RSA2017:360谭晓生阐述处置高级威胁的行业趋势

发布日期:2017年02月16日

RSA Conference 2017已于美国时间2月13日盛大开幕。从最近几年RSA上的热点可以看出,威胁情报是近几年业界关注的重点,越来越多的安全厂商开始将业务扩展到这一领域。360公司首席安全官谭晓生表示,威胁情报是网络安全防御能力提升的一大利器。

360公司副总裁谭晓生现场发表演讲

360公司副总裁谭晓生现场发表演讲

近几年来,如APT攻击、0day、社会工程学攻击、网络钓鱼等高级威胁层出不穷。从针对政府、科研机构、关键基础设施的窃密、破坏行为,到利用高级威胁手法进行攻击以获取高额经济利益,高级威胁已经成为企业用户安全防御的恶梦。

根据360互联网安全中心发布的《2016年中国互联网安全报告》显示,日益频繁的APT等网络攻击,正在导致政企机密情报被窃取、工业系统被破坏、金融系统遭受经济损失,甚至对地缘政治产生影响。据了解,在过去的2016年,360威胁情报中心累计监测到针对中国境内目标发动攻击的境内外APT组织36个。中国成为全球APT攻击的第一目标国。

360公司首席安全官谭晓生在RSA现场发表主题演讲时谈到,高级威胁的检测以及APT攻击的防范是企业面临的难题之一,而传统的IPS/IDS、防火墙、杀毒软件等防御手段面对花样翻新的攻击显得捉襟见肘。通过大数据安全分析以及威胁情报驱动,形成协同的安全监控、响应和深度防御系统,才能够有效应对这些高级威胁。

图

事实上,这也成为了业界主流的网络安全厂商的同识。当前,针对APT攻击的发现与检测方法,也扩展到多维度手段。从沙箱、特定的入侵检测技术,到结合威胁情报的流量还原检测与终端检测(EDR)的综合协同方法被越来越多的利用。“除了用于大数据分析和基于攻击链的深度防御外,威胁情报还是新一代防御系统的基石。” 谭晓生表示。

RSAC2017上最具代表性的威胁情报厂商参考:

1.AlienVault

AlienVault现处于Pre-IPO阶段,发展势头良好。旗下产品OTX是全球最大的免费威胁情报社区,每天能够提供超过400,000个威胁情报指标。现在有来自全球140个国家的4万7千名参与者,且用户活跃度很高。社区改变情报的单向发布模式,让订阅者可以和研究人员可以合作沟通,提高情报质量。

2.Crowdstrike

CrowdStrike由两名McAfee前员工于2011年创立。该公司提供专注于检测和阻止定向攻击,特色是主动防御。帮助政府和企业发现并阻止正在发生的黑客攻击。客户超过170个国家,全球十大企业中有三家,全球十大金融机构有五家使用crowdstrike的服务。其产品Falcon系统是一个主动防御的大数据云平台。

3.Secureworks

Secureworks是Dell旗下公司,是比较典型的MSSP(托管安全服务商),因此较为中立,整合了全球多家技术和方案为客户提供服务,主要为客户提供安全服务、安全与风险咨询以及威胁情报等。为各种规模的客户同时提供有针对性和全球威胁情报,以及高级或附加服务。

4.Fireeye

FireEye先后收购了Mandiant和iSight Partners,从威胁情报订阅服务到Hunting,从硬件到软件到数据,产品线丰富。威胁情报产品有:iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台。

5.360

360为个人和企业提供专业的网络安全解决方案,拥有6亿PC终端用户和7亿移动终端用户。360 SkyEye可基于360自有的多维度海量安全大数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。

6.微步在线/ThreatBook

微步是国内最早提供威胁情报服务的公司,发展势头迅猛,已于16年中完成A轮融资。客户覆盖金融、能源、互联网等行业,也包含多家世界500强公司。微步旗下产品包括威胁情报订阅服务、威胁情报平台、免费威胁分析平台。RSA大会期间发布的威胁情报软件平台可私有化部署,较好地解决了威胁情报落地问题。

7.IBM Security

IBM安全2015年的收入为20亿美金,保守估计2016年收入25亿美金,是美国安全业务收入增长最快的大公司公司之一。X-Force是IBM基于SAAS的威胁情报平台。每天监控20B的安全事件来获取匿名威胁资讯。QRadar可以收集各种安全产品数据包括设备应用、网络流等海量数据进行智能分析,并进行优先级排序。其威胁情报服务主要依托QRadar平台、安全服务和X-Force。

8.Anomali

Anomali原名ThreatStream。是国际威胁情报领域很有特色的厂商,发展迅猛。去年获得了CIA(美国中央情报局)旗下In-Q-Tel的战略投资,主要产品包括帮助企业匹配客户日志数据和威胁情报。

9.Kaspersky

卡巴斯基以技术扎实著称于世,目前主要业务依然围绕杀毒软件展开。其APT和威胁分析和研究在全球安全界占据独特的位置。现在已经可以检测如下威胁:恶意链接、钓鱼链接以及命令和控制URL链接,移动威胁并具备IP信誉数据,可以提供IP订阅服务。提供的情报数据机器可读,能和SIEM, Splunk, IBM Qrader等设备整合。

10.RiskIQ

RiskIQ成立于2009年,RiskIQ定位为数字风险监控厂商。致力于让企业及组织客户能够访问安全智能和应用程序,从而保护数字攻击面、定位业务风险。客户能够随时发现和处理恶意软件、恶意广告和恶意 App,降低网络、移动及社交工具的威胁。RiskIQ 通过全球代理网络每天持续扫描数以千万计的网站,随时向客户报告异常情况。

11.Recorded future

Recorded future全球最大的开源情报公司,核心技术是一套Web Intelligence Engine。提供多款开源情报产品,包括Cyber、DarkWeb、威胁监控等等 。Recorded Future提供免费的威胁情报日报,和丰富的SIEM及分析类产品的对接插件。

12.ThreatConntect

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者。主要产品有威胁情报平台,包括基于SaaS版本的和软件版本。以ThreatConnect威胁分析平台为核心,根据客户群体的不同,将平台分为四种:TC Identify, TC Manage, TC Analyze和TC Complete。