中國(guó)IDC圈4月8日?qǐng)?bào)道，隨著傳感器的增多、可穿戴終端技術(shù)發(fā)展、以及深入生活的各類應(yīng)用出現(xiàn)，任何設(shè)備都將接入互聯(lián)網(wǎng)，由此帶來(lái)的安全挑戰(zhàn)前所未有。攻擊入口無(wú)處不在，單純基于漏洞或者關(guān)鍵資產(chǎn)的防御方式已經(jīng)力所不及。企業(yè)需要更加全面高效的防御方式，在安全的環(huán)境中發(fā)展壯大。威脅情報(bào)的出現(xiàn)為傳統(tǒng)防御方式帶來(lái)了有效補(bǔ)充，它立足于攻擊者的視角，幫助我們更好的了解威脅，幫助我們?cè)谟龅酵{時(shí)能夠準(zhǔn)確高效的采取活動(dòng)。

目前，威脅情報(bào)無(wú)疑是非常火爆的安全防護(hù)體系的概念。但是在國(guó)內(nèi)，它還沒(méi)有很成熟。3月30日，由安全牛主辦的“CS 3：威脅情報(bào)解決方案峰會(huì)”在京舉行，來(lái)自360、IBM、谷安天下、微步在線、白帽匯五家廠商的專家從不同的視角分別介紹了各自對(duì)威脅情報(bào)的理解和相應(yīng)解決方案。

什么是CS3?

據(jù)安全牛主編李少鵬 介紹，CS系列論壇是“專注安全解決方案的大會(huì)，我們面向的主要是用戶，講的是自己的產(chǎn)品，解決的是甲方面臨的安全問(wèn)題。我們不怕打廣告，但我們演講的產(chǎn)品和方案，都是經(jīng)過(guò)安全牛精心選擇過(guò)的，值得推薦的優(yōu)秀產(chǎn)品和方案。”

CS不講攻防，不講戰(zhàn)略，講的是安全需求和解決方案，講的是企業(yè)或機(jī)構(gòu)即將面臨的問(wèn)題和急需解決的痛點(diǎn)。CS 3，顧名思義為CS系列的第三場(chǎng)論壇。目前，CS系列參與方包括360、螞蟻金服、普華永道、烏云、RSA、IBM、谷安天下、網(wǎng)康等業(yè)界知名互聯(lián)網(wǎng)公司和安全公司。

什么是威脅情報(bào)?

根據(jù)Gartner的定義：“威脅情報(bào)是一種基于證據(jù)來(lái)描述威脅的知識(shí)信息，包括威脅相關(guān)的上下文環(huán)境信息，采用機(jī)制、指標(biāo)、影響與行動(dòng)建議等。這些用以描述已經(jīng)存在或正在發(fā)生的攻擊威脅的信息，可以被受害目標(biāo)用來(lái)進(jìn)行決策并對(duì)威脅進(jìn)行響應(yīng)”。簡(jiǎn)單來(lái)說(shuō)，威脅情報(bào)就是可以幫助人們識(shí)別安全威脅并做出明確決定的知識(shí)，就是收集、評(píng)估和應(yīng)用關(guān)于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標(biāo)的數(shù)據(jù)集合。所謂的情報(bào)，具體講，通?？砂╤ash值，ip地址，域名信息，網(wǎng)絡(luò)與主機(jī)攻擊，工具，TTPs等。

威脅情報(bào)有何用武之地?

威脅情報(bào)可以幫助人們解決如下問(wèn)題：

如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標(biāo)等等在內(nèi)的如潮水般海量的安全威脅信息?

面對(duì)未來(lái)的安全威脅，如何獲取更多的主動(dòng)?

如何向領(lǐng)導(dǎo)匯報(bào)具體安全威脅的危險(xiǎn)和影響?

做威脅情報(bào)的廠商有哪些?

目前做威脅情報(bào)的廠商為數(shù)不少，國(guó)際上主要有：賽門(mén)鐵克，iSight Parnters，火眼，CrowdStrike，Lookingglass，IBM，Webroot，Dell Security，Verisign iDefense等。

國(guó)內(nèi)主要有：微步在線，360，谷安天下，白帽匯等。

CS3威脅情報(bào)解決方案峰會(huì)上，大家都說(shuō)了什么?

360網(wǎng)絡(luò)安全研究院院長(zhǎng) 宮一鳴 & 天眼實(shí)驗(yàn)室負(fù)責(zé)人 韓永剛

宮一鳴:“直接談威脅情報(bào)是空中樓閣，在某種意義上我認(rèn)為威脅情報(bào)有點(diǎn)像金字塔的塔尖，而基礎(chǔ)數(shù)據(jù)時(shí)走向塔尖的基礎(chǔ)。在某種意義上有點(diǎn)像是造磚頭，我給你造各種各樣的磚頭、各種尺寸的磚頭，有磚頭才能蓋樓。而且，任何數(shù)據(jù)都是有價(jià)值的，要懂得如何看到數(shù)據(jù)的價(jià)值，并發(fā)揮其價(jià)值。”

韓永剛表示：“數(shù)據(jù)是看見(jiàn)安全的基礎(chǔ)，所有網(wǎng)絡(luò)行為都會(huì)形成痕跡，有痕跡就有數(shù)據(jù)，安全大數(shù)據(jù)是形成看見(jiàn)能力的基礎(chǔ);有了數(shù)據(jù)還要有數(shù)據(jù)連接能力、數(shù)據(jù)分析和挖掘能力，結(jié)合安全經(jīng)驗(yàn)，才能形成看見(jiàn)能力。威脅情報(bào)來(lái)自于數(shù)據(jù)，最后還要回到數(shù)據(jù)中去，威脅情報(bào)最終回到客戶側(cè)才能發(fā)揮它的作用。威脅情報(bào)要結(jié)合本地各層面數(shù)據(jù)的采集、還原、分析能力，才能有效發(fā)現(xiàn)威脅，而自動(dòng)化響應(yīng)則是應(yīng)對(duì)威脅的又一關(guān)鍵點(diǎn)。”此外，韓永剛認(rèn)為，對(duì)安全事件，以前能做到的是發(fā)現(xiàn)和響應(yīng)，現(xiàn)在有了威脅情報(bào)，還能夠做到取證、拓展、溯源。

IBM中國(guó)區(qū)安全技術(shù)高級(jí)工程師劉璐瑩

據(jù)劉璐瑩介紹，IBM做安全應(yīng)該可以追溯到上世紀(jì)80年代，從主機(jī)安全開(kāi)始，IBM進(jìn)入了安全領(lǐng)域。從那個(gè)時(shí)候開(kāi)始，一步一步走到今天。經(jīng)過(guò)不斷的整合和收購(gòu)，現(xiàn)在IBM已經(jīng)形成了一整套安全體系架構(gòu)，在整個(gè)安全市場(chǎng)里，目前IBM排名第三。所以可以說(shuō)IBM是一家安全公司，而且還是一家很大的安全公司。

她認(rèn)為，情報(bào)最重要的有三點(diǎn)：第一，要有，要查得到，數(shù)據(jù)相對(duì)來(lái)說(shuō)比較完整。第二，要能夠觸發(fā)到我，因?yàn)楹艽蟮臄?shù)據(jù)庫(kù)可能放在某個(gè)地方，可能沒(méi)有辦法跟我實(shí)際的情況聯(lián)系起來(lái)。第三個(gè)是要能夠自動(dòng)化地利用起來(lái)這些庫(kù)，而不只是查詢。

 1/3    1 2 3 下一頁(yè) 尾頁(yè)