威脅情報多場景下的實戰技術落地

威脅情報作為一種非常有效的檢測賦能技術,自2014年開始流行,經過了十年的發展,技術日趨成熟,應用場景日益豐富。6月6日北京網路安全大會威脅情報技術論壇在北京國家會議中心召開。數世諮詢合夥人劉宸宇作為本論壇主持人表示:據數世諮詢觀察,威脅情報近年來呈現數據化、要素化的趨勢,在AI大模型出現後,對於情報處置的泛化能力也越來越凸顯。作為整個安全生態中很重要的基礎要素,威脅情報在用戶網路安全體系中的基礎地位也越來越重要。

圖數世諮詢合夥人 劉宸宇

中國資訊安全測評中心梁智溢的主題演講圍繞“威脅情報情報的共用和協同”展開。他表示:目前APT網路活動呈現高級別和持續性、波及廣和影響大,以及單一視角的現狀,威脅狩獵是通過一塊拼圖看到事件全貌的過程,而威脅情報共用可以從及時性、準確性方面給企業提供更好的研判思路。安全行業應該盡可能地在一定範圍內開展情報共用和技術共用,協同驗證,共築網路安全防線。

圖中國資訊安全測評中心 梁智溢

“數據洩露是‘事後’安全,核心是‘監控’和‘處置’”。零零信安CEO王宇指出,大量的暗網玩家涌向了深網和明網,由於技術瓶頸變低,非法數據買賣越來越倡狂,但同時也為威脅情報提供了寶貴的來源。對於需要更高重視度的LOG數據洩露而言,除採用雙因素認證方式外,還可針對已知洩露的大量數據進行清洗,並作為威脅情報源,將可能涉及洩露的用戶關停,用戶再次登錄時必須重新認證。而對於影響內容和範圍巨大的非結構化數據,同時可採用AI技術使數據處理效率提高近百倍。

圖零零信安CEO 王宇

傳統的威脅情報狩獵存在覆蓋率低、部署難、滯後性、效率低等多種問題,部分APT組織還會針對網路安全設備漏洞進行攻擊。知道創宇APT威脅情報團隊負責人代皓表示:除基礎的測繪數據外,還可以通過定向測繪、主動測繪的手段,掌握多個資産與新IP域名的明確關聯資訊,可實現APT威脅狩獵的追蹤,做到高效率、低依賴獲取威脅情報,並在攻擊者進行攻擊之前掌握其資産。將威脅情報與網路空間測繪技術相結合,幫助用戶有效抵禦網路風險,提高資産管理、攻擊面發現,以及漏洞事件應急響應等能力。

圖知道創宇APT威脅情報團隊負責人 代皓

現代網路結構的變化,給傳統威脅檢測帶來了新的挑戰。北京派網軟體有限公司CEO孫朝暉聚焦于多分支網路的威脅情報前置檢測的實際問題和應用經驗,強調了在分佈式網路環境中,威脅情報是有效應對分支潛在安全問題的必需能力,並從技術實踐角度講解如何有效地部署和利用威脅情報來增強各分支節點的安全性。

圖北京派網軟體有限公司CEO 孫朝暉

奇安信威脅情報中心負責人汪列軍在會上介紹了AI技術在威脅檢測與分類、惡意代碼分析、情報收集處理、漏洞挖掘分析及資訊整合、應急響應等方面的能力,並介紹了AI技術在奇安信的威脅情報運營中的應用實踐。值得注意的是,大模型技術雖然可以極大提升安全分析和威脅情報的運營效率,但在實踐過程中,仍需要警惕存在依賴特定輸入和可能出現的誤導性輸出等風險問題,應該正確且有效的利用AI技術來增強而非替代人工分析,以實現更高效的網路安全防護。

圖奇安信威脅情報中心負責人 汪列軍

資訊技術飛速發展,網路環境日益複雜,網路威脅態勢也呈現出多樣化、複雜化的特點。勒索軟體、物聯網安全等問題層出不窮,人才儲備不足,企業成本受限等問題,給企業帶來了前所未有的挑戰。因此,加強網路威脅情報技術的研究與應用,在威脅情報應用及威脅發現中,集合多種類AI技術及應用,提升網路安全防護能力,已成為當前亟待解決的重要課題。