首页>会议文档 >

烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望

page:
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望
烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望

烽火台安全威胁情报联盟 金湘宇-威胁情报的发展展望

所属会议:首届安全分析与情报大会会议地点:北京


下载

手机看
活动家APP客户端

扫二维码下载
或点击下载
Android iOS

460次
浏览次数

文档介绍

随着威胁情报在业内越来越广泛地被应用,从业者成立威胁情报联盟、打造威胁情报生态圈、制定威胁情报标准已经成为国内外的必然趋势。那么,国内的威胁情报联盟发展现状如何,未来又将会带给我们怎样的前景呢? 金湘宇(NUKE)对威胁情报国内外当前的最新应用情况的研究进行了分享,并介绍了国际上的威胁情报相关体系、产品、标准等的最新发展情况和领先实践。但是NUKE认为,威胁情报虽然是安全体系、产品的必由之路,却只是未来整个安全防护体系进化演进中的第一步。

演讲实录

据国外某项调研显示,威胁情报的排名前三的用户分别是 CISO/CSO、应急响应团队、合规,这在一定程度上指明了威胁情报的重要客户。但是,很多用户都表示威胁情报并不好用,因为数据杂乱、员工缺乏经验、责任不清楚、合适的技术装备少等因素,造成用户有数据也无法利用好。因此,如果威胁情报想要卖的好、用的好,它一定得跟体系或者产品很好的结合。目前,许多企业对威胁情报还处在在观察阶段,但是这个观察的过程中已经有很多用户决心要用。从当前广泛的与 SIEM 结合到未来逐渐用在入侵检测、入侵防御、防火墙、WAF、终端安全技术中,威胁情报其实在逐渐从战略、概念发展到落地。
最早的威胁情报是结构化的文档,属于偏战略的情报,可以分为目前主流的以及未来会升级的。此外还有战术情报,包括溯源分析(人机之间)、回溯展现(界面交互)。随后的发展越来越偏向设备落地,如 FEED 方式(钓鱼域名、IP、扫描IP、DDoS IP,或者常见的代理或者逆命化网络的出口的IP、样本的 Hash 等),往往是热名单,命中率较小。但 FEED 会发展演进,除了 IP 域名之外也可能会提供一些 Snort 规则、YARA 规则、SCAP/OVAL 规则、PoC、工具 Hash 等。未来,威胁情报更多会集中于 API 的提供方式。事实上,不论是甲方还是公司,都很难把所有东西放在一起,未来还是分布式存在,以 API 的方式提供情报的查询,这样有助于保护知识产权,也能防止黑产利用威胁情报。

此外,威胁情报自身在未来也需要有演进,首先要可执行,即实现自动化,利用机器输入代替人工输入,让用户能在最短的时间内利用情报进行快速响应;其次要降低门槛,尽量减少人工参与,而是让设备或方案自身就能合理利用,此外,由于自动化需求变高,未来以 API 或其他标准化的方式提供威胁情报将是个发展趋势。具体说来,威胁情报的价值并不在于发现 APT,它真正的价值实际上是让大家把所有的跨厂商,跨品类的安全设备,安全体系连起来,甚至把跨体系的安全组织也利用起来,大大提升应急响应能力和分析能力。美国的 IACD (集成的自适应网络安全防护框架)就是在做这种体系化的事情。

可以说,自动化、标准化、体系化将是威胁情报发展的必由之路。

×

打开微信扫一扫,分享到朋友圈