网络安全与信息化的同步推进已经成为经济社会领域各行业的共识。随着《网络安全法》的正式实施,表明安全企业承担的责任重大,威胁情报的赋能也起到有效使用公开资源、预测潜在威胁,帮助在防御方面做出更好的决策。昨日,嘶吼采访到了奇安信集团威胁情报中心云端业务的负责人王胜利,也是本次TI Inside计划的主要负责人。
一、TI Inside计划即将发布的三大能力
嘶吼:您能先介绍一下即将发布TI INSIDE计划的主要内容吗?
王胜利:TI INSIDE计划是由奇安信威胁情报中心面向于 TIXA(威胁信息交换共享联盟)内部生态合作伙伴发起的一项技术使能计划。技术使能,也正是在本次发布会,我们会面向于合作伙伴开放出三种威胁情报检测能力。
首先,因为威胁情报在奇安信属于核心能力,奇安信威胁情报中心依赖多年威胁情报技术积累,面向终端、网关、大数据平台等环境推出的一款威胁情报SDK检测引擎。我们把这个能力做成了通用型的SDK接口,便于中小型公司集成使用,以达到降低威胁情报使用门槛低作用,SDK引擎全称叫“QTDE”奇安信威胁情报检测引擎,是此次发布的第一个能力。
第二个能力是面向网关识别的实时响应检测能力。利用奇安信的云端大数据,能在短时间内将分析结果数据推送给各个合作伙伴的能力,这使得我们合作伙伴或奇安信设备能在第一时间拦截攻击。
第三个发布能力是面向传统安全设备告警,针对告警维度单一化发布的一个告警日志富化能力,传统的防病毒、防火墙在产生告警时,一般告警日志维度比较单一的,安全响应人员包括安全事件分析人员无法利用告警日志做出合理的分析与响应,所以该能力需要提供给事件分析人员获取到更多维度的信息,即对告警日志信息进行富化。此次的发布,我们也会面向生态合作伙伴将奇安信的这部分能力开放,当第三方安全公司防火墙、产品产生告警时,该能力可跳转至TIXA公共服务平台上,进而产生多维度数据,例如:IP地址、地理位置、恶意标签印记、解析记录等信息、主机端口指纹信息、域名注册信息、域名正反向解析记录、域名证书、样本动静态结果数据,以增加更多用于响应分析的数据信息维度。
二、奇安信对外开发威胁情报能力的原因是什么?
嘶吼:可以理解本次奇安信发布能力的对象是中小型企业或组织,帮助他们去降低威胁情报的准入门槛?
王胜利:非常正确。威胁情报是2015年被引入国内的,2015-2017年国内安全市场逐渐接受和认可威胁情报,直到2018年威胁情报达到一个高峰,但它随时会有泡沫化。在2018年,甚至出现了“威胁情报万能论”,2019年到2020年,很多事件的发生让人们意识到威胁情报并不是万能的。根据奇安信威胁情报中心的观测,该领域的市场需求还是很大的,但其问题在于威胁情报用户被分级,一类用户是高端用户,需要具备编码能力以及威胁情报认知和理解能力。因为大多数普通企业并不具备编码能力,但对威胁情报的分析理解能力的欠缺,使得威胁情报的准入门槛进一步被提高。
据此判断,再通过市场调研,包括Gartner和IDC 2020年最新的市场报告也可以看到市场呈现出我们观测到的相同趋势,2020年正值低谷回升期。未来威胁情报会进入垂直细分领域市场,奇安信认为在新的赛道上,谁能够解决并降低用户侧的情报消费门槛,谁将在未来的威胁情报市场上会占据一个主动优势。所以,我们提出“TI Inside”计划,最主要的是我们希望把复杂情报的应用能力门槛降低,变成标准化的SDK可集成的能力。
市场上一些行业生态上的情况。市场上有很多中小型,尤其乙方安全的初创公司,他们没有大数据,也没有安全分析师,但这种初创公司又该怎么借力威胁情报,提高自己产品的市场竞争力呢?传统安全产品是个红海市场,他怎么能够接受新的技术,新的能力来让自己像鲤鱼跳龙门一样跳出传统的红海市场。他们也想用威胁情报,但缺乏大数据和专业的安全情报分析师,他们没有这样的资源,对他们就是一个比较困难的事情。
嘶吼:奇安信为什么要对外发布这三大能力呢?
王胜利:奇安信提出“TI Inside”计划最主要的原因是很多中小企业找到我们,希望我们对外开放威胁情报能力,过去的很长一段时间中我们认为该能力还不足以满足各类型组织或应用场景的需要,对外开放的时机尚未成熟。时至今日,我们对外开放威胁情报能力,将成熟的威胁情报团队分析结果提供给更多有需要的企业,使得情报处理更有效率、更可测量。当然,无论是通过付服务提供商的关系或是通过信息共享组织或项目来使用威胁情报,合作都是第一要素,也是关键。
三、奇安信威胁情报能力发展情况如何?企业应如何加入?
嘶吼:怎样加入TI INSIDE,有哪些必备条件?
王胜利:在中国大陆地区,企业具备独立法人、同时具有自主知识产权的安全产品和产品自有客户覆盖渠道的均可加入。
嘶吼:方便介绍一下现在奇安信威胁情报团队的构成或者现在的发展情况吗?
王胜利:奇安信威胁情报中心,目前独立分析师有50多人的规模,整个团队分布在南京、武汉、成都、北京几个地方,有专门的对全球APT团伙跟踪、特种样本分析、整个威胁情报运营的分析师团队,还有专门负责将这些能力进行产品化输出的产品团队。无论是从技术实力,亦或是分析团队的协作能力上,威胁情报能力都需要花很长的时间打磨,我们愿意起到牵头的作用,帮助并带领中小型企业发展。
嘶吼:请问现在奇安信的数据误报率大致控制在什么范围,对此我们都做了哪些努力?
王胜利:确实在威胁情报领域数据误报率是每家威胁情报能力提供商都在致力于降低的数据,也正是情报消费者主要关心的核心能力之一。我们的精准程度一直保持在四个“九”,从2014年情报中心成立到现在为止,奇安信记录在案的误报的IOC不超过40条。并且,这还是基于我们有几十万台防火墙,还有众多的天眼设备的情况下,其难度可想而知。
我们情报中心在情报加工流程体系中用到了多种情报数据的验证,以确保情报中心输出的商业IOC情报高精准、可定性、可拦截。奇安信的自身威胁情报数据就能形成闭环:从数据生产再到情报消费,再到产品消费。也包括有其他设备来验证情报分析结果的可靠性。市面上其他家公司有比较难解决的几个问题,比如,数据污染和数据误报的问题。
嘶吼:这个计划发布之后,对未来3-5年有哪些计划或准备吗?
答:未来3-5年的计划,奇安信威胁情报中心会深耕情报的运营;第二会对全球威胁进行持续性的监测;第三利用我们的成熟技术持续打造行业生态,这会是我们未来一个发展方向和目标。
总结:威胁情报发展至今,企业客户更加关注如何快捷高效部署,并且合理的节约技术、人力成本,将威胁情报能力微距成SDK输出集成至企业内情报系统中,能够在很大程度上缓解组织使用威胁情报时常见难题,也便于企业结合自身的安全架构部署情况作出准确判断。TI Inside计划也推动了威胁情报领域朝着技术市场的稳健与成熟迈进,健全威胁情报生态。
如若转载,请注明原文地址