【大话IT】威胁情报（intelligence）的智能雏形与未来趋势

pastime_Wang · 发表于 2015-9-16 10:32

站位,更新

oracle_cj · 发表于 2015-9-16 10:52

支持。。。。。。。。。。。

tianya_2011 · 发表于 2015-9-16 11:07

威胁情报，不明觉厉。

cisamaqing · 发表于 2015-9-18 21:23

威胁情报,今年国内网络安全公司热炒，去年和今年，美国网络安全公司热炒的

bfmo · 发表于 2015-9-19 17:30

1.您如何看待威胁情报对在未来安全行业的应用？
在当前阶段，以APT为典型代表的新型威胁和攻击的不断增长，企业和组织在防范外部的攻击过程中更迫切地需要依靠充分、有效的安全威胁情报做为支撑，更好的应对这些新型威胁。因此，安全威胁情报分析市场应运而生，并蓬勃发展。
2.互联网企业与传统安全行业对于威胁情报的理解有哪些差异？
针对传统的威胁，经常采用的防御和检测机制是以特征检测为主，而新型威胁更多地利用0day进行攻击，这意味着防守方无法提前获知特征信息，从而无法发挥现有检测机制的作用。即便有些新型威胁利用的不是0day，而是1day或者更老的漏洞信息，但是由于防守方的特征检测库过于庞大，且没有针对性，也会因受困于性能和有效性而频频漏报。
新型攻击的特点也决定了现有的检测机制恐难以凑效。这类攻击的特点包括：潜伏的时候多采用低慢频度的攻击，难以察觉；发起实质性攻击的过程十分快，并且攻击目标的指向性特别明确，同样的攻击过程几乎以后再也不会重复。任由你防守方有多么厉害的防御体系，最终也难逃被攻破。
3.根据威胁情报未来是否会推出成熟的解决方案？
      威胁情报市场当今是一个很大的新兴安全细分市场，解决方案会逐步给出，形成完善的一套解决方案体系。
4.威胁情报的应用如何实现联动，威胁情报的价值如何最大化？
   作为安全情报分析系统，首先有广泛的基础信息来源，有的厂商会监测整个互联网。还有的厂商，会将客户的网络纳入监测的范围，以获得该客户的特定安全情报信息。然后，有高级的分析手段，不论是FPC/FPI技术，DPI/DFI分析技术，还是SIEM技术，蜜网技术、沙箱技术、以及BDA技术，都可以派上用场。
5.威胁情报利用方面还有哪些不足和亟待改善的地方？
   我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等，这些都属于典型的安全威胁情报。而随着新型威胁的不断增长，也出现了新的安全威胁情报，例如僵尸网络地址情报、0day漏洞信息、恶意URL地址情报，等等。这些情报对于防守方进行防御十分有帮助，但是却不是单一的一个防守方自身能够获取和维护得了的。
6.从具体案例上讲，攻击者对于威胁情报的应对策略有哪些？
   例如在A企业遭受攻击的信息及其追踪分析的结果对于同行业的B企业可能就极为有用。那么，攻击者的攻击方式也会进行相应改变，不会重用同一类攻击手段。

qingduo04 · 发表于 2015-9-25 23:37

火钳刘明............

shenlanyouyu · 发表于 2015-10-7 22:20

本帖最后由 shenlanyouyu 于 2015-10-7 22:22 编辑

1.您如何看待威胁情报对在未来安全行业的应用？
威胁情报就是帮助企业发现威胁，并进行处置。威胁情报的定位不是基于某一研究某一事件的具体方法和手段，而是能够解决安全事件的基础性资源。例如从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告，僵尸网络地址情报、0day漏洞信息、恶意URL地址情报等等。这些都属于典型的安全威胁情报。例如国内的乌云漏洞平台。
未来安全行业，将建立一套安全威胁情报分析系统，获得这些情报，并将这些情报卖给作为防守方的企业和组织。通过获取到的威胁情报，依靠专业的安全分析团队，分析之后形成情报的处置决策，并通过网络安全设备或终端上的安全软件来执行决策。在未来整个过程可以通过程序自动化完成。

2.互联网企业与传统安全行业对于威胁情报的理解有哪些差异？
我觉得差异在于对于威胁情报的处理上，传统安全行业偏重于防守。互联网企业则是对抗。传统的防御和检测机制基本上以特则检测为主，对于0day攻击，可能无法提前获知特征信息，防守的策略不再奏效，“防范”为中心的策略已经过时。网络安全是对抗，不可能完全防范。

3.根据威胁情报未来是否会推出成熟的解决方案？
我觉得未来，威胁情报会有成熟的解决方案。这可能是网络安全公司推出的产品，一整套解决方案，帮助企业用户提前预知威胁，发现威胁，处置威胁。也可能是政府机构统筹推出的威胁情报数据库，企业付费获取威胁情报，并开发相应的产品。

4.威胁情报的应用如何实现联动，威胁情报的价值如何最大化？
我认为国内需要一个机构，不管是政府，或者民间组织，公益的或盈利性质，将威胁情报统筹起来，构建威胁情报库。网络安全是全局性问题，任何一个网络安全问题都不能靠单一的部门来解决。只有各方联动，形成合作，提供更有价值的威胁情报信息，构建更有实用性的威胁情报库，才能为政府机构、安全厂商、企事业用户提供更好的支持。美国已经建立了国家级威胁情报中心，360建立了国内首个威胁情报中心，基于已经形成的威胁情报，则可以进行一系列的应急响应。

5.威胁情报利用方面还有哪些不足和亟待改善的地方？
目前在威胁情报收集和利用方面，抑或是各个网络安全厂商，政府研究机构都是各自为战，没有将自己掌握的威胁情报共享，没有实现各方联动，未广泛合作。威胁情报的分享和传递非常重要。
其次，对于威胁情报的利用上还有不足。威胁情报需要一个强大的安全情报分析系统，从情报中挖掘有用的信息。

6.从具体案例上讲，攻击者对于威胁情报的应对策略有哪些？
针对威胁情报，不断更换傀儡机（肉鸡）来发起0 day攻击，这样限制了威胁情报发挥的作用。

Ryan-liumin · 发表于 2015-10-10 09:29

这个不太了解，参与一下

qq163kknet · 发表于 2015-10-10 12:02

本帖最后由 qq163kknet 于 2015-10-13 17:42 编辑

占楼支持
这个不是太了解，感觉是在客户端监测信息，从大量信息中找出对系统，用户等存在威胁的信息，然后对此作出处理。
主要是基于安全方面的处理，对于企业来说，威胁情报还是很重要的。

佚名是译名 · 发表于 2015-10-12 11:56

本帖最后由佚名是译名于 2015-10-12 12:14 编辑

1.您如何看待威胁情报对在未来安全行业的应用？
威胁情报是网络安全空间战的第一要素，随着一些新型攻击、威胁的不断涌现，企业和组织在做安全建设时，越发需要全面、及时的威胁情报作支撑，这样才能形成较为完善的防御体系。
而威胁情报之所以能够快速发展主要是因为客户没有办法进行快速有效的情报信息提取，使得在面临威胁时无法及时采取有效的手段进行防御。所以，威胁情报在未来安全行业中会起到“宪法“一样的重要作用，指导用户进行安全防御体系的构建。
2.互联网企业与传统安全行业对于威胁情报的理解有哪些差异？
互联网企业的威胁情报主要依托于互联网，通过沟通监测平台监测互联网流量的手段获取用户的网络/网站/系统的威胁情报;个人感觉互联网企业对于威胁情报的依赖性更大，更容易产生威胁情报。
传统安全行业的威胁情报的构建，主要依托于用户的安全设备，通过监测、防御、数据挖掘等手段，将过去无用的、滞后的攻击情报进行分析，给用户更准确、更及时、适用性更广的威胁情报。
3.根据威胁情报未来是否会推出成熟的解决方案？
对威胁情报进行有效地利用可以说是网络安全发展的一大趋势，比较成熟的解决方案肯定是会推出的。
4.威胁情报的应用如何实现联动，威胁情报的价值如何最大化？
目前很多威胁情报还只是处于云端或者服务器端进行应用，能够快速发现问题，但是应用确不能快速的解决问题，这样是没有什么意义的。只有能够快速发现问题，并且解决问题才能够将威胁情报的价值最大化的利用。
5.威胁情报利用方面还有哪些不足和亟待改善的地方？
目前威胁情报的供应商，主要以平台的方式进行威胁监测，但情报准确性、及时性的问题还是依托于人进行分析，无法实现自动化。
威胁情报的收集现在还存在很多的资源浪费问题，还设计到用户隐私的问题。
6.从具体案例上讲，攻击者对于威胁情报的应对策略有哪些？
有组织，有策略的声东击西，转移防御者的注意力；
因为现在还依托于人工进行分析，攻击者可以运用大量信息狂轰滥炸。