了解世界 从这里开始 www.hqzxnews.com

根据等保2.0测评要求,如何定义、挑选威胁情报检测系统?

新闻 2019-5-24 10:437480环球资讯网

2019513日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,实施时间为2019121日。《信息安全技术 网络安全等级保护测评要求》中,首次提出了对威胁情报检测系统威胁情报库的要求。

威胁情报检测系统是一类网络安全基础设施,对网络流量和终端进行实时监控、分析,应用威胁情报,机器学习,沙箱等多种检测方法,发现隐藏在海量流量和终端日志中的可疑活动与安全威胁,帮助企业安全团队精准检测失陷(被控)主机,追溯攻击链,定位当前攻击阶段,防止攻击者进一步破坏系统或窃取数据。

威胁情报检测系统已被证实在日常安全运维和重保活动中发挥了关键作用。

从系统架构上讲,威胁情报检测系统与传统的基于规则的检测系统相比,有很大变革,至少需要具备如下八个模块:

一、全流量的日志、文件提取与报警pcap存储:对网络全流量进行协议还原,提取网络流量日志与流量中的文件,对所有报警和可疑网络行为保存pcap以供后续分析,并提供可视化能力对机器的网络行为进行深度分析;

二、威胁情报检测模块:分钟级别同步最新的专业威胁情报数据,并用于实时流量检测,情报包不只包含基础的失陷指标IOC,还应包含黑客团伙情报信息;

三、机器学习模型检测模块:应用各类机器学习算法对传统统计规则、威胁情报无法发现的网络威胁进行检测,如数据窃取行为、隧道通信行为、DGA域名等;

四、恶意文件检测引擎模块:对流量中提取的文件应用本地的文件检测引擎,进行高效率的恶意文件识别;

五、沙箱检测模块:对本地可疑文件,应用本地或者云端沙箱技术进行判定;

六、内网横向移动检测模块:支持接入内网流量发现内部横向移动行为;

七、自定义情报检测模块:支持提供自定义情报功能,并应用于实时流量检测;

八、攻击链回溯分析模块:对所有发现的各类威胁告警可以按照攻击链进行关联,完整回溯攻击过程。

那么,威胁情报系统要怎样挑选,才能让企业在合规路上不走弯路?

首先,要注重威胁情报的质量。威胁情报检测系统的关键在于引入威胁情报,对于威胁情报质量的评判,全球权威信息化咨询研究机构Gartner提出了覆盖度、可执行力、专业性、准确度、可扩展性五个维度。尤其是准确度,是威胁情报质量中最重要的因素。因此,在评判威胁情报系统之前,要先评判系统的威胁情报来源,尽量选择在威胁情报领域专业度高、产品被广泛部署的厂商。

以微步在线的威胁情报检测系统TDP为例,微步在线在20172019年连续两次入选Gartner的《全球威胁情报市场指南》,并且两次均为亚太地区唯一入选的威胁情报厂商,情报质量可以保证;同时,微步在线的威胁情报检测系统提供分钟级更新的威胁情报库,支持数百种内网渗透行为模型和规则,能够围绕不同攻击阶段和攻击场景,应用机器学习模型进行检测,可发现包括内网渗透、DGA、流量异常、隐蔽信道通信以及数据泄露等场景,并结合模型判定结果归类为可疑行为还是确定性威胁。目前在DGA的检测能力上,实际应用结果证实已具备超过99.9%的报警准确度。

其次,做好POC测试验证。威胁情报检测系统归根结底是一项网络安全基础设施,一个合理且完备的测试验证流程应该包括数据集收集、测试、验证三个阶段。

数据集收集是企业需要收集和整理待测试用的数据集,找到合适的流量镜像点,提供给各个威胁情报检测系统厂商开展测试。数据收集阶段企业应该根据自身安全需求来确定最终测试的网络区域,尽可能接近最终应用情报检测系统的网络区域。测试阶段需尽应用真实的网络流量,尽可能让竞测的厂商使用同一份网络流量横向对比测试结果。在验证阶段,需要对发现的报警进行及时的分析、取证以验证准确性。验证过程不仅包括取证确认报警确实存在,也需要对比各厂商产品提供的事件信息,丰富的上下文是后续使用系统并保证良好阴影效果的基础,最终通过各家的检出率、误报率、上下文丰富程度等几个维度的评估结果,来确定最终的威胁情报检测系统供应商。

此外,选择一个具有丰富威胁情报检测系统落地案例的厂商,也是保证系统落地成功的重要因素。微步在线的威胁情报检测系统已经被广泛部署在政府、能源、金融、互联网、制造业、媒体等行业的超过200家大型企业中,客户接受程度高,产品成熟,能够从威胁情报检测系统和威胁情报库两方面满足企业合规需求。

企业应当重视威胁情报,不仅仅因为等保2.0测评要求提出了新标准,更是因为威胁情报的重要性在全球化网络环境中正在越来越清晰地体现出来,知己知彼,百战不殆,此次等保2.0测评对于威胁情报的要求,正体现了国家对于建设网络安全环境的重视,像威胁情报这样的新技术在网络安全行业中的应用和普及已经成为必需,把握好威胁情报,对企业网络安全、社会网络安全和国家网络安全都有着重要意义。

发表评论

环球资讯网 Copyright © 

环球资讯网 Copyright 2011-2019 © All Right Reserved.


sitemap