近年来,随着各关键信息基础设施行业单位在实战化中的不断历练,威胁情报的重要性得到了普遍认可。各种官方、在野的威胁情报共享群不断涌现,大家对基于威胁情报开展攻击防护、入侵溯源的热情高涨。
威胁情报本质上是攻击者和防守方在时间上的赛跑,防守方先于攻击方拿到威胁情报,就能御敌于国门之外,并开展有效反击,后于防守方则会造成各种误报,严重影响业务。所以,“覆盖率、实效性、准确性”是评价威胁情报质量高低的三个标准。好的威胁情报产品必须有高质量的数据源,数据源要有行业高覆盖率,要有一手的、实时的、海量的生产机制,要有准确及时的情报救济机制,消除误报。
一、网络威胁情报定义
网络威胁情报是关于攻击者及其动机、意图和方法的知识,将这些知识收集、分析和传播以帮助各级安全和业务人员保护企业的关键资产。
按照形态,传统威胁情报分为Hash、IP、域名、网络或主机特征、攻击工具、TTPS(Tactics,Techniques& Procedures)6类。Hash、IP、域名类情报属于易于获取但利用价值不高的低级情报,大多属于海量、异构、结构化的网络基础数据,其知识粒度低、关联关系差、应用场景单一,但是易机读、易处理。网络或主机特征、攻击工具、TTPs等情报属于相对不易获取但具有较高利用价值的高级情报。这些情报大多通过对低级情报进行人工或自动化处理得到,以非结构化、具有明显语义的说明文本配合结构化属性信息的方式存储。
二、攻防视角下的网络威胁情报
从关键信息基础设施保护业务视角,我们认为威胁情报的类型可以分为三类:
图 情报收集、生成与利用链条
“敌在攻我”类情报:指黑客正面对我网络发起漏洞攻击、暴力破解、数据窃取等攻击用到的IP地址、攻击跳板、网络武器等情报信息。
“敌在控我”类情报:指黑客攻陷我网络后,在被控设备中植入木马后门,由此产生的恶意文件、回连IP/域名等情报信息。
“溯源画像”类情报:通过对攻击IP分析溯源、对攻击线索开展数据挖掘、对攻击武器进行逆向分析、对攻击组织进行关联扩线等,刻画出的攻击者详情信息。
利用威胁情报开展关基保护的总体思路是:基于实时准确的威胁情报,识别“敌在攻我”类攻击行为进行阻断,监测“敌在控我”类入侵事件进行处置,对攻击源头进行“溯源画像”,力争揪出攻击者,将其绳之以法。
三、跨行业联防联控的实现方式
实现方式:依托我单位已部署的网防G01数十万个互联网主机软探针、网探D01全球网络资源画像数据、网盾K01数千台硬探针双向威胁检测引擎,再结合腾讯、360、奇安信等第三方互联网公司汇集的实时威胁情报数据,我所搭建了权威可信的“威胁情报共享平台”,在各重要单位数据中心和办公网络出入口部署网盾K01硬件监测设备,通过全国所有单位的数据汇集、实时联动、情报共享,依托网络威胁情报数据和专业专家分析团队研判,实现跨行业间的“一点监测、全网阻断,情报共享、集体防御”的目标。
跨行业联防联控的工作原理示意图如下:
图 工作原理示意图
威胁情报共享平台数据还可以和各行业态势感知平台对接,提供实时可靠的威胁情报数据,提升行业网络安全联防联控能力。
四、“网盾K01”的核心功能
双向监测与阻断:全流量、全协议监测入网和出网流量,就攻击行为进行“监测”或“阻断”;
云与端联动检测验证:通过云端“情报共享平台”与本地K01设备联动验证攻击行为,降低攻击误报率;
灵活的策略模式:基于具体防护资产和出入网访问关系,进行全局或部分黑白名单、IP访问控制等策略设置;
多源情报融合、共享:搭建情报生成与管理系统,可灵活接入并共享公有情报、私有情报和第三方情报;
多设备集中管控:搭建集中管控系统,可集中管理多个网络出入口、多级部署的网盾K01设备,统一策略配置、联动数据展示;
情报综合查询:开放威胁情报综合查询接口,可实时查询一所全部“敌在攻我”、“敌已控我”、“溯源画像”数据;
丰富联动数据接口:开通Syslog、FTP、SFTP、JOSN等丰富数据接口,联动态势感知平台,进行控制指令传输;
图 K01基本功能点示意
五、重要行业单位落地实施工作思路
党政机关、企事业单位自行或在行业总部统筹规划下,应逐步开展如下三项工作:
思路一:行业内互联网侧威胁情报共享与联动处置
第一步:在总部互联网侧搭建“集中管控系统”;
第二步:在总部及下属单位所有互联网出口(包含数据中心、办公网)部署网盾K01设备;
第三步:接入已有防火墙、WAF、SOC、态势感知平台等私有情报数据或控制命令;
第四步:统一管理部署的网盾K01设备,统一监测与处置网络安全事件。
思路二:行业专网各区域间、跨边界接入点的威胁情报共享与联动处置
第一步:在行业总部内网搭建“集中管控系统”、“私有情报生成系统”
第二步:在专网内各安全域边界、区域边界和跨网接入点部署网盾K01设备;
第三步:单项接入一所“威胁情报共享平台”,输出情报数据到行业专网;
第四步:实时监测汇总所有K01告警数据和专网内所有防火墙、WAF、SOC、态势感知平台等情报数据到“私有情报自动化生成系统”,生成有效网络威胁情报;
第五步:联动态势感知平台,通过“集中管控系统”统一管理、统一命令下发,实现内网纵深防御。
思路三:跨行业、多行业的威胁情报共享与联动处置
第一步:重复思路一、思路二,各自开展情报平台建设;
第二步:多行业间开展情报平台“情报源”对接与分享;
第三步:分别与一所“情报共享平台”进行联动与验证。
六、总结与展望
通过实践努力,我所“威胁情报共享平台”已经初步具备了跨行业、数百家单位的威胁情报共享与联动处置能力,诚邀各行业单位部署应用网盾K01设备,或通过其他形式与我所情报平台联动,开展数据的交互与使用,共同研讨关键技术,我们将本着开放共享、谦虚谨慎的原则,组建专业分析团队、广泛采集各类情报源,竭诚为大家服务,为我国网络安全事业做出贡献。
如需技术交流,请点击如下链接,查看网防安全服务中心联系方式:http://new.gov110.cn/#/phonedetail
公安部第一研究所
网防团队
2021年1月19日
声明:本文来自政府网站防护,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。