疫情催熱遠程辦公,威脅情報技術逆風起勢
今年上半年,新冠肺炎疫情席捲全球,隨着遠程辦公的應用加速,各行業對網絡安全服務越來越迫切。而在國際局勢和疫情的雙重影響下,我國網絡安全行業逆風起勢,市場份額持續擴大。
據中國信息通信研究院在今年9月發佈的《中國網絡安全產業白皮書(2020年)》顯示,2019年我國網絡安全產業規模已經達到1563.59億元,預計2020年產業規模約爲1702億元。
作爲網絡安全的細分領域之一,威脅情報市場正逐漸興起。此前,信息技術研究和顧問公司Gartner的分析師這樣定義威脅情報——關於資產所面臨的現有或潛在威脅的循證知識,包括情境、機制、指標、推論與可行建議,可爲威脅響應提供決策依據。在如今網絡空間的攻防戰場上,威脅情報,早已成爲網絡安全防禦體系中不可或缺的組成部分。
威脅情報正在成爲必要技術和手段
自2017年6月1日《網絡安全法》實施以來,新版《信息等級保護管理辦法》《關鍵信息基礎設施安全保護條例》等規定和條例相繼推行,對雲計算、移動互聯網、物聯網和工業控制系統的安全要求不斷拓寬,網絡安全技術與雲計算、大數據、人工智能等新技術的結合日益緊密,全新網絡安全技術和產品亟待產出。
同時,隨着數字經濟的發展和數字化轉型的深入,數據資產不斷增大,數字業務日漸增多,以數據爲目標的網絡攻擊也愈演愈烈,組織化攻擊和網絡犯罪交織威脅呈現多樣化、未知性態勢,建立實戰化的攻防能力體系已是大勢所趨。在實戰化攻防中,威脅情報正在成爲一種必要技術和手段。
據介紹,威脅情報的研究對象是“威脅”,所謂“威脅”有可能是單一的木馬植入、遠程域名劫持、攻擊IP,也可能是一次安全事件、一個攻擊團伙。而威脅情報的研究結果是“情報”,而“情報”也分爲不同層次:簡單的情報,是與攻擊過程有關的木馬、域名、URL(網絡地址)等數據樣本;而複雜情報則可能涉及人員虛擬身份到現實身份的映射。
與以漏洞掃描爲特徵的網絡安全傳統思路相比,威脅情報從攻擊者視角出發,查找被攻擊的企業數據資產,對攻擊手法進行刻畫,對攻擊工具進行指紋提取,最終形成攻擊者畫像。
此外,安全從業者還需對所掌握的海量情報關聯分析,對背後的攻擊事件、攻擊團伙進行更全面地認知,並根據掌握的海量基礎數據對“威脅”的一舉一動進行實時追蹤。
“以動態威脅情報爲基礎,以有效主動偵測手段爲工具,幫助企業及時發現威脅並迅速集中優勢資源應對,將成爲網絡安全發展的趨勢。”中金資本董事總經理王雷表示。
據瞭解,威脅情報的概念最早於2014年提出,2015年前後,這個概念被引入國內市場,距今不過短短5年時間。
業內專家分析,從網絡安全大市場需求來看,各行業對威脅檢測的需求持續增加,政府、金融、互聯網、智能製造等幾大行業仍是需求威脅情報的主要行業。同時,對網絡安全威脅檢測和防護的需求,開始從各行業的頭部公司、大型公司向中型公司和IT行業團隊下沉。此外,行業內協同聯防趨勢明顯,以金融行業爲代表的安全事件和情報共享項目開始初步實踐。
然而,不少從業者認爲,威脅情報領域的成熟與專業化還有待時日。
例如,此前360網絡安全研究院提出,威脅情報一直面臨着價值評估標準模糊不清的難題,尤其是對衡量威脅情報質量的關鍵要素——IOC(妥協指標,被用於識別系統或網絡上的潛在惡意活動的數據)的價值評估,一直是困擾行業發展的核心問題。
網絡安全研究機構SANS發佈的《2020年網絡威脅情報現狀調研報告》也指出,制約威脅情報應用的原因有很多,其中佔到57%的首要因素,是缺乏專業的員工和能充分利用威脅情報的經驗,此外,操作難度問題、自動化水平差等,也佔了很大比例。
北京微步在線科技有限公司創始人、CEO薛鋒表示,當前威脅情報已經成爲國內各大安全廠商競爭的領域,良性競爭將有望持續推動該領域的長遠發展——包括標準認定以及從業人員整體能力的提升,都會得到解決。而現階段,與綜合性安全廠商相比,專注威脅情報這一細分領域的安全企業所要把握的機會就是深耕核心技術。
在薛鋒看來,其中一項核心技術就在於雲端的大數據能力。在雲重構企業IT架構的大環境下,網絡安全產品突破原有技術框架,充分利用大數據、雲計算、人工智能等新技術是必然趨勢,因此基於雲端的SECaaS(安全即服務)模式,將逐漸替代基於本地化部署的傳統軟件服務模式,成爲新一代網絡安全產品的標準需求。(華凌)