伴随移动互联网、云计算、大数据等技术的蓬勃发展,不觉间我们已来到“万物互联、万物皆数”的崭新时代。新的发展总是伴随新的挑战,而应对新挑战又会衍生出新的技术手段。中国悠悠历史几千年,如是运行。
APT(AdvancedPersistent Threat)攻击,也称高级持续性攻击,具有高度隐蔽性、长期潜伏性等特征,已成为当今网络攻击中最具杀伤力的”核武器”。其攻击手法多利用未知漏洞(0day)、未知恶意代码等技术,通过鱼叉或水坑攻击方式,配以社会工程学手段进行渗透,向特定目标人群进行传播,以窃取目标领域的机密资料。
互联网上每天都在发生多种安全事件,应对的方式不尽相同。面对APT事件的不断涌现,传统安全防护技术已然失效,须依靠多维安全模型建模及大数据分析技术来有效应对。通过大数据挖掘技术提炼出”威胁情报”信息,我们便可了解:谁对我们进行攻击、什么时候发起攻击、产生了什么样的后果,以及该攻击对业界产生的影响。
威胁情报和大数据分析技术
威胁情报在2015年度RSA大会上还只是个热词,但为期仅一年之隔的2016年RSA大会上,从各大厂商所展示的安全技术所见,威胁情报的应用正在走向成熟。一方面威胁情报结合SIEM、威胁检测和终端防护等产品开始落地,显著提升传统安全方案的安全能力;另一方面,一些专注在威胁情报领域的公司,已将自己的情报源作为服务提供给业内的安全厂商。
那么究竟威胁情报是什么呢?源引Gartner对威胁情报(Threat Intelligence)的定义:威胁情报是一种基于证据的描述威胁的知识信息,包括威胁相关的上下文环境,采用机制,指标,影响与行动建议等。这些描述已经存在的、或正在发生的攻击威胁的信息,可被用来进行应对决策,并对威胁进行响应。从实用角度看,威胁情报可分为如下三类:
信誉情报。当我们想发现未知威胁的时候,如果攻击源头本身就是没有信誉的,我可以首先对它产生怀疑,信誉情报非常重要,包括IP、URL、域名;
攻击情报。通过监测发现攻击源、攻击工具、曾经被利用过的漏洞;
其他情报。包括僵尸网络的地址、0day漏洞等。
联系我们请点击:
数邦客
