直击RSAC 2021 |赋能情报共享,激活网络“弹性”,360护航数字时代的腾飞中国
至少10年前,随着高级持续性威胁(APT)和定向攻击被大家广泛重视,威胁情报利用和共享的重要性也随之被各界普遍认同。因为在网络空间的非对称战争中,防守方如果想要获得制胜先机,就必须依赖情报共享,来最大程度降低防守成本,并指数级提升攻击者的成本。
然而,各国推进情报共享的进程却并不平坦,网络安全领域各处都留存下“信息共享倡议”的残骸。即便是美国发展多年的ISAC(信息共享和分析中心)体系,在其国内也是饱受质疑。
在今年的RSAC大会上,全球最重要的情报共享组织之一网络威胁联盟(Cyber Threat Alliance)的CEO Michael Daniel 发表了《错误的假设:为什么情报共享失败》的主题演讲,从一个情报共享实践老兵的角度给出了自己的答案。
情报共享成攻防对抗制胜“密钥”
三大误解制约发展进程
在Daniel看来,情报共享之所以会挫折不断,是因为在这个领域一直存在3个错误的假设:
1.认为网络威胁情报是一种纯粹的技术数据
而实际中,情报当前的发展已经脱离文件、IP、域名信誉的阶段很久了,从情报价值角度看,更重要的是恶意属性背后的业务风险、缓解措施、攻击意图、技战术手法、组织能力和背景等信息,而单纯的黑白判定在安全运营中能发挥的价值非常低。这点在情报圈内也许觉得清楚明白,但在更广阔的市场看,对不同层次的战术、作战、战略情报的呈现内容和价值有了解的人还并不多。
2.认为所有组织都应该共享这些数据
现实的困难会造成这个假设不成立:首先很多企业没有情报分析、生产能力,也就难以提供相关自身行业、网络的情报;其次不同行业业务(或地域、企业规模)不同,因此威胁相关性和需求也不同,彼此共享能得到的价值很不确定;再次从使用角度看,如果情报是为了支撑决策,那么一个企业真正做的安全决策其实很少,那么是否支撑了这些决策的情报信息才是企业比较优势的所在。
3.认为组织间建立共享通道后,共享就会很容易
实际上高质量的情报共享还需要更多保障:信任、金钱、时间和关注。首先,需要相信共享的接收方可以妥善的处理情报,这种信任必须随着时间推移不断增加;其次,免费的情报也许不错,但不够好,难以解决问题。只有保证通过资金的投入来确保回报,才能保障有足够的价值;最后,共享活动是需要有稳定的人力投入,并获得关注,否则难以为续。
360助力突围情报共享困局
护航数字时代的腾飞中国
随着全球数字化转型的加速,以大数据、人工智能、5G等为代表的新型数字技术,让传统业务的原有流程、环境以及架构体系完成迭代升级。与此同时,安全威胁无处不在、无孔不入。其中,高级持续性威胁(APT)由于具备定向性、长期持续、隐蔽潜伏等攻击特点,安全人员运用传统的检测手段无法辨别和发现,情报共享更加显得尤为重要。
作为数字经济的守护者,360政企安全集团基于15年攻防实战经验及230亿安全研发投入,打造出以360安全大脑为核心的数字安全能力体系,有效的解决了情报共享的难题。
首先,360政企安全集团认识到传统的威胁情报平台(TIP)仅是做威胁情报的汇聚和消费,并不足以支撑关键基础设施的防护。因此,其提出了情报基础设施解决方案,希望针对城市、行业及大型企业,能够协助建立情报分析和生产能力和共享标准,并提供运营支撑,从而可以促进形成国家、城市、行业的情报共享生态,提高网络弹性,以应对数字时代的新威胁与大挑战。
其次,针对国内大部分场景还局限在为IP、域名、URL、HASH等战术情报做检测的情况,360政企安全集团提出了智能情报的概念,希望让市场了解情报除了可以让检测更及时外,还可以让运营更高效、决策更智慧,并据此提供了更丰富的情报种类;同时也在情报中倾注更多精力去提供完善的上下文信息,让情报消费者对威胁可以有更详尽的了解,以支撑报警排序和事件处置的运营决策。
结合以上解决方案所产出的关联威胁情报,不仅可以对攻击方进行组织画像和溯源;利用威胁情报构建的攻击知识库,还能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下,根据威胁情报反映的互联网安全态势,更是有助于预判后续可能的安全风险,使得响应网络威胁的速度更快,高效塑立了“预防、抵御、恢复、适应”的网络弹性。
这套流程让360政企安全集团目前已累计发现CIA 、海莲花、摩诃草、美人鱼等境外APT组织40余个,以“看见”网络攻击、威胁的能力,严守国家第一道网络安全防线。
值得一提的是,从当前国内推进情报共享的进展来看,已经实施的相关举措和时代对于这一辈中国网安人的希冀相比,依旧显得远远不够;从情报共享生态对国家网络空间战略的价值来看,为应对数字时代更多有组织的专业网络犯罪团伙,针对情报共享的投入也亟待提升。只有有效建立国家、行业、城市不同层次,互成体系的情报共享机制,才能进一步形成具备足够纵深、高度韧性的安全能力,为数字时代的腾飞中国保驾护航。

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
直击RSAC 2021 |智能汽车成焦点,360车联网安全大脑筑牢“弹性”防御生命线!
5月17日8:00(北京时间当晚23:00),以“弹性(RESILIENCE)”为主题的2021美国信息安全大会(RSA Conference,以下简称“RSAC”)正式拉开帷幕。 本次大会受疫情影响大会全程以全虚拟线上形式举办。继2020年360首创“互联网安全大会(ISC)” 虚拟云端峰会模式后,2021RSAC 同样采用了网络虚拟会议的形式举办,再次印证了全球顶级峰会的云端趋势。 从1991年举办至今,RSAC已见证了30年来网络安全形势的“风云变幻”。当前汽车行业正在经历一个从“机械世界”到“信息世界”的巨大转变,在此背景下,“车轮上的网络安全”成为全球关注的焦点话题。 特斯拉、Mobileye 深陷“幻影制动”危局 智能汽车自动驾驶系统迎来挑战 在本届RSAC现场,来自佐治亚理工大学和以色列内盖夫本-古里安大学的研究员作了《保护特斯拉和美孚眼免受瞬间幻影攻击》的主题演讲,详细介绍了一种针对特斯拉X和Mobileye630两款车型的AI识别“幻影攻击”。 演讲中他们表示攻击者可通过无人机在墙面、树木上投影路标,采用短暂闪烁的形式,夹杂在广告中,触发特斯拉自动驾驶仪做出反应,并施...
- 下一篇
打造一个Compose版的俄罗斯方块
本文介绍如何使用Jetpack Compose打造一个经典版的俄罗斯方块游戏。 废话不多说,先看东西: 1. 为什么Compose适合做游戏? 通常一个游戏程序的执行流程如下所示: 简单说就是一个不断等待输入、渲染界面的过程。 这种模型非常符合当下前端的开发思想:数据驱动UI。 因此基于各种前端框架的小游戏层出不穷。相比之下,用客户端开发同类应用成本则会高出不少。 如今有了Compose,客户端终于在开发范式上追上了前端的步伐,像前端那样开发小游戏成为可能。 2. 基于MVI的游戏架构 MVI即Model-View-Intent,它受前端框架的启发,提倡一种单向数据流的设计思想,非常适合在Compose项目中实现逻辑部分,可以彻底贯彻数据驱动UI的核心思想。 之前的文章里曾对MVI架构做过简单介绍,后续也计划对MVI与MVVM等其他架构做一个对比介绍。本文只聚焦MVI在俄罗斯方块游戏中的具体使用。 项目结构如下: View层:基于Compose打造,所有UI元素都由代码实现 Model层:ViewModel维护State的变化,游戏逻辑交由reduce处理 V-M通信:通过StateF...
相关文章
文章评论
共有0条评论来说两句吧...