威脅情報已成為當(dāng)下安全圈一個炙手可熱的話題。如今網(wǎng)絡(luò)架構(gòu)在改變，攻擊者的技術(shù)也越來越復(fù)雜，而如何有效的防范及發(fā)現(xiàn)攻擊已成為一個比較棘手的問題，威脅情報的出現(xiàn)已成為緩解網(wǎng)絡(luò)攻擊的一個新方向。

在今日舉行的WOT2016企業(yè)安全技術(shù)峰會上，來自北京白帽匯科技有限公司的聯(lián)合創(chuàng)始人&CSO鄧煥給大家?guī)砹酸槍ν{情報和開源工具的演講，討論了如何收集以及整合公共資源上的威脅情報資源。演講結(jié)束，51CTO記者采訪了鄧煥，他表示：“在威脅情報的利用中，需要更多的結(jié)合企業(yè)自身的實(shí)際情況，對威脅情報數(shù)據(jù)進(jìn)行優(yōu)化處理，然后數(shù)據(jù)才能被落地使用。”

【嘉賓簡介】

鄧煥，北京白帽匯科技有限公司聯(lián)合創(chuàng)始人&CSO，原360補(bǔ)天漏洞平臺的技術(shù)負(fù)責(zé)人。目前主要負(fù)責(zé)安全研究、威脅分析，以及白帽匯產(chǎn)品方向等工作。

威脅情報的那些事兒

威脅情報是眾所周知的目前最為火爆的安全防護(hù)技術(shù)，但其落地和應(yīng)用目前在國內(nèi)并未全面成熟。提到威脅情報，鄧?yán)蠋煴硎荆紫纫靼资裁词乔閳?情報即是線索。眾人皆知的不能叫威脅情報，因?yàn)樾畔踩詈诵牡谋举|(zhì)就是信息不對稱，這些不對稱的信息，我們可以理解它對于企業(yè)來說都是威脅情報的范疇。

那么，什么是威脅情報呢?據(jù)Gartner定義，威脅情報是基于證據(jù)的知識，包括上下文、機(jī)制、指標(biāo)、隱含和可操作的建議，針對一個現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識。

我們?yōu)槭裁葱枰{情報?威脅情報到底有哪些作用?鄧煥表示，其作用主要體現(xiàn)在三方面：一是，實(shí)現(xiàn)安全分析及事件響應(yīng);二是，還原已經(jīng)發(fā)生的攻擊;三是，預(yù)測未發(fā)生的攻擊。但是對于企業(yè)來說威脅情報也并不是萬能的，在使用情報的同時，我們需要保證基礎(chǔ)防護(hù)的存在，這里我理解情報它實(shí)其是也是傳統(tǒng)防護(hù)的一個補(bǔ)充提升。

通過開源工具整合威脅情報數(shù)據(jù)源

如何獲得威脅情報數(shù)據(jù)源?對此，他表示可以通過開源工具整合威脅情報數(shù)據(jù)源，并在演講中與大家分享了眾多的開源工具，主要有：

他表示，這些與威脅情報相關(guān)的開源項(xiàng)目相對較成熟，開源的威脅情報數(shù)據(jù)源可以下載使用，但是不能直接使用，因?yàn)檫@些開源的情報數(shù)據(jù)中夾雜著大量誤報信息。需要根據(jù)企業(yè)的自身的業(yè)務(wù)方向，對威脅情報數(shù)據(jù)進(jìn)行優(yōu)化處理，然后數(shù)據(jù)才能被落地使用。這里舉個例子，比如你是電商，可能更多的是關(guān)心人員情報。比如：羊毛黨所使用的工具手法，會關(guān)心惡意郵箱信息等。

安徒生企業(yè)威脅感知平臺

作為專注于做安全大數(shù)據(jù)和企業(yè)威脅情報的創(chuàng)業(yè)公司，白帽匯通過提供尖端的安全技術(shù)，高性價比的產(chǎn)品和服務(wù)，來幫助客戶應(yīng)對業(yè)務(wù)運(yùn)行中可能出現(xiàn)的網(wǎng)絡(luò)信息安全問題, “不被入侵，不被脫庫”。該公司主要提供的產(chǎn)品與服務(wù)包含：企業(yè)威脅情報監(jiān)控系統(tǒng)EWSIS、威脅情報平臺、NOSEC大數(shù)據(jù)協(xié)作平臺以及近期發(fā)布的企業(yè)威脅感知平臺——安徒生。

據(jù)鄧煥介紹，其中NOSEC大數(shù)據(jù)協(xié)作平臺主要與白帽對接，白帽子可以利用這個平臺上的安全工具與數(shù)據(jù)資產(chǎn)檢索工具，其可幫助白帽子更快速更全面更深入的發(fā)現(xiàn)目標(biāo)可能存在的安全隱患。該平臺可全面收集分析互聯(lián)網(wǎng)中的資產(chǎn)信息，并將數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，從高層次的視角來分析數(shù)據(jù)。

而白帽匯的新品安徒生企業(yè)威脅感知平臺更多貼切于企業(yè)，會從外部視角、內(nèi)部視角進(jìn)行對接，實(shí)時梳理出企業(yè)資產(chǎn)管理難的問題。因?yàn)楹芏啻笃髽I(yè)資產(chǎn)成千臺，可能會疏忽掉很多東西，不知道哪些資產(chǎn)具體是否在線，這個平臺通過外部的發(fā)現(xiàn)，以及通過agent，流量的方式去實(shí)時的發(fā)現(xiàn)企業(yè)的資產(chǎn)信息，然后對這些資產(chǎn)進(jìn)行梳理，實(shí)時的展現(xiàn)給用戶，再把它實(shí)時地跟威脅檢測進(jìn)行對接。換句話說，該平臺用于幫助企業(yè)及時發(fā)并現(xiàn)解決網(wǎng)絡(luò)漏洞，數(shù)據(jù)泄漏，外部威脅情報等可能被攻擊的安全風(fēng)險。其主要功能如下：

智能全面的資產(chǎn)識別：通過全網(wǎng)資產(chǎn)檢索，主動爬蟲，流量分析，客戶端插件，服務(wù)端插件等多種引擎自動化全面地提取企業(yè)的資產(chǎn)信息。有效解決孤島資產(chǎn)的老大難問題。

完整體系的漏洞監(jiān)控：安徒生配備了多種漏洞掃描引擎，覆蓋網(wǎng)絡(luò)漏洞監(jiān)控，系統(tǒng)漏洞監(jiān)控，Web網(wǎng)站漏洞監(jiān)控，App移動應(yīng)用漏洞監(jiān)控等，在黑客攻擊之前進(jìn)行有效修復(fù)。

外部威脅情報：通過白帽匯廣泛的情報基礎(chǔ)，幫助企業(yè)監(jiān)控外部非漏洞的威脅情報，如Github數(shù)據(jù)泄漏，社工庫撞庫攻擊，釣魚攻擊等。形成整體防護(hù)，避免安全漏洞變成公關(guān)事件。

談及未來白帽匯的發(fā)展規(guī)劃，鄧煥表示：“白帽匯規(guī)劃了一個很大的產(chǎn)品架構(gòu)圖，把它全部實(shí)現(xiàn)并不是那么容易，因?yàn)槊總€單獨(dú)的小點(diǎn)他都可以足以支撐一家公司的生存。未來白帽匯將朝著基于機(jī)器學(xué)習(xí)以及安全模型方面進(jìn)行數(shù)據(jù)分析，從內(nèi)部的數(shù)據(jù)分析入手，把產(chǎn)品更好的完善。”

寫在最后

采訪最后，記者問及鄧煥關(guān)于企業(yè)是否必須有CSO這個問題。他認(rèn)為，CSO僅僅是一個稱呼。目前越來越多的人意識到網(wǎng)絡(luò)安全的重要性，而國家也一直在強(qiáng)調(diào)加強(qiáng)網(wǎng)絡(luò)信息安全。作為一個企業(yè)必須要有自己的安全人員，或者安全產(chǎn)品，未必是CSO。即使是一個小企業(yè)，也應(yīng)該有相應(yīng)的安全防護(hù)，最好能匹配相關(guān)的安全人員，定期的培訓(xùn)提高員工安全意識。在大公司，CSO可能更多偏向于方向的指引，以及把內(nèi)部的安全體系建設(shè)落地，甚至是對安全以及前沿技術(shù)的探討。把最新的安全理念，以及怎樣確保企業(yè)內(nèi)部安全的信息傳達(dá)給企業(yè)內(nèi)部的人員，從而實(shí)現(xiàn)整個企業(yè)的安全防護(hù)。