮箱。 张主任:…… 不过,这并不是一个真实的故事,但这是一个未来可能发生的故事。如果是一个真实的故事,小王可能会因为涉嫌盗窃公司机密被警察蜀黍带走…… 2017年初,绿盟科技副总裁周凯去了趟美国RSA大会,今年这个大会有3万人参加、600多个参展商搞起来代表安全商业走势的盛大会议上,和威胁情报相关的参展商就有151个。 这说明了什么?安全厂商都觉得威胁情报是门大生意啊!于是,周凯在 3月28日RSA 热点研讨会上讲述了小王的故事。 小编()宅客频道编辑小李以为,坐下来一聊,周凯就要来一波威胁情报的安(guang)利(gao)。结果,他从头到尾强调了五次“威胁情报不能预测接下来要发生的攻击”,并摆出了拒绝的样子: “谁要是和你说,威胁情报能百分百预测接下来哪里要发起攻击,他们一定是骗子!”那……它有什么用?为什么各大厂商一副动手抢江山的架势? 2017RSA抢这块蛋糕是怎么回事信息安全业界面对着纷繁复杂的形势,越来越意识到:仅仅防御是不够的,更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应,要做到这一点,得拿到至关重要的威胁情报! 比如,两军交战,总要有人刺探军情对不对?所以,各大厂商当然要抢占这个蛋糕! 但是,安全领域的威胁情报比较坑爹:又不是时时能派人卧底攻击者内部!(虽然可能有,但绝对不是大多数,你以为人人都能无间道?) 于是,大家就使出浑身解数来搜集各类信息,甚至,可能仅仅看到蛛丝马迹,200块拼图只拿到其中的几十块,在强大的分析之下,有一定几率知道敌人可能瞄上了你的哪块肥肉,从而提醒你做出准备和响应。 说白了,威胁情报就是揭露一个企业、组织,乃至一个国家网络资产的脆弱面,它也有可能在某一段特殊时间内发现你可能会遭到某种类型的攻击。 比如,小明家失火了,你家也跟小明家一样有类似的安全隐患,最近天干物燥,它能指点你哪哪不对,要消除火灾隐患。 据周凯介绍,现在,威胁情报主要承担这些方面的重任:
周凯说,威胁情报是一个企业、组织、国家在飞速发展的网络空间中做好安全防范的加分项,但这个加分项很重要。 还记得美国东部的那场大断网吗? 2016年10月,美国全境,从东海岸的波士顿纽约费城华盛顿,到西海岸的洛杉矶旧金山甚至和北京关系不错的西雅图互联网服务全面宕机。Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal 和 Yelp 等热门网站都没有幸免,无一能登陆。 后来,人们发现,这次大断网源于有人利用大量智能硬件,尤其是监控设备的通用漏洞,通过代码,同时控制大规模的设备发起了 DDoS(分布式拒绝服务)攻击。 周凯透露,其实早在大断网事件发生的一个星期前,他们就发现黑客侵入了很多摄像头,有这些漏洞存在,而且这些入侵都是恶意入侵! 这就是威胁情报,这场风雨迟早会来,虽然他们并不能预计发动这场攻击的具体规模和确切时间。 专注攻防对抗15年的老司机、绿盟科技的高级副总裁叶晓虎也曾对小编小李说过,一个关键机构或社会基础设施如果遭遇大规模网络袭击,将产生巨大的社会影响。比如,一个水务网络的关键网站,如果遭到攻击怎么办?我都不敢想。 威胁情报也许就能“治疗未病”,将灾难扼杀在萌芽中。 为什么不是“神算子”? 既然威胁情报那么重要,为什么你又告诉我不能百分百预测? 童鞋们,你们以为情报是那么容易拿到的么? 在威胁情报领域,各大厂商都是“盲人摸象”,只能得到一部分信息,并不能窥全貌。所以,情报的分析和共享就成了关键。 哎呀,不就是你把茄子送给我,我把洋葱拿给你,大家互相给一给就好了嘛!但是,不是所有厂商都能心甘情愿地分享各类安全情报,祭出自己的优势资源。“共享”牵扯到方方面面,不仅是厂商的“锅”。 还有,一些关键的流量信息,受到“无形的手”制约,并不能被“共享”。 一个小疑问又蹦出来:又不是要拿全世界、全中国的信息,如果只是为了一个特定目标服务,也搞不到关于它的所有威胁情报吗? 真!的!搞!不!到! (编辑:ASP站长网) |