2021年12月3日����,中國信息通信研究院安全研究所聯(lián)合北京微步在線科技有限公司共同研究編制了《2020年網(wǎng)絡(luò)安全威脅信息研究報告(2021年)》。本篇報告內(nèi)容豐富����,共分為威脅信息產(chǎn)業(yè)研究����、2020年威脅研究����、行業(yè)落地研究和產(chǎn)業(yè)發(fā)展探討等四個方面���,宏觀與微觀并舉���,既著眼當前,也放眼于未來�,是一篇詳實、豐富的威脅信息產(chǎn)業(yè)研究報告�。
作為本次《2020年網(wǎng)絡(luò)安全威脅信息研究報告(2021年)》的共同研究編制者,微步在線希望廣大讀者不僅能從報告中獲取所需信息����,更能在閱畢報告后全面認識、深入了解中國威脅信息產(chǎn)業(yè)���。因此����,微步在線提煉出報告中七大關(guān)鍵點���,旨在幫助讀者快速掌握報告重點內(nèi)容����,方便讀者后續(xù)深入研讀。
知識點一: 快速理解“威脅信息”
網(wǎng)絡(luò)安全威脅信息的英文是Threat Intelligence (TI)���,即威脅情報�。威脅信息的研究對象是“威脅”�����,包含已知的和即將出現(xiàn)的未知網(wǎng)絡(luò)威脅��。綜合國內(nèi)外相關(guān)研究����,信通院和微步在線歸納分析了多方定義后認為,網(wǎng)絡(luò)安全威脅信息的核心內(nèi)涵如下:
第一����,網(wǎng)絡(luò)安全威脅信息來源于對既往網(wǎng)絡(luò)安全威脅的研究、歸納���、總結(jié)�����,并作用于已知網(wǎng)絡(luò)威脅或即將出現(xiàn)的未知網(wǎng)絡(luò)威脅���;
第二,網(wǎng)絡(luò)安全威脅信息的價值是為受相關(guān)網(wǎng)絡(luò)威脅影響的企業(yè)或?qū)ο筇峁┛蓹C讀或人讀的戰(zhàn)術(shù)戰(zhàn)略信息并輔助其決策���,因此網(wǎng)絡(luò)安全威脅信息需要包含背景���、機制、指標等能夠輔助決策的各項內(nèi)容��。
簡而言之���,網(wǎng)絡(luò)安全威脅信息是為研究網(wǎng)絡(luò)威脅而提取出的���、用于發(fā)現(xiàn)威脅、認識威脅���、追蹤威脅的信息數(shù)據(jù)�����。
知識點二:威脅信息用于網(wǎng)絡(luò)安全防護時有哪些優(yōu)勢�����?
信通院和微步在線認為�,根據(jù)PPDR安全防護模型理論,威脅信息的網(wǎng)絡(luò)安全防護優(yōu)勢主要體現(xiàn)在如下幾個方面:
(1)檢測方面:網(wǎng)絡(luò)安全威脅信息能輔助用戶對相關(guān)資產(chǎn)����、風(fēng)險、攻擊面進行排查�,從而讓用戶快速了解網(wǎng)絡(luò)當前受攻擊情況。
(2)防御方面:采取主動防御措施��,對網(wǎng)絡(luò)威脅進行精準打擊����。威脅信息提供的惡意IP地址、域名/網(wǎng)站���、惡意軟件hash值等失陷指標(Indicators of Compromise����,IOC)能夠直接用于網(wǎng)絡(luò)安全系統(tǒng)和設(shè)備進行防護�。
(3)響應(yīng)方面:網(wǎng)絡(luò)安全威脅信息能夠幫助提供更完善的安全事件響應(yīng)方案�����。
(4)預(yù)測方面:構(gòu)建安全預(yù)警機制�,不斷收集有關(guān)新型網(wǎng)絡(luò)威脅的信息數(shù)據(jù)����,根據(jù)當前網(wǎng)絡(luò)環(huán)境的薄弱環(huán)節(jié)有效預(yù)測可能的威脅����,以幫助企業(yè)更好地應(yīng)對未知威脅。
綜上�,網(wǎng)絡(luò)安全威脅信息的使用將有效提升報警準確性,降低無效報警數(shù)量���,極大減輕安全運營人員工作壓力��,使其聚焦于真實威脅��,提升工作效率�����,對政府部門���、企事業(yè)單位��、社會組織等用戶機構(gòu)的網(wǎng)絡(luò)安全建設(shè)和運營具有重要意義�����。
知識點三:威脅信息的價值體現(xiàn)在哪些方面����?
經(jīng)過多方研究��,信通院和微步在線認為�����,網(wǎng)絡(luò)安全威脅信息目前主要應(yīng)用于企業(yè)網(wǎng)絡(luò)安全防護��、公共安全防護�、國家安全防護等領(lǐng)域,相應(yīng)的應(yīng)用價值主要體現(xiàn)在提升企業(yè)主動防御能力�����、助力打擊網(wǎng)絡(luò)犯罪行為����、保護國家網(wǎng)絡(luò)空間安全三個方面���。
首先,威脅信息能夠提升企業(yè)對網(wǎng)絡(luò)威脅的感知能力��,讓企業(yè)的安全防護由被動轉(zhuǎn)向主動�。
其次���,威脅信息能實現(xiàn)對網(wǎng)絡(luò)犯罪的調(diào)查分析和記錄留存��,網(wǎng)絡(luò)犯罪的信息共享��、防范和預(yù)警��,能有效打擊網(wǎng)絡(luò)犯罪�����、改善網(wǎng)絡(luò)環(huán)境����,助力維護網(wǎng)絡(luò)空間的公共安全���。
最后���,威脅信息能輔助指導(dǎo)相關(guān)行業(yè)的網(wǎng)絡(luò)安全防護工作���,從而保障各行業(yè)關(guān)鍵基礎(chǔ)設(shè)施安全性、核心數(shù)據(jù)安全性和核心業(yè)務(wù)連續(xù)性��,從而保護國家安全���。
知識點四:2020年國內(nèi)外網(wǎng)絡(luò)威脅態(tài)勢如何�?
經(jīng)過一整年的觀測���,信通院和微步在線觀察到�,2020年國內(nèi)外網(wǎng)絡(luò)安全態(tài)勢較以往更為嚴峻�。在PC端一直都有活躍表現(xiàn)的勒索軟件在2020年全年呈激增態(tài)勢,并造成嚴重危害��。勒索軟件開始利用基于暗網(wǎng)的云基礎(chǔ)設(shè)施進行數(shù)據(jù)的分批次泄露���,以此威脅被勒索組織���,迫使其盡快交付贖金�;隨著世界范圍內(nèi)移動設(shè)備感染率的上升���,IoT設(shè)備被感染的可能性也大大增加����;黑客對供應(yīng)鏈��、VPN���、漏洞等常見攻擊面的興趣仍然在持續(xù)��,并且開始出現(xiàn)偽裝成Zoom、Slack等通訊工具客戶端進行攻擊的現(xiàn)象����;此外,黑客及黑產(chǎn)組織仍然在暗網(wǎng)上持續(xù)活動���,并被監(jiān)測到存在利用暗網(wǎng)買賣泄露數(shù)據(jù)�����、云基礎(chǔ)設(shè)施等行為���;在2020年���,被曝光的APT攻擊事件有數(shù)百起,40余個國家和地區(qū)遭受了不同程度的APT攻擊����。
此外,2020年的新冠肺炎疫情對網(wǎng)絡(luò)環(huán)境也產(chǎn)生了一定影響���,尤其在網(wǎng)絡(luò)攻擊方面�����,與新冠肺炎疫情相關(guān)的攻擊數(shù)量大幅度上升��,攻擊手段更加多樣���,醫(yī)療行業(yè)受此影響較大,移動辦公相關(guān)的信息基礎(chǔ)設(shè)施和遠程通訊工具是受攻擊重災(zāi)區(qū)�����,新冠肺炎疫情及冠狀病毒相關(guān)的話題成為攻擊者偏好的誘餌。
知識點五:本報告中威脅信息的重點落地方向有哪些���?
立足我國具體國情和網(wǎng)絡(luò)安全需求�����,目前國內(nèi)威脅信息應(yīng)用落地有以下幾個方向可供參考:
一是結(jié)合檢測技術(shù)��。在安全產(chǎn)品研發(fā)階段�����,將威脅信息與流量分析����、終端檢測技術(shù)相結(jié)合����,落地為基于網(wǎng)絡(luò)安全威脅信息的檢測響應(yīng)類產(chǎn)品����,部署在用戶機構(gòu)對應(yīng)的網(wǎng)絡(luò)環(huán)境中。
二是建立共享機制����。對于分支部門較多的用戶機構(gòu)����,建立本地威脅信息管理平臺��,構(gòu)建網(wǎng)絡(luò)威脅信息庫和威脅信息共享機制����,提高網(wǎng)絡(luò)威脅挖掘研發(fā)和應(yīng)用能力。
三是聯(lián)動安全設(shè)備���。聯(lián)動其他網(wǎng)絡(luò)安全設(shè)備�,如IDS/防火墻����、日志大數(shù)據(jù)平臺等,與現(xiàn)有處置知識庫與工單系統(tǒng)構(gòu)建閉環(huán)處置流程���,提升用戶機構(gòu)網(wǎng)絡(luò)安全的整體檢測響應(yīng)能力�����。
知識點六:本報告中威脅信息的重點落地行業(yè)有哪些�����?
威脅信息的落地行業(yè)非常廣泛���,金融�����、互聯(lián)網(wǎng)���、智能制造、政府事業(yè)單位����、地產(chǎn)、醫(yī)療�����、教育等行業(yè)都有不同程度的覆蓋��。針對本報告面向的行業(yè)及需求��,微步在線提供了工業(yè)和信息化相關(guān)行業(yè)中頭部代表性企業(yè)中的落地應(yīng)用案例���,最終中國信通院選入了電子信息制造商����、基礎(chǔ)電信企業(yè)����、網(wǎng)絡(luò)視頻平臺和云計算服務(wù)商共4個典型應(yīng)用案例。
在這些案例中��,威脅信息或與防火墻���、大數(shù)據(jù)平臺�����、ELK日志系統(tǒng)等企業(yè)網(wǎng)絡(luò)安全系統(tǒng)��、設(shè)備有效聯(lián)動�����,或賦能威脅感知設(shè)備���,發(fā)現(xiàn)內(nèi)部威脅��、檢測外部威脅��、識別資產(chǎn)風(fēng)險���,展現(xiàn)了威脅信息盤活企業(yè)網(wǎng)絡(luò)安全運營的良好效果,提升了案例中企業(yè)整體網(wǎng)絡(luò)安全水平��。
若需了解全部案例��,請查看本報告全文�����。
知識點七:政企單位接下來需如何推動威脅信息落地發(fā)展�����?
《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)基條例》等法律法規(guī)的陸續(xù)出臺����,進一步明確了網(wǎng)絡(luò)安全對于國家安全的重要性,彰顯了我國守護網(wǎng)絡(luò)空間安全的決心��。隨著等保2.0對信息系統(tǒng)網(wǎng)絡(luò)安全威脅信息能力提出具體明確要求��,威脅信息建設(shè)勢在必行���。中國信通院認為���,政府部門、企事業(yè)單位����、社會組織等機構(gòu)作為威脅信息的最終用戶,要強化安全主體責任意識�����,完善安全性自我評估制度�,健全內(nèi)部安全防御體系。
一是政策和市場雙驅(qū)動���。用戶機構(gòu)根據(jù)自身業(yè)務(wù)實際需求和面臨的主要安全威脅�����,對照國家政策法規(guī)��、標準等相關(guān)要求明確網(wǎng)絡(luò)安全建設(shè)目標���、重點內(nèi)容和保障措施�����,結(jié)合網(wǎng)絡(luò)安全威脅信息的覆蓋度�、準確度�����、可用性�����、可擴展性和專業(yè)度等多方面因素綜合評估產(chǎn)品性能�,政策合規(guī)和市場需求雙輪驅(qū)動,規(guī)劃設(shè)計可落地的網(wǎng)絡(luò)安全防御體系構(gòu)建方案�����。
二是嚴格規(guī)范威脅信息選用標準�。網(wǎng)絡(luò)安全威脅信息源選擇方面,堅持威脅信息數(shù)量與質(zhì)量并重�����,保障信息豐富全面的同時,避免大量低置信度信息淹沒嚴重安全事件���;多源威脅信息選擇方面���,提升不同來源威脅信息的差異性�,通過網(wǎng)絡(luò)威脅信息管理系統(tǒng)整合多源威脅信息,優(yōu)化威脅信息準確性和覆蓋面���。
三是融入安全體系加快落地部署�。應(yīng)加快推進威脅信息體系落地部署�����,充分利用已有安全能力�,聯(lián)動已有安全系統(tǒng)和設(shè)備,將事件響應(yīng)����、自動化編排與威脅信息系統(tǒng)進行結(jié)合,切實將威脅信息能力融入現(xiàn)有安全架構(gòu)中����,建設(shè)威脅信息檢測系統(tǒng)��、威脅信息庫����、威脅信息本地管理平臺����、威脅信息在線查詢平臺等系統(tǒng),充分利用威脅信息改善安全運營工作���,筑牢網(wǎng)絡(luò)安全防御體系�����。
- THE END -
轉(zhuǎn)載請注明出處:快科技
#快科技
(責任編輯:趙艷萍 HF094)
最新評論