“珍珠港事件是美国情报史上最失败的一战,这样的失败不会再发生。”电影《决战中途岛》中有这样一句台词,指出了情报对战争走势的重大意义。
图(影视资料):情报在中途岛海战中发挥关键作用
从偷袭珍珠港到中途岛海战,恰恰对应了情报工作的正反两个案例。在珍珠港海战中,美国忽视了提前获得的情报,导致海军损失惨重;相反,到中途岛海战,美军提前破获重要情报,分析出日军意图并提前筹备部署,最终大获全胜,一举扭转了二战的局势。
从两场结局迥异的战争不难发现,情报获取固然必要,而情报的分析、判别和处理能力,才是重中之中。在如今网络空间的攻防战场上,威胁情报,早已成为网络安全防御体系中不可或缺的组成部分,而如何用好威胁情报、充分发挥好威胁情报的作用,也成为业内探讨的焦点。
当今,随着数字经济的发展和数字化转型的深入、数据资产的不断增大和数字业务的增加,以数据为目标的网络攻击愈演愈烈,商业利益诉求和恐怖破坏目的交织,组织化攻击和网络犯罪交织威胁呈现多样化、未知性态势,建立实战化的攻防能力体系已是大势所趋。
图:威胁情报是高级网络安全能力的标配
“在实战化攻防中,威胁情报正在成为一种必要技术和手段。”在不久前奇安信的TI INSIDE计划发布会上,奇安信集团总裁吴云坤表示。“准确有效的威胁情报能够帮助企业实现对各类威胁的实时检测、主动防御、提前预警、快速响应,实现从被动防御体系向积极防御体系的转变。”
但在现实中,威胁情报在国内的发展并非一帆风顺。
“虽然威胁情报进入中国市场的时间不长,仅有5年时间,却已经历了从懵懂期待到狂热追捧,再到回归冷静理性的三个阶段。” 奇安信威胁情报中心负责人汪列军认为。
图:威胁情报的三个发展时期
据汪列军回忆,威胁情报最早概念的提出,来自于2014年Gartner在《安全威胁情报服务市场指南》的论述。2015年前后,它这个全新概念被引入国内市场,到2017年、2018年,国内对于威胁情报的关注达到了一个空前高峰,甚至出现了“威胁情报万能论”的狂热论点。
图:Gartner发布的2019年威胁情报发展趋势
汪列军认为,威胁情报之所以受热捧,得益于它能够“料敌预先”,在理论上可以改变攻守不对等的局面,所以业界对威胁情报的期望很高。另一方面,专业机构也在为其推波助澜。从Gartner发布的《全球威胁情报市场指南》、到SANS的每年发布的《网络威胁情报调查》,再到多家专业厂商接连发布报告,威胁情报急剧升温。而在去年RSA大会上,威胁情报上升至热词榜第七位。
“当时我去参加国内外大的安全展会,威胁情报几乎无处不在,各种防火墙、IDS、终端安全、SOC等等产品,都集成了威胁情报模块,已经到了‘言必称威胁情报’的地步。”汪列军表示。
“过度的赞誉是一种捧杀”,这种威胁情报的“大跃进”式普及,也给发展带来隐忧。据介绍,很多客户匆忙上了威胁情报功能,却抱怨不好用、不会用,尤其是部分安全产品集成了威胁情报后,产生了大量的告警和误报,搞得安全人员不堪重负,甚至得出威胁情报‘没用’的结论。
“威胁情报具有相当的门槛,对使用者要求比较高。”汪列军表示,“如果没有专业的情报分析和安全运营团队,就很难发挥其本身的作用。”
经过了2017年至2018年的狂热之后,到2019和2020年,威胁情报市场潮水退却,进入了理性冷静期。不过,奇安信威胁情报中心认为该领域的市场需求依然很大。根据美国安全研究机构SANS发布的《威胁情报的演进:2019应用调研报告》显示:81%的受访者认为威胁情报改善了企业的安全检测与响应能力。这与前一年的60%相比有大幅的增长,这证明威胁情报的有效性得到高度认同。
图:SANS对威胁情报的应用调研
威胁情报被认同的同时,用户的需求也在不断分化。SANS今年发布的《2020年网络威胁情报现状调研报告》显示,40%的受访者既消费情报也生产情报,——这是威胁情报领域日益成熟和专业化的重要标志。但对于大量的中小组织机构而言,普通的情报订阅服务即可满足他们的需求。而根据Gartner对用户群的预测,中型组织和小型IT团队对情报的需求会成为未来高速增长的一部分市场。
“我们不能让每一个用户让他们都成为情报专家,所以需要更多元化的满足不同类型组织机构的需求。”汪列军表示。
为了让更多客户用好威胁情报,2020年初,奇安信提出了“情报内生”的观点,并指出:基于内部信息化和业务系统实现“情报内生”,构建内生安全能力,将成为实现和提升高级威胁检测的必要条件。同时,情报内生也是应对高级威胁的必然需求。
“在实战化攻防环境下,威胁情报如果没有与内部信息化、业务和安全数据有效结合,情报将是一个空壳,无法落地。”吴云坤表示,“威胁情报不仅需要互联网数据,还要考虑把信息化数据、业务数据和安全数据结合在一起,将信息化技术、人员和流程紧密结合,这对于很多组织机构而言,门槛较高。”
SANS《2020年网络威胁情报现状调研报告》也发现,制约威胁情报应用的原因有很多,其中占到57%的首要因素,是缺乏专业的员工和能充分利用威胁情报的经验。操作难度问题/自动化水平差、在管理方面缺少足够支持、缺少自动化报告高管层的能力等等,也占了很大比例。受访者普遍认为,“人、工具、流程相互配合及内外部团队合作,是有效使用威胁情报的关键”。
那么,如何降低用户威胁情报消费的门槛?如何让更多用户更加便捷的使用威胁情报?中小厂商没有安全分析师又该怎么玩情报?中小厂商没有大数据怎么玩情报? 2020年6月29日,奇安信面向威胁信息共享交换联盟(TIXA联盟)内的生态合作伙伴,发起了威胁情报技术应用2.0 ----TI INSIDE计划,旨在降低威胁情报的消费门槛,助力行业生态健康发展。
图:由奇安信发布的TI INSIDE计划
据介绍,TI INSIDE计划分为三个层面,在技术实现层面,通过SDK和API接口开发集成来实现开放;在合作方面,它将面向TIXA联盟内合作伙伴或者其他有意愿加入联盟的合作伙伴;而在能力输出方面,该计划将开放奇安信的核心威胁情报检测能力,以吸引更多的伙伴加入。
TI INSIDE计划体现了奇安信开放协同、共建共赢的理念,迅速得到主管部门、行业协会、合作伙伴以及核心客户的积极反馈。中国网络空间安全协会副秘书长张健指出,目前威胁情报的共享和产业协同方面,存在明显的短板,其中重要原因是“竞争大于合作,封闭分散大于开放联动”,“TI INSIDE”计划是产业内技术合作、联动防御的一次有益的尝试,对加强最终用户的安全建设与检测能力,大有裨益,也利于进一步提升行业的整体防御能力基线。
盛邦安全CEO权小文也持同样观点。他认为,国内有数十家威胁情报厂商,不可避免出现重复造轮子的情况,而高质量的情报不能靠单打独斗,而需要生态合作,强强合作,实现团队协同作战,开放的心态和行动至关重要。
达尔文《进化论》曾说过一句话----世界上最后能生存的生物,不是最强的,也不是智慧最高的,而是适应能力最强的。汪列军认为,在威胁情报的新赛道之上,谁能够解决并降低用户侧的情报消费门槛,谁能最满足、最适合普通用户的切实需求,谁将在未来的威胁情报市场上占据主导地位。
“通过TI INSIDE计划,我们希望将威胁情报中心6年来的数据积累、技术、能力、专家,尤其是威胁情报实战经验固化形成平台,以平台化和标准化的方式,服务于客户和生态合作伙伴,能够有效降低威胁情报应用的门槛,加速威胁情报的普及,进而提高国内整体的网络安全防护水平,并推动威胁情报市场进入新一轮的高速增长时期。”汪列军表示。
雷锋网雷锋网