当前,随着数字世界急剧扩张,全球步入网络"大安全"时代,传统被动防御与单点防御无力应对新型攻击,而网安新物种"威胁情报"却逆势凸显关键实力。
针对这一问题,近日, 360旗下360网络安全研究院(360netlab)提出威胁情报IOC评估"19条",成为我国威胁情报市场首个覆盖用户实际需求且成熟度较高的IOC价值评估标准。
在不久前召开的第八届互联网安全大会ISC 2020上,360网络安全研究院安全分析工程师张在峰在"威胁情报驱动的安全能力建设论坛"中发首次介绍了威胁情报IOC评估"19条"。
该套标准包括8项动态评估指标与11项静态评估指标,基于全网范围内的DNS数据对IOC数据集进行评估,其DNS数据请求量能达到1000亿/天,用户覆盖量超过2000万,打破了此前各家厂商仅根据本公司安全攻防理解提出标准的做法。"基于如此大规模的数据,IOC的动态评估跟能够准确反映不同IOC数据在真实网络环境中的实际表现,也能够涵盖绝大多数甲方用户的使用场景。"张在峰表示。
"没有用户数据库支撑,缺乏对用户实际需求的理解。"在张在峰看来,我国当前威胁情报市场内,无论是产生威胁情报的乙方还是使用威胁情报的甲方,对IOC的评价都还处在拼数量的原始阶段。事实上,作为IOC的提供者,要有足够的数据来说服用户自己提供的IOC足够好。作为IOC的使用者,关心的问题也不仅是数量是多少?误报、漏报情况怎么样?还要关心IOC中有多少活跃?更新频率怎么样?每次更新有多少是新增、多少淘汰?检测能力是否足够多样和高效?
"举个非常基本的例子,A和B厂家提供两份威胁情报,A有100万条记录,B有80万条记录,目前的市场现状基本上就是默认认为A会做得更好,但是在实际中,可能A的100万条记录在实际大网中总命中率不到一千条,剩下的全部都是不活跃无命中的。从这个意义上来看,仅仅看原始IOC数据量价值并不大,也不应该作为评价威胁情报厂商的核心标准。"因此,张在峰认为,要解决这些问题,就必须根据大网用户的实际防护效果,建立一套全面、科学、能用实网检验的IOC价值评估标准。
为打造一套完善的IOC评估标准, 360netlab参考了国际上现有的IOC评估研究项目,不仅从IOC本身包含的内容来评测,还会把IOC放在实际网络环境当中,利用团队所掌握的数据库资源,用实际网络流量来匹配IOC数据,察看IOC的整体表现。以此建立了 "动静结合"的IOC评估"19条"。
"这套标准的成熟度是很高的,但是要完全做到'19条'的测试,还是存在较高数据库门槛。"张在峰表示,360netlab之所以能成为国内第一个提出并使用这套标准完成IOC科学评估的团队,正是因为该团队运营着当前国内公开最大的PassiveDNS数据库(https://passivedns.cn);其DNSMon系统以DNS数据为基础,结合其他多维度数据综合研判分析,每天从海量的DNS数据中产出百~千级别的黑域名以及高可疑域名,同时利用智能算法每天产生50余种,数万规模的DGA域名。在无规则的情况下DNSMon在实网中率先识别并拦截了多种大规模的恶意程序使用的域名。
据了解,360netlab打造的IOC评估"19条"已经向市场全面公开,并已使用该标准评价完成4个公开情报源,评价结果也已公开。后续还将持续更新。