威胁情报自出现以来,越来越多的政企机构开始利用威胁情报辅助安全战略决策,政府、高科技及能源、交通、银行、金融等行业都在广泛使用威胁情报。纵然国内威胁情报行业已经开始驶上高速路,但是从实际安全运营角度,传统威胁情报技术难以应对数字化转型中的威胁和挑战。
10月21日,360政企安全集团基于多年积累的高质量威胁情报及强大的威胁情报生产能力,利用关联分析、机器学习、行为分析等技术研发所打造的360 DNS威胁分析平台(简称:“360 DTA”)正式发布。产品提出高级威胁分析、自动化分析、多维度情报关联三大突破性的创新技术,真正助力国家、城市、行业与企事业单位在数字化转型过程中,构建“看见”高级、未知威胁的能力。
威胁情报技术的三重“困境”
大安全时代,一切安全的起点都是“看见”威胁,如果无法“看见”威胁就不会存在真正的安全。一直以来,攻防双方处于不对等的态势,威胁情报作为一种弥补攻防信息不对称的安全技术,逐渐得到了广泛的认识,更多政企机构也开始接受并购买威胁情报数据来建设来增强自身“看见”威胁的能力。
然而,威胁情报在实际安全运营中存在诸多问题,导致无法真正发挥价值。在实际调研中发现,目前检测产品对于威胁情报的利用有着三大明显的缺陷:
困境一:大量无用的“告警风暴“,难以聚焦真实恶意事件。无论是一些传统安全设备集成威胁情报还是专门的情报驱动的威胁检测产品,都只是简单地将IoC( Indicators of Compromise,失陷指标)视作黑名单,IoC命中就会产生告警,但很多情况下这并不能说明资产已经失陷。事实上要做到精准告警,IoC 命中仅能作为一个重要的指标,同时结合大量行为分析和其他情报数据综合判断。
困境二:告警内容单一,难以精准研判。因为缺少丰富的告警内容和高效的分析工具支持威胁分析,让用户既不明白报警的原因,也就不知道如何分析,导致情报无法有效运营。
困境三:缺少威胁情报生产能力,对高级、未知威胁“视而不见”。攻击者在内网环境中的驻留时间的攻防斗争是无止境的,攻击者会不断优化他们的攻击手段,以避开防御者的检测手段,实现内网环境中的渗透行为,因此,除了“消费”外部情报,还应该主动并反复的在组织环境内进行分析查找被入侵的痕迹,识别高级、未知威胁,使自身具备威胁情报的生产能力。
打造三大创新技术,重构威胁分析
360 DNS威胁分析平台,源自于360政企安全集团中一支专门针对威胁情报分析的研究团队——360Netlab (360 网络安全研究院) 。该团队自2014年成立以来,一直将大网安全分析作为核心研究方向,是最早在国内提出大数据驱动安全和威胁情报概念的团队,并将大数据技术、AI技术和威胁情报应用于大网安全研究工作中。
在360Netlab的研发理念中,产品不必做得“大而全”,只希望在DNS 威胁分析这一个点上做得足够深、足够精,真正能替用户发现安全问题,真正能解决其它产品解决不了问题。因此,360Netlab优化了传统安全产品没有很好解决的问题,并全新发布了360 DNS威胁分析平台,而其创新性主要体现在未知威胁检测、精准告警、高效威胁分析三个方面。
一、未知威胁检测,识别高级威胁
360 Netlab在DTA中创新性提出了一套完整的未知威胁识别算法,通过对大量DNS数据过滤、标注、存储等操作,从时间、频率、情报特征等方面对数据聚合,提取出恶意行为特征,如:心跳域名、可疑境外域名、NOD(Newly Observed Domain)域名、DNS隧道等高可疑域名,并对高可疑域名进行情报关联分析,识别真实的未知威胁。
二、自动化分析,实现精准告警
众所周知,大量的政府和企业组织每天被迫处理数以万计的事件,淹没于警报中而非专注于威胁本身,无力应对具有真实恶意行为的威胁。360Netlab网络安全研究院在过去7年分析了大量的真实恶意程序、网络攻击特点,提取他们的行为模式、流量特征,设计一套自动化分析流程,通过分析资产访问行为、资产特征、情报特征等多维度数据,从海量告警中识别具有真实恶意行为的告警,从实际效果来看,经过自动分析后的告警可以做到零误报。
三、多维度情报关联,实现精准研判
安全运营团队面临的告警内容单一问题是影响威胁分析和响应的关键问题,因此,基于360Netlab网络安全研究院自身在威胁研判方面的经验,将安全能力、经验产品化,从威胁研判方法出发,将威胁关联信息,如:攻击团伙、样本家族、Whois、证书、历史DNS记录、资产行为特征、情报行为特征等威胁信息在视觉上进行精心呈现,通过可视化关联图谱的方式不断进行扩展分析,同时融入工作流,提高威胁研判的效率。
作为数字经济的守护者,360政企安全集团在多年实战攻防中积累了海量安全大数据、威胁分析知识库、安全专家等核心优势,而这些优势正是打磨出差异化能力、情报驱动的威胁分析产品的基础。未来,加持360丰富的安全运维经验与不断扩充的威胁情报后,360 DTA将进一步推动威胁分析的高质量发展,让安全运营变得更加便捷、可靠,助力数字时代国家大安全发展。