网络安全情报在企业侧的落地与实践.PDF

2016阿里安全峰会—— 网络安全情报在企业侧的落地与实践 叶蓬 启明星辰泰合本部 2016-7-14 网络与信息安全面临的挑战 攻击无法避免，重要地是检测和响应 响应太不及时，留给对手太多自由攻击时间 检测力度不够，难以识别未知威胁 缺乏主动安全，处处落后于对手 各自为战，缺乏协同，知识难于传递 人才有限，分布不均，企业侧安全人员匮乏 2 RSA ：当APT成为主流 构建一个情报引领的新型安全体系架构 1. 进行高级情报收集与分析– 让情报成为战略的 基石 2. 建立智能监测机制– 知道要寻找什么，并建立信息安全与 网络监控机制，以寻找所要寻找之物 3. 重新分配访问控制权– 控制特权用户的访问 4. 认真开展有实效的用户培训– 培训用户以识别社会工程攻 击，并迫使用户承担保证企业信息安全的个人责任 RSA报告：2011年 5. 管理高管预期– 确保最高管理层认识到，抗击高级持续性 攻击的本质是与数字军备竞赛战斗 6. 重新设计IT架构– 从扁平式网络转变为分隔式网络，使攻 击者难以在网络中四处游荡，从而难以发现最宝贵的信息 7. 参与情报交换– 分享信息安全威胁情报，利用其他企业积 累的知识 3 威胁情报的定义 威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行 的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险， 并可以用于通知主体针对相关威胁或危险采取某种响应。 威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述，包括了这 些敌对方的战技过程（TTP ）的描述。 威胁情报是一个为了对安全威胁、恶意攻击者、漏洞利用者、恶意代码、漏洞 和失陷指标进行阐释而进行收集、评估和应用的数据集。 美国 《国家情报战略》（2014 ）指出，网络空间情报（cyber intelligence ） 包括有关外国活动者的网络计划、意图、能力、行动等，他们对本国国家安全、 信息系统、基础设施、数据资料的影响，以及外国信息系统网络特征、组件、 结构、使用、漏洞等情况。 《孙子兵法》 ：知己知彼，百战不殆 4 威胁情报正在得到客户认可 《第二次关于网络空间威胁情报交 2015年有65%的受访者表示威胁情 换的年度调查报告》* 报能够阻止或减轻攻击造成的后果 * 该报告基于对692位企业和组织的专业IT人士进行的有效问卷调查得出。 5 从威胁情报到安全情报/安全智能