文章圖片
日前 , 在業內一場以“數字時代 , 安全從攻擊面管理開始”為話題的安全峰會上 , 零零信安創始人王宇在聊到EASM(外部攻擊面管理)未來發展路徑時談到 , 面對日益復雜的高級威脅 , 傳統威脅情報已經不足以為企業提供基于全局的風險可見性 , 而EASM未來將成為擴展威脅情報的核心技術 , 為企業提供更高視野的威脅感知能力 。
他分享的這一前沿觀點引起了我們的興趣 , 在我們的認知中 , 威脅情報本身似乎就很難給出一個明晰的定義 。 小到一個IP、域名、URL大到一次APT攻擊事件 , 似乎都是威脅情報體系中的一部分 。 那么為什么Gartner會提出XTI(擴展威脅情報)的概念?威脅情報為什么要擴展?又將向哪里擴展?與傳統威脅情報有哪些差異?圍繞這些疑惑 , 我們也順勢邀請王宇展開了進一步的分享 。
傳統威脅情報CTI存在的哪些局限性?王宇指出 , 傳統威脅情報CTI關注的范疇以僵尸、木馬、蠕蟲為主 , 也包括惡意URL , 惡意DNS、惡意郵箱等等這些信息 。 它的使用場景主要是拿情報和流量 , 以及抓取的一些訪問數據做比對 , 去判斷哪些屬于入侵行為 。 因此 , 傳統威脅情報主要面向的是事中和事后的安全分析 。
在數據采集層面上 , CTI更多的是被動地、反應式的收集信息 , 包括哪些網絡屬于僵尸網絡 , 哪些主機屬于僵尸主機 , 有什么樣的木馬程序 , 有什么樣的蠕蟲病毒等信息 , 哪些DNS服務器是有問題的等等 。
此外 , 對非公開網絡數據收集分析方面也是傳統CTI的短板 。 王宇談到 , 暗網和深網的相關情報實際上也是威脅情報中很重要的一部分 。 由于底層的數據采集方式不同 , 傳統CTI廠商往往不具備主動采集非公開網絡中企業泄露的數據的能力 , 因此會造成傳統CTI在風險預測數據方面的空白 。
“我們必須肯定CTI很有價值 , 但它的場景主要針對事中和事后 , 主要靠的是以它自身收集來的情報、企業的流量以及企業的訪問數據做匹配得出來的結果——如誰在嘗試攻擊 , 以及攻擊的情況如何的一個結論 。 相比之下 , XTI關注的并不是誰在攻擊 , 而是攻擊者有可能針對哪些風險點進行攻擊 , 整個攻擊發生之前 , 我們可能存在的風險是什么 。 ”
什么是XTI擴展威脅情報?要向哪里擴展?據悉 , Gartner在日前發布的一份威脅情報報告中提到了XTI的概念 , 并指出擴展威脅情報將安全思維從防御者思維重新調整到攻擊者思維 , 以大大縮小安全團隊與黑客之間的“不對稱鴻溝” 。
在具體指標上 , Gartner認為XTI應該包括三項關鍵技術 , 分別是:外部攻擊面管理(EASM)、數字風險保護(DRPS)和安全評級服務(SRS) 。
【東芝|EASM技術將彌補傳統威脅情報在風險預測數據方面的空白】“擴展威脅情報實際上是以一種數據服務的形式提交給企業 , 比如可以給到企業的SIEM、SOAR、MDR等安全管理系統 , 也可以給到像NDR、VM等安全產品 , 去幫助企業提升自身的情報能力 , 為其綜合的風險分析去做數據支撐” , 王宇談到 。
在他看來 , 結合了外部攻擊面管理(EASM)和數字風險保護(DRPS)的XTI擴展威脅情報彌補了CTI傳統威脅情報的不足 , 其加強關注企業泄露在公開網絡和非公開網絡中數據 , 傾向事前的場景 , 比如企業暴露的IT資產、IP地址 , 泄露在外的代碼、企業重要人員的信息等 。
“XTI要將所有黑客可能拿來做攻擊的風險點納入監測范圍 , 作為情報來說 , XTI關注事前 , 而CTI關注的是事中和事后 , 這是相較傳統威脅情報的主要區別 。 ”
相關經驗推薦
- 盾構機|令美國忌憚的中國技術:不是北斗和盾構機,也不是5G,而是它
- 5G|超級時頻折疊技術厲害在哪?看劉桂清、丁耘如何解讀
- Mini LED|技術創新永不止步,Mini LED芯片已成為高端彩電標配之選
- 6g|如今6G技術研究現狀如何?哪個國家更具優勢?業內人士道出實情
- 夏普公司|國產自研技術飛速發展,京東方崛起,OPPO表現驚艷
- iPod|我說小米這技術行業最強,沒人有意見吧?
- Google|ro反滲透膜凈水器有害嗎?
- 摩托羅拉|美國打擊華為5G的技術手段破滅,首個Open RAN網絡關閉
- OPPO|10分鐘充滿電動車技術已成熟,OPPO的充電速度飛快
- 英特爾|雙WiFi技術降臨PC,老機型也將有望從中獲益