网络安全领域,攻防态势一直处于不断对抗升级的过程。攻击者往往更加擅长于采用新的技术手段和更高级、更隐蔽的攻击手法来达到其目的;而作为防守方的安全研究团队则需要在全新的一波攻击来临之前提前做出应对措施——“未知攻、焉知防”。

特别是近年以来,随着一些核武级别的网络武器被黑客公开使用、借助0Day漏洞进行攻击的事件越发突出(据微步在线介绍,2023年来仅勒索攻击事件就增长了81%、0Day漏洞更是增长了363%),传统的依靠漏洞管理为主的被动防御已经满足不了防守的需求,以往主流安全建设侧重于快速发现和响应已入侵攻击的方式正向着更为主动、精确和高效的方向发展,这已成为必然趋势。所以我们看到近年来,类似EASM、CTEM等细分赛道逐渐成长为业界追逐的新宠。而在这背后,威胁情报能力已经成为行业防守方的通用必备技能和开展主动防御的最核心底层能力.

2019年5月,《网络安全等级保护标准2.0版》正式颁布,首次出现对于威胁情报的要求,明确在二、三、四级测评中,增加“威胁情报检测系统”。2020年8月,商务部、科技部调整发布《中国禁止出口限制出口技术条目》,新增“高性能检测技术”,其中包括“威胁情报生成技术”。至此,威胁情报也正式成为了一项国家级的关键技术。

虽然以微步在线为代表的厂商早于监管要求四年,在2015年就率先在国内提出了威胁情报的概念,并一直引领行业中威胁情报的发展,但是在微步在线技术合伙人、微步情报局负责人樊兴华看来,目前行业中对于威胁情报的定义、使用依然存在很多急需解决的问题:解决风险的关键在于准确识别风险。在收集大量威胁情报时,信息的有用性、高精度以及信息源的全面覆盖至关重要,同时也必须保证信息源的可信度和信息的时效性。所以,并不是说威胁情报数量越多就越好;用上威胁情报之后,也不是说产生的告警越多就越好。

漏洞情报固然是当前大家认为最重要的威胁情报来源之一,但是安全运营者在漏洞的发现能力上参差不齐,面对当前大量的0Day漏洞攻击,传统的公开漏洞库并不能有效达到预警的目的。漏洞优先级管理(VPT)依然是最大的挑战,如何有效判断风险的高低决定了漏洞处置的效率高低。而因漏洞带来的风险最终是否能够与资产对应,让管理者对其影响范围做出有效评估并展开有效的治理也是安全运营者的一大痛点。

另外,业界对于威胁情报的概念也逐年开始泛化——“所有有助于提升企业安全运营过程中的威胁和风险发现能力的信息,都可称为情报”,企业不仅关注威胁对自身的影响,还迫切想要了解更多攻击者身份、攻击手法和工具等更多信息。

打开网易新闻 查看更多图片

所以,在樊兴华看来,企业安全运营的重心和思路已经在逐渐发生改变,从“威胁驱动”向“风险驱动”演变似乎已成为必然。需求变化之下,威胁情报自身边界也要扩展,通过更丰富、实时、立体的下一代威胁情报能力,才能更好赋能企业威胁和风险的高效运营。

三重核心能力 定义“下一代威胁情报平台”

基于以上考虑,微步在线于近期推出了全新的“下一代威胁情报平台NGTIP”。简单的说,微步在线希望这款定位为“企业威胁和风险运营的情报中心”的产品,至少具备如下能力——“场景化”,内置多种情报应用场景和分析策略,让威胁情报的落地“开箱即用”;更加注重“风险”,不仅为企业提供情报信息,更关注这些真实威胁带来的潜在风险,这样有助于进一步讲防范措施前置;“更加注重运营”,让情报价值不再局限于单向查询,让情报查询、分析、生产、共享、处置、狩猎等形成闭环;“决策指导”,不管是机读还是人读的类型,通过内外部的威胁信息的挖掘和订阅,能够为企业的资源投入和安全建设方向提供决策依据。

打开网易新闻 查看更多图片

为实现以上目标,此次发布的下一代威胁情报平台NGTIP在“威胁情报”、“漏洞情报”和“态势情报”三大方向上进行了全面的进化,具体表现在:

“威胁情报”——大幅提升告警降噪能力和运营效率

微步在线认为,不管是从当前互联网上的攻击态势还是企业面临的真实境况,自动化流量都将成为主旋律。在全新上线的IP信誉V2.0版本的加持下,新版威胁情报的能力能够从一维提升到三维,更加立体和全面——全网30000+蜜罐节点提供的自动化识别能力可以有效监控每日2000W+活跃IP的攻击行为、路径等痕迹、全网资产测绘能力和微步专业的分析能力更能够提升整个系统的判定可靠性。根据樊兴华介绍,新上线的IP信誉V2.0能够有效助力客户在网络安全自动化运营上的效率提升——网络攻击告警降噪比例达到80%以上,这绝对是一个质的飞跃。

打开网易新闻 查看更多图片

“漏洞情报”——国内首款真正意义上可闭环的漏洞情报产品

基于漏洞管理的防御方式由来已久,但是面临的挑战似乎并没有太大改变。0Day与公开新漏洞发现不及时、漏洞预警能力差;发现漏洞但是没法排出优先级,如何高效处理成问题;对于漏洞的治理,漏洞和 资产匹配困难、实际影响信息和证据不足。这些问题,长期困扰安全运营部门。漏洞管理对于业界众多团队而言都不是什么新鲜事,但是真正将漏洞获取-发现-评估-修复-验证形成闭环,却面临很大的挑战。在樊兴华看来,要实现这个目标至少需要具备四个能力——全面及时的基础漏洞情报、科学可靠的漏洞评估模型(VPT)、专业的漏洞深度分析能力和可落地的漏洞验证工具和修复建议。

打开网易新闻 查看更多图片

全新发布的下一代威胁情报平台NGTIP被微步认为是“国内首创第一款真正意义上的漏洞情报”产品,依托于业内用户量最大、最活跃的X情报社区和业内质量最高的0Day奖励计划,微步在线拥有强大的漏洞在野攻击发现能力,对接资产平台、基于XGPT可以实现资产漏洞匹配和高风险漏洞互联网影响面梳理,并可以进行无损POC验证。同时微步在线还为用户提供专业漏洞深度分析并针对未公开漏洞或对业务有影响的漏洞提供临时修复方案。

“态势情报”——聚焦潜在安全风险 减小安全运营信息差

这是一个全新的概念,它的核心诉求是降低信息获取成本,提高风险感知能力。通过采集和分析各种平台的公开事件,结合自有情报研究成果、各类应急事件等高质量分析结果,同时通过微步安全大模型XGPT融合分析,NGTIP可生成结构化、高质量的全网威胁态势、最新安全事件、黑客画像、重点行业攻击工具与攻击手法等全网态势情报。

打开网易新闻 查看更多图片

值得一提的是,作为国内首批通过备案审批的AI大模型产品,微步安全大模型XGPT在漏洞情报和态势情报上,都做出了特殊的贡献。“大家都在讲AI,但AI是算法,最大的问题就是容易出现幻觉,结果的准确性很大程度上依赖于投喂的语料质量。”而微步在线的优势就在于其威胁情报数据的实时精准,结合自身研判能力,有效提升了系统的告警准确性,帮助安全运营实现降噪,减轻安全运营人员面对海量告警的压力,从而更高效地识别真实威胁,迅速做出研判和响应,才能更好提升MTTD和MTTR。

后记:

在CSOP 2024网络安全运营实战大会上,微步掌舵人薛锋定义公司为“新基础安全”提供者。对于这样的一个角色,微步一直坚持让威胁情报能够更好地赋能到持续的安全运营工作中。

新一代的威胁情报平台NGTIP之所以被微步认为是一次大的跨越,在于其不仅践行了微步一直以来坚持的提升客户在威胁发现上的快速与精准性,并且将“威胁”上升到“风险”这一更大的概念。不仅如此,不管是在大模型应用上的能力和优势、对客户安全运营需求的不断深入理解、对产品体系的不断完善,基于TI+AI的核心底层能力,势必能够更进一步帮助用户提升安全运营的效率。

我们看到的不光是微步在线在产品上的一次升级换代,更是作为行业引领者对威胁情报这条赛道的全新定义,或许这将是未来威胁情报这个领域的发展之道,让我们继续关注它的发展。