攻防视角下威胁情报跨行业共享思路

  • A+
所属分类:安全闲碎

        近年来,随着各关键信息基础设施行业单位在实战化中的不断历练,威胁情报的重要性得到了普遍认可。各种官方、在野的威胁情报共享群不断涌现,大家对基于威胁情报开展攻击防护、入侵溯源的热情高涨。

        威胁情报本质上是攻击者和防守方在时间上的赛跑,防守方先于攻击方拿到威胁情报,就能御敌于国门之外,并开展有效反击,后于攻击方则会造成各种误报,严重影响业务。所以,覆盖率、实效性、准确性”是评价威胁情报质量高低的三个标准。好的威胁情报产品必须有高质量的数据源,数据源要有行业高覆盖率,要有一手的、实时的、海量的生产机制,要有准确及时的情报救济机制,消除误报。

一、网络威胁情报定义

        网络威胁情报是关于攻击者及其动机、意图和方法的知识,将这些知识收集、分析和传播以帮助各级安全和业务人员保护企业的关键资产。

        按照形态,传统威胁情报分为Hash、IP、域名、网络或主机特征、攻击工具、TTPS(Tactics,Techniques& Procedures)6类。Hash、IP、域名类情报属于易于获取但利用价值不高的低级情报,大多属于海量、异构、结构化的网络基础数据,其知识粒度低、关联关系差、应用场景单一,但是易机读、易处理。网络或主机特征、攻击工具、TTPs等情报属于相对不易获取但具有较高利用价值的高级情报。这些情报大多通过对低级情报进行人工或自动化处理得到,以非结构化、具有明显语义的说明文本配合结构化属性信息的方式存储。

二、攻防视角下的网络威胁情报

        从关键信息基础设施保护业务视角,我们认为威胁情报的类型可以分为三类:       

攻防视角下威胁情报跨行业共享思路

图 情报收集、生成与利用链条

        “敌在攻我”类情报:指黑客正面对我网络发起漏洞攻击、暴力破解、数据窃取等攻击用到的IP地址、攻击跳板、网络武器等情报信息。

        “敌在控我”类情报:指黑客攻陷我网络后,在被控设备中植入木马后门,由此产生的恶意文件、回连IP/域名等情报信息。

        “溯源画像”类情报:通过对攻击IP分析溯源、对攻击线索开展数据挖掘、对攻击武器进行逆向分析、对攻击组织进行关联扩线等,刻画出的攻击者详情信息。

        利用威胁情报开展关基保护的总体思路是:基于实时准确的威胁情报,识别“敌在攻我”类攻击行为进行阻断,监测“敌在控我”类入侵事件进行处置,对攻击源头进行“溯源画像”,力争揪出攻击者,将其绳之以法。

三、跨行业联防联控的实现方式

        实现方式:依托我单位已部署的网防G01数十万个互联网主机软探针、网探D01全球网络资源画像数据、网盾K01数千台硬探针双向威胁检测引擎,再结合腾讯、360、奇安信等第三方互联网公司汇集的实时威胁情报数据,我所搭建了权威可信的“威胁情报共享平台”,在各重要单位数据中心和办公网络出入口部署网盾K01硬件监测设备,通过全国所有单位的数据汇集、实时联动、情报共享,依托网络威胁情报数据和专业专家分析团队研判,实现跨行业间的“一点监测、全网阻断,情报共享、集体防御”的目标

        跨行业联防联控的工作原理示意图如下:

攻防视角下威胁情报跨行业共享思路

图 工作原理示意图

        威胁情报共享平台数据还可以和各行业态势感知平台对接,提供实时可靠的威胁情报数据,提升行业网络安全联防联控能力。

四、“网盾K01”的核心功能

        双向监测与阻断全流量、全协议监测入网和出网流量,就攻击行为进行“监测”或“阻断”;

        云与端联动检测验证通过云端“情报共享平台”与本地K01设备联动验证攻击行为,降低攻击误报率;

        灵活的策略模式基于具体防护资产和出入网访问关系,进行全局或部分黑白名单、IP访问控制等策略设置;

        多源情报融合、共享搭建情报生成与管理系统,可灵活接入并共享公有情报、私有情报和第三方情报;

        多设备集中管控搭建集中管控系统,可集中管理多个网络出入口、多级部署的网盾K01设备,统一策略配置、联动数据展示;

        情报综合查询开放威胁情报综合查询接口,可实时查询一所全部“敌在攻我”、“敌已控我”、“溯源画像”数据;

      丰富联动数据接口开通Syslog、FTP、SFTP、JSON等丰富数据接口,联动态势感知平台,进行控制指令传输;

攻防视角下威胁情报跨行业共享思路

图 K01基本功能点示意

五、重要行业单位落地实施工作思路

        党政机关、企事业单位自行或在行业总部统筹规划下,应逐步开展如下三项工作:

        思路一:行业内互联网侧威胁情报共享与联动处置

       第一步在总部互联网侧搭建“集中管控系统”;

        第二步在总部及下属单位所有互联网出口(包含数据中心、办公网)部署网盾K01设备;

        第三步接入已有防火墙、WAF、SOC、态势感知平台等私有情报数据或控制命令;

        第四步统一管理部署的网盾K01设备,统一监测与处置网络安全事件。

        思路二:行业专网各区域间、跨边界接入点的威胁情报共享与联动处置

      第一步在行业总部内网搭建“集中管控系统”、“私有情报生成系统”

        第二步在专网内各安全域边界、区域边界和跨网接入点部署网盾K01设备;

        第三步:单项接入一所“威胁情报共享平台”,输出情报数据到行业专网;

        第四步实时监测汇总所有K01告警数据和专网内所有防火墙、WAF、SOC、态势感知平台等情报数据到“私有情报自动化生成系统”,生成有效网络威胁情报;

        第五步联动态势感知平台,通过“集中管控系统”统一管理、统一命令下发,实现内网纵深防御。

        思路三:跨行业、多行业的威胁情报共享与联动处置

        第一步:重复思路一、思路二,各自开展情报平台建设;

        第二步多行业间开展情报平台“情报源”对接与分享;

        第三步分别与一所“情报共享平台”进行联动与验证。

六、总结与展望

        通过实践努力,我所“威胁情报共享平台”已经初步具备了跨行业、数百家单位的威胁情报共享与联动处置能力,诚邀各行业单位部署应用网盾K01设备,或通过其他形式与我所情报平台联动,开展数据的交互与使用,共同研讨关键技术,我们将本着开放共享、谦虚谨慎的原则,组建专业分析团队、广泛采集各类情报源,竭诚为大家服务,为我国网络安全事业做出贡献。


        如需技术交流,请点击如下链接,查看网防安全服务中心联系方式:http://new.gov110.cn/#/phonedetail


公安部第一研究所

网防团队

2021年1月19日

攻防视角下威胁情报跨行业共享思路


文章来源: 政府网站防护


攻防视角下威胁情报跨行业共享思路

本文始发于微信公众号(互联网安全内参):攻防视角下威胁情报跨行业共享思路

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: