隨著網(wǎng)絡(luò)攻擊技術(shù)的更新迭代，政企機(jī)構(gòu)面臨著愈加嚴(yán)峻的網(wǎng)絡(luò)威脅和挑戰(zhàn)，如何有效檢測未知的網(wǎng)絡(luò)威脅成為網(wǎng)絡(luò)安全行業(yè)各方的共同著眼點。

在此背景下，網(wǎng)絡(luò)安全威脅信息（英文為Threat Intelligence ，即威脅情報）正在重構(gòu)安全防護(hù)體系，幫助政企機(jī)構(gòu)更好的“知己”“知彼”，實現(xiàn)較為精準(zhǔn)的動態(tài)防御，為政企機(jī)構(gòu)數(shù)字化轉(zhuǎn)型安全建設(shè)提供全新路徑和手段，受到了業(yè)界的廣泛關(guān)注和認(rèn)可。 

為了進(jìn)一步提升廣大政企機(jī)構(gòu)的網(wǎng)絡(luò)安全實戰(zhàn)能力，近日中國信息通信研究院安全研究所聯(lián)合北京微步在線科技有限公司共同研究編制了《2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）》（以下簡稱“報告”），對網(wǎng)絡(luò)安全威脅信息的產(chǎn)業(yè)發(fā)展現(xiàn)狀和趨勢進(jìn)行了梳理，并結(jié)合行業(yè)案例分享了威脅信息的應(yīng)用落地情況。

報告指出，威脅信息的本質(zhì)是知識，如何在具體場景將知識落地并取得成效，是在各行業(yè)開展網(wǎng)絡(luò)安全威脅信息應(yīng)用的核心問題。

立足我國具體國情和網(wǎng)絡(luò)安全需求，目前國內(nèi)威脅信息應(yīng)用落地有以下三個方向可供參考。

落地方向一：結(jié)合檢測技術(shù) 在安全產(chǎn)品研發(fā)階段，將威脅信息與流量分析、終端檢測技術(shù)相結(jié)合，落地為基于網(wǎng)絡(luò)安全威脅信息的檢測響應(yīng)類產(chǎn)品，部署在用戶機(jī)構(gòu)對應(yīng)的網(wǎng)絡(luò)環(huán)境中。 在這一方向上，第三方云服務(wù)是威脅信息落地的重要場景之一。

隨著越來越多的政企業(yè)務(wù)向公有云、政務(wù)云遷移，云端已成為黑客、黑產(chǎn)團(tuán)伙的又一攻擊目標(biāo)。

作為云服務(wù)提供商，需要提升云端整體的安全檢測與分析能力，在海量的攻擊中識別真實威脅，并對暴露資產(chǎn)進(jìn)行全面梳理，提升云服務(wù)提供商對租戶的安全運營能力，幫助租戶應(yīng)對安全威脅，并滿足合規(guī)要求。 以某云計算服務(wù)商為例，針對公有云和政務(wù)云兩個服務(wù)場景，均部署了微步在線具備威脅信息能力的威脅感知設(shè)備，以便更好地發(fā)現(xiàn)內(nèi)部威脅、檢測外部威脅、識別資產(chǎn)風(fēng)險。

來源：中國信通院

圖：云計算服務(wù)商威脅信息管理部署

對于公有云，該云服務(wù)商依托威脅信息進(jìn)行失陷主機(jī)檢測、定位以及取證分析，完成處置閉環(huán)。 

首先，在公有云網(wǎng)絡(luò)出口位置部署具備威脅信息能力的威脅感知設(shè)備，并旁路鏡像接入出站方向流量及內(nèi)部DNS日志；其次，利用威脅信息發(fā)現(xiàn)內(nèi)部失陷主機(jī)，并對失陷主機(jī)內(nèi)網(wǎng)滲透路徑、數(shù)據(jù)竊取等行為進(jìn)行描繪。 對于政務(wù)云，該云服務(wù)商依托威脅信息，覆蓋各租戶的外部攻擊感知、內(nèi)部失陷威脅、資產(chǎn)風(fēng)險梳理需求。 

首先，在政務(wù)云網(wǎng)絡(luò)出口位置部署具備威脅信息能力的威脅感知設(shè)備，并在旁路鏡像接入出入站雙向流量；其次，利用威脅信息、行為規(guī)則、機(jī)器學(xué)習(xí)、沙箱等技術(shù)，對外部攻擊、內(nèi)部失陷、內(nèi)網(wǎng)橫移、加密、數(shù)據(jù)竊取等全攻擊鏈威脅進(jìn)行檢測，并將敏感行為、告警結(jié)合威脅信息進(jìn)行智能聚合完整還原攻擊路線，描繪黑客畫像。 此外，利用旁路監(jiān)聽，對租戶應(yīng)用系統(tǒng)暴露的服務(wù)、域名、端口、IP，以及管理后臺、弱密碼、API接口等資產(chǎn)風(fēng)險進(jìn)行全面梳理；最后，通過安全運營平臺，對各租戶的威脅事件和資產(chǎn)風(fēng)險進(jìn)行分離和獨立呈現(xiàn)，為各租戶提供安全增值服務(wù)。

落地方向二：建立共享機(jī)制 對于分支部門較多的用戶機(jī)構(gòu)，建立本地威脅信息管理平臺，構(gòu)建網(wǎng)絡(luò)威脅信息庫和威脅信息共享機(jī)制，提高網(wǎng)絡(luò)威脅挖掘研發(fā)和應(yīng)用能力。 共享機(jī)制的建立，既包括總部和各分支機(jī)構(gòu)子公司的信息共享，也包括企業(yè)不同部門之間的協(xié)同研判，能夠讓企業(yè)對威脅信息進(jìn)行深入分析，為企業(yè)提供準(zhǔn)確的、可讀的、有指導(dǎo)性的分析結(jié)果，研判報警的真實性、攻擊者意圖以及對應(yīng)的風(fēng)險等級，并且獲得攻擊者和惡意樣本的詳盡信息，充分發(fā)揮威脅情報的真正價值，為安全決策做全面支撐。 以某網(wǎng)絡(luò)視頻平臺為例，除了不斷加劇的網(wǎng)絡(luò)黑客攻擊之外，新的業(yè)務(wù)形態(tài)也帶來了新型風(fēng)險，如：撞庫盜號、盜播盜看、營銷活動“薅羊毛”、刷量刷人氣、支付場景下的欺詐等行為，對該視頻平臺的穩(wěn)定運營帶來了很大的沖擊。 

為了填補(bǔ)自身安全體系的攻擊事件提取能力，提高網(wǎng)絡(luò)攻擊檢測響應(yīng)效能和業(yè)務(wù)風(fēng)控能力，該網(wǎng)絡(luò)視頻平臺部署了微步在線的威脅信息管理平臺，并形成共享的威脅信息庫，具體落地方案如下： 一方面，通過流量鏡像實時檢測可能的威脅，加強(qiáng)對未知威脅的發(fā)現(xiàn)和識別，并結(jié)合現(xiàn)有處置制度進(jìn)行工單流轉(zhuǎn)，形成高效的運營處置閉環(huán)，預(yù)防和及時處理各類網(wǎng)絡(luò)風(fēng)險安全事件。 

另一方面，威脅信息管理平臺與日志系統(tǒng)、業(yè)務(wù)風(fēng)控系統(tǒng)對接聯(lián)動，將專業(yè)機(jī)構(gòu)的威脅信息和風(fēng)控等業(yè)務(wù)相關(guān)的威脅信息聚合。

利用威脅信息共享機(jī)制，威脅信息管理平臺能夠過濾篩選海量日志，以高質(zhì)量的威脅信息數(shù)據(jù)支持相關(guān)的風(fēng)險防控工作，賦能業(yè)務(wù)風(fēng)控形成多維度分析因子，提升平臺異常風(fēng)險用戶識別精準(zhǔn)度，避免出現(xiàn)大面積封禁造成用戶無法訪問平臺的現(xiàn)象，對于該視頻平臺安全風(fēng)控團(tuán)隊及時掌安全態(tài)勢并做出正確響應(yīng)具有重要價值。

來源：中國信通院圖：網(wǎng)絡(luò)視頻平臺威脅信息管理部署

落地方向三：聯(lián)動安全設(shè)備 聯(lián)動其他網(wǎng)絡(luò)安全設(shè)備，如IDS／防火墻、日志大數(shù)據(jù)平臺等，與現(xiàn)有處置知識庫與工單系統(tǒng)構(gòu)建閉環(huán)處置流程，提升用戶機(jī)構(gòu)網(wǎng)絡(luò)安全的整體檢測響應(yīng)能力。 事實上，對于很多應(yīng)對高級威脅已經(jīng)乏力的傳統(tǒng)安全產(chǎn)品來說，與威脅信息的聯(lián)動，能夠?qū)崿F(xiàn)數(shù)據(jù)的分享與交換，形成基于威脅情報的感知能力，進(jìn)一步提升企業(yè)的整體安全防護(hù)能力，解決來自各種安全設(shè)備的海量安全告警問題。 

近年來，電子信息制造業(yè)已成為我國國民經(jīng)濟(jì)的重要支柱產(chǎn)業(yè)，并逐漸呈現(xiàn)國際化趨勢。

由于存儲了高價值知識產(chǎn)權(quán)與先進(jìn)設(shè)計文件或數(shù)據(jù)的主機(jī)或服務(wù)器，容易成為黑客攻擊目標(biāo)。

同時，電子信息制造商往往在全球有多個辦公區(qū)域，員工多、終端多，網(wǎng)絡(luò)架構(gòu)復(fù)雜，開展網(wǎng)絡(luò)安全防護(hù)工作有一定難度。 為了應(yīng)對未知的高級威脅，某電子信息制造商在企業(yè)網(wǎng)絡(luò)內(nèi)部部署了微步在線的威脅信息管理平臺，并與現(xiàn)有防火墻對接，建立了閉環(huán)協(xié)作運營機(jī)制。 一方面，結(jié)合防火墻中網(wǎng)絡(luò)出站訪問日志，碰撞威脅信息管理平臺中高質(zhì)量IOC失陷指標(biāo)（域名、IP），將確定的惡意域名回傳給防火墻。
防火墻將收到的惡意域名添加黑名單并自動進(jìn)行攔截與告警，彌補(bǔ)防火墻的內(nèi)網(wǎng)失陷威脅檢測能力。 

另一方面，利用威脅信息管理平臺的聯(lián)動能力，定期與威脅信息云進(jìn)行數(shù)據(jù)同步和更新，確保失陷威脅發(fā)現(xiàn)和威脅攔截的準(zhǔn)確性和及時性，實現(xiàn)防火墻對外連惡意通信的自動化阻斷。

來源：中國信通院圖：電子信息制造商威脅信息管理部署 

與電子信息制造業(yè)面臨著類似問題的還有電信企業(yè)。由于承載了海量公民個人信息以及網(wǎng)絡(luò)流量信息，電信企業(yè)很容易成為攻擊者竊取數(shù)據(jù)的重點攻擊目標(biāo)。 以某電信企業(yè)為例，為了實現(xiàn)企業(yè)網(wǎng)絡(luò)威脅檢測能力的全覆蓋，提升高級威脅發(fā)現(xiàn)識別能力，利用微步在線威脅信息賦能的威脅感知設(shè)備，對云租戶網(wǎng)絡(luò)、企業(yè)自用網(wǎng)絡(luò)、企業(yè)辦公網(wǎng)的出入站全流量進(jìn)行檢測，將告警日志統(tǒng)一接入大數(shù)據(jù)平臺。 

同時，與現(xiàn)有處置預(yù)案知識庫與工單系統(tǒng)聯(lián)動，形成高效的運營處置閉環(huán)，提升了對網(wǎng)絡(luò)威脅的檢測和響應(yīng)能力，為業(yè)務(wù)的穩(wěn)定連續(xù)增加了一道防線。

來源：中國信通院圖：基礎(chǔ)電信企業(yè)威脅信息管理部署

結(jié)語 如今，攻擊者對國家政府部門、關(guān)鍵信息基礎(chǔ)設(shè)施、關(guān)鍵行業(yè)機(jī)密的攻擊越來越猖獗，網(wǎng)絡(luò)空間已成為國家安全的又一重要角力場。

金融、能源、電力、通信、交通等行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到攻擊，可能導(dǎo)致交通中斷、金融紊亂、電力癱瘓等嚴(yán)重后果，對國家安全具有極大的破壞力與殺傷力；核電、軍工、高校、科技等領(lǐng)域的研發(fā)核心數(shù)據(jù)如果被竊取，可能會造成國家和企業(yè)機(jī)密泄露，后患無窮。 網(wǎng)絡(luò)安全威脅信息能夠檢測與阻止內(nèi)外威脅，增加黑客入侵成本，降低入侵速度，提升主動防御能力，確保組織提前做好準(zhǔn)備，應(yīng)對攻擊，避免機(jī)密和數(shù)據(jù)泄露及資產(chǎn)損失，保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定安全運行。

因此，網(wǎng)絡(luò)安全威脅信息的應(yīng)用落地對政企機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)和運營具有重要意義。 作為國內(nèi)首個“威脅信息”權(quán)威報告，《2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）》系統(tǒng)梳理了四大行業(yè)的典型應(yīng)用場景，以詳實的案例分析，為國內(nèi)廣大政企機(jī)構(gòu)應(yīng)用落地威脅信息提供了參考和指南。