當?shù)貢r間2月13日下午，國內(nèi)威脅情報領(lǐng)軍品牌微步在線在美國舊金山舉行的RSA大會期間發(fā)布重量級產(chǎn)品-微步威脅情報平臺。這款軟件平臺產(chǎn)品解決了企業(yè)在威脅情報落地中存在的挑戰(zhàn)，繼續(xù)引領(lǐng)威脅情報發(fā)展方向。

　　一直以來，安全廠商和企業(yè)安全人員都在致力于預測和預防威脅，經(jīng)歷多年的發(fā)展，雖然各種安全產(chǎn)品與解決方案琳瑯滿目，但事實一次又一次地證明了這樣的目標很難實現(xiàn)。因此企業(yè)逐漸意識到了縮短威脅檢測時間的重要性，檢測與響應的作用開始顯現(xiàn)，因為單純防御的邊界效應已經(jīng)在遞減。以威脅情報為代表的威脅檢測與響應(Detection and Response)技術(shù)在大中型企業(yè)得到廣泛應用。我們這里就重點討論國內(nèi)外企業(yè)[1]中關(guān)于威脅情報如何有效地幫助企業(yè)提高威脅檢測和響應能力，以及如何落地的挑戰(zhàn)。

　　一、 威脅情報落地的挑戰(zhàn)：

　　威脅情報比較復雜。需要能指導行動，并用于提升安全運營能力

　　國外70%的受訪者表示威脅情報通常比較復雜，因此，52%的受訪者認為他們的公司需要一個合格的威脅分析師來最大限度地發(fā)揮威脅情報的價值。另有小于46%的受訪者表示，正在使用威脅情報數(shù)據(jù)來指導事件應急響應行動。而國內(nèi)企業(yè)希望通過及時準確的威脅情報來幫助企業(yè)提升安全運營能力。

　　將威脅情報平臺與現(xiàn)有的安全工具和產(chǎn)品相集成具有挑戰(zhàn)性

　　64%的受訪者認為威脅情報平臺與其他安全技術(shù)或工具的集成是一項艱巨而耗時的任務。62%的受訪者表示，與SIEM/SOC集成是必要的，可以最大限度地提高威脅情報數(shù)據(jù)的價值。有49%受訪者還選擇了IDS / IPS，有46%的受訪者還選擇了下一代防火墻。

　　在沒有平臺的情況下，難以確定威脅情報的優(yōu)先級

　　70%的受訪者表示，在沒有相應平臺的情況下定義威脅情報優(yōu)先級別非常困難。如果他們沒有威脅情報平臺，71%受訪者的安全團隊不能及時傳遞相關(guān)的領(lǐng)導層。79%的受訪者認為，威脅情報平臺被認為是最大化威脅情報數(shù)據(jù)價值所必需的。威脅情報平臺能夠精確對攻陷指標(IOC)進行優(yōu)先級定位。

　　威脅情報的價值要能量化。

　　目前只有27%的安全從業(yè)人員認為他們的公司在利用威脅數(shù)據(jù)來識別網(wǎng)絡威脅方面做的很出色。31%的董事會或者CXO會接收與公司面臨的重要安全問題相關(guān)的威脅信息。可見國內(nèi)外企業(yè)都能認識到威脅情報的重要性。但國內(nèi)用戶更直接關(guān)心其價值如何量化。

　　二、解決方法與建議：

　　威脅情報平臺是一個解決方案，有79%的受訪者認為通過威脅情報平臺來最大化威脅數(shù)據(jù)的價值是很有必要的，并有三分之二的企業(yè)已經(jīng)擁有或者準備開發(fā)威脅情報平臺。微步在線是國內(nèi)網(wǎng)絡安全威脅情報領(lǐng)軍品牌。由來自亞馬遜、阿里巴巴、微軟等安全專家組成，提供以威脅情報為核心的安全服務，致力于幫助企業(yè)檢測與響應正在發(fā)生和即將發(fā)生的威脅。微步在線自成立以來，憑借通過威脅情報驅(qū)動的安全能力，多次在重大社會性和行業(yè)性網(wǎng)絡安全事件上的出色表現(xiàn)，得到了業(yè)內(nèi)的充分認可，客戶已經(jīng)遍布于金融及世界500強企業(yè)。針對企業(yè)用戶所遇到的問題和痛點，微步在線正式推出的威脅情報平臺就是針對當前問題的一個綜合性的解決方案，與企業(yè)現(xiàn)有安全產(chǎn)品進行結(jié)合，可獲取實時威脅情報，并應用威脅情報進行威脅檢測，準確發(fā)現(xiàn)內(nèi)部威脅和失陷主機，同時結(jié)合威脅情報提供豐富的上下文信息以及強大的基礎數(shù)據(jù)支撐，幫助組織挖掘攻擊特點、更快地采取安全防范措施。

　　微步展位RSA大會北展廳N5003歡迎親臨現(xiàn)場。

　　微步威脅情報平臺具備以下特點：

　　1. 覆蓋全球高價值情報：威脅情報是威脅情報平臺的基礎支撐，微步在線具備獨有的情報挖掘能力，為威脅情報平臺提供穩(wěn)定的情報輸出。ThreatBook Labs長期跟蹤和分析與各行業(yè)相關(guān)攻擊事件和團伙，其產(chǎn)出的高級情報得到金融和能源等行業(yè)多個大型企業(yè)高度認可。基于ThreatBook Labs對高級情報的跟蹤與分析處理能力，同時整合200+不同數(shù)據(jù)源，采用多種檢測分析機制，整合沙箱的動態(tài)分析能力、大數(shù)據(jù)的安全狩獵能力，確保了威脅情報平臺可實時獲取大量高質(zhì)量的可機讀威脅情報。

　　2. 檢測精度高，提供可指導響應活動的上下文：微步在線利用白名單、分析規(guī)則、機器學習、分析師人工判定等多層次的研判機制，保障檢測能力的高精準度，其準確率可達到99.99%。對于命中的威脅，威脅情報平臺可提供包含攻擊者團伙信息、攻擊目的、攻擊方式、傳播路徑、行為特點，影響范圍以及相關(guān)的行動建議等豐富的內(nèi)容，幫助企業(yè)安全響應團隊更有效率的工作。

　　3. 可展現(xiàn)企業(yè)整體安全態(tài)勢，并全面定位分析內(nèi)部威脅：基于檢測結(jié)果，威脅情報平臺提供高可視化方案，對企業(yè)內(nèi)的整體安全態(tài)勢進行集中展現(xiàn)，包括整體安全狀態(tài)、威脅檢測結(jié)果、內(nèi)部失陷主機、風險等級等。幫助用戶感知和了解當前企業(yè)內(nèi)的威脅狀態(tài)。對于接下來的安全響應工作，相較于傳統(tǒng)人工排查，威脅情報平臺運用人工智能實現(xiàn)了內(nèi)外數(shù)據(jù)的關(guān)聯(lián)分析，可以更快速定位內(nèi)部機器及操作。對內(nèi)來說，威脅情報平臺關(guān)聯(lián)了企業(yè)內(nèi)部的各類設備和記錄數(shù)據(jù)，包括DNS日志、HTTP日志、DHCP日志等，能夠全面追蹤與相應事件關(guān)聯(lián)的內(nèi)部數(shù)據(jù)，更多發(fā)現(xiàn)關(guān)聯(lián)內(nèi)部主機，對回溯攻擊位置、攻擊途徑與確定損失具有重要意義;對外來說，威脅情報平臺運用微步在線的黑客資產(chǎn)模型，可對攻擊者身份、團伙、資產(chǎn)等進行追蹤溯源。

　　4. 部署靈活簡單，可與企業(yè)現(xiàn)有安全產(chǎn)品和方案結(jié)合：部署過程可縮短至2小時! 該平臺可安裝在虛擬機或者硬件服務器上，對機器配置要求較低，部署簡單且維護成本低。可選擇流量鏡像，或者運用DNS或DPI設備上的日志配置功能，實現(xiàn)該平臺的快速部署，無需串聯(lián)、無需修改網(wǎng)絡拓撲結(jié)構(gòu)。微步威脅情報平臺即可獨立部署，也可與現(xiàn)有安全產(chǎn)品(如SIEM、SOC、大數(shù)據(jù)平臺等)快速集成。，運用威脅情報產(chǎn)生的威脅警告，既可獨立呈現(xiàn)，也可通過Syslog或API的方式與企業(yè)現(xiàn)有其它產(chǎn)品進行互動，方便集中處置和響應，同時提高原有設備利用率。

　　5. 制定可以量化的安全檢測與響應管理目標：國內(nèi)外企業(yè)都能認識到威脅情報的重要性，國內(nèi)用戶更直接關(guān)心這個價值如何量化?其實兩個關(guān)鍵指標可以用來衡量一個企業(yè)檢測響應能力的有效性，即平均威脅檢測時間(MTTD)和平均響應時間(MTTR)。MTTD指是一個組織發(fā)現(xiàn)和識別那些安全事件所需要的平均時間。MTTR是指企業(yè)充分分析并采取有效手段應對和處理安全事件所需要的平均時間。根據(jù)企業(yè)規(guī)模和安全團隊的投入不同，全球來看MTTD平均值大約在146天，MTTR平均值為1周到30天。所以從管理到執(zhí)行確定響應與檢測的重要性和考核方式是效率的基礎。

　　寫在最后，2017RSA大會以 “Power of OPPORTUNITY”寓意我們正處于一個安全盛世，但也是一個安全亂世，期待本次盛會能夠帶來更多的安全創(chuàng)新!而作為國內(nèi)威脅情報領(lǐng)軍品牌，微步期待與更多安全廠商攜手合作，通過威脅信息和情報的共享機制，保護我們的共同用戶，打造安全的互聯(lián)網(wǎng)!