疫情催热远程办公,威胁情报技术逆风起势
本报记者 华 凌
今年上半年,新冠肺炎疫情席卷全球,随着远程办公的应用加速,各行业对网络安全服务越来越迫切。而在国际局势和疫情的双重影响下,我国网络安全行业逆风起势,市场份额持续扩大。
据中国信息通信研究院在今年9月发布的《中国网络安全产业白皮书(2020年)》显示,2019年我国网络安全产业规模已经达到1563.59亿元,预计2020年产业规模约为1702亿元。
作为网络安全的细分领域之一,威胁情报市场正逐渐兴起。此前,信息技术研究和顾问公司Gartner的分析师这样定义威胁情报——关于资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,可为威胁响应提供决策依据。在如今网络空间的攻防战场上,威胁情报,早已成为网络安全防御体系中不可或缺的组成部分。
威胁情报正在成为必要技术和手段
自2017年6月1日《网络安全法》实施以来,新版《信息等级保护管理办法》《关键信息基础设施安全保护条例》等规定和条例相继推行,对云计算、移动互联网、物联网和工业控制系统的安全要求不断拓宽,网络安全技术与云计算、大数据、人工智能等新技术的结合日益紧密,全新网络安全技术和产品亟待产出。
同时,随着数字经济的发展和数字化转型的深入,数据资产不断增大,数字业务日渐增多,以数据为目标的网络攻击也愈演愈烈,组织化攻击和网络犯罪交织威胁呈现多样化、未知性态势,建立实战化的攻防能力体系已是大势所趋。在实战化攻防中,威胁情报正在成为一种必要技术和手段。
据介绍,威胁情报的研究对象是“威胁”,所谓“威胁”有可能是单一的木马植入、远程域名劫持、攻击IP,也可能是一次安全事件、一个攻击团伙。而威胁情报的研究结果是“情报”,而“情报”也分为不同层次:简单的情报,是与攻击过程有关的木马、域名、URL(网络地址)等数据样本;而复杂情报则可能涉及人员虚拟身份到现实身份的映射。
与以漏洞扫描为特征的网络安全传统思路相比,威胁情报从攻击者视角出发,查找被攻击的企业数据资产,对攻击手法进行刻画,对攻击工具进行指纹提取,最终形成攻击者画像。
此外,安全从业者还需对所掌握的海量情报关联分析,对背后的攻击事件、攻击团伙进行更全面地认知,并根据掌握的海量基础数据对“威胁”的一举一动进行实时追踪。
“以动态威胁情报为基础,以有效主动侦测手段为工具,帮助企业及时发现威胁并迅速集中优势资源应对,将成为网络安全发展的趋势。”中金资本董事总经理王雷表示。
相关领域发展需良性竞争来引领
据了解,威胁情报的概念最早于2014年提出,2015年前后,这个概念被引入国内市场,距今不过短短5年时间。
业内专家分析,从网络安全大市场需求来看,各行业对威胁检测的需求持续增加,政府、金融、互联网、智能制造等几大行业仍是需求威胁情报的主要行业。同时,对网络安全威胁检测和防护的需求,开始从各行业的头部公司、大型公司向中型公司和IT行业团队下沉。此外,行业内协同联防趋势明显,以金融行业为代表的安全事件和情报共享项目开始初步实践。
然而,不少从业者认为,威胁情报领域的成熟与专业化还有待时日。
例如,此前360网络安全研究院提出,威胁情报一直面临着价值评估标准模糊不清的难题,尤其是对衡量威胁情报质量的关键要素——IOC(妥协指标,被用于识别系统或网络上的潜在恶意活动的数据)的价值评估,一直是困扰行业发展的核心问题。
网络安全研究机构SANS发布的《2020年网络威胁情报现状调研报告》也指出,制约威胁情报应用的原因有很多,其中占到57%的首要因素,是缺乏专业的员工和能充分利用威胁情报的经验,此外,操作难度问题、自动化水平差等,也占了很大比例。
北京微步在线科技有限公司创始人、CEO薛锋表示,当前威胁情报已经成为国内各大安全厂商竞争的领域,良性竞争将有望持续推动该领域的长远发展——包括标准认定以及从业人员整体能力的提升,都会得到解决。而现阶段,与综合性安全厂商相比,专注威胁情报这一细分领域的安全企业所要把握的机会就是深耕核心技术。
在薛锋看来,其中一项核心技术就在于云端的大数据能力。在云重构企业IT架构的大环境下,网络安全产品突破原有技术框架,充分利用大数据、云计算、人工智能等新技术是必然趋势,因此基于云端的SECaaS(安全即服务)模式,将逐渐替代基于本地化部署的传统软件服务模式,成为新一代网络安全产品的标准需求。