當前,隨著數字世界急劇擴張,全球步入網路"大安全"時代,傳統被動防禦與單點防禦無力應對新型攻擊,而網安新物種"威脅情報"卻逆勢凸顯關鍵實力。
針對這一問題,近日, 360旗下360網路安全研究院(360netlab)提出威脅情報IOC評估"19條",成為我國威脅情報市場首個覆蓋使用者實際需求且成熟度較高的IOC價值評估標準。
在不久前召開的第八屆網際網路安全大會ISC 2020上,360網路安全研究院安全分析工程師張在峰在"威脅情報驅動的安全能力建設論壇"中發首次介紹了威脅情報IOC評估"19條"。
該套標準包括8項動態評估指標與11項靜態評估指標,基於全網範圍內的DNS資料對IOC資料集進行評估,其DNS資料請求量能達到1000億/天,使用者覆蓋量超過2000萬,打破了此前各家廠商僅根據本公司安全攻防理解提出標準的做法。"基於如此大規模的資料,IOC的動態評估跟能夠準確反映不同IOC資料在真實網路環境中的實際表現,也能夠涵蓋絕大多數甲方使用者的使用場景。"張在峰表示。
"沒有使用者資料庫支撐,缺乏對使用者實際需求的理解。"在張在峰看來,我國當前威脅情報市場內,無論是產生威脅情報的乙方還是使用威脅情報的甲方,對IOC的評價都還處在拼數量的原始階段。事實上,作為IOC的提供者,要有足夠的資料來說服使用者自己提供的IOC足夠好。作為IOC的使用者,關心的問題也不僅是數量是多少?誤報、漏報情況怎麼樣?還要關心IOC中有多少活躍?更新頻率怎麼樣?每次更新有多少是新增、多少淘汰?檢測能力是否足夠多樣和高效?
"舉個非常基本的例子,A和B廠家提供兩份威脅情報,A有100萬條記錄,B有80萬條記錄,目前的市場現狀基本上就是預設認為A會做得更好,但是在實際中,可能A的100萬條記錄在實際大網中總命中率不到一千條,剩下的全部都是不活躍無命中的。從這個意義上來看,僅僅看原始IOC資料量價值並不大,也不應該作為評價威脅情報廠商的核心標準。"因此,張在峰認為,要解決這些問題,就必須根據大網使用者的實際防護效果,建立一套全面、科學、能用實網檢驗的IOC價值評估標準。
為打造一套完善的IOC評估標準, 360netlab參考了國際上現有的IOC評估研究專案,不僅從IOC本身包含的內容來評測,還會把IOC放在實際網路環境當中,利用團隊所掌握的資料庫資源,用實際網路流量來匹配IOC資料,察看IOC的整體表現。以此建立了 "動靜結合"的IOC評估"19條"。
"這套標準的成熟度是很高的,但是要完全做到'19條'的測試,還是存在較高資料庫門檻。"張在峰表示,360netlab之所以能成為國內第一個提出並使用這套標準完成IOC科學評估的團隊,正是因為該團隊運營著當前國內公開最大的PassiveDNS資料庫(https://passivedns.cn);其DNSMon系統以DNS資料為基礎,結合其他多維度資料綜合研判分析,每天從海量的DNS資料中產出百~千級別的黑域名以及高可疑域名,同時利用智慧演算法每天產生50餘種,數萬規模的DGA域名。在無規則的情況下DNSMon在實網中率先識別並攔截了多種大規模的惡意程式使用的域名。
據瞭解,360netlab打造的IOC評估"19條"已經向市場全面公開,並已使用該標準評價完成4個公開情報源,評價結果也已公開。後續還將持續更新。