文章图片
日前 , 在业内一场以“数字时代 , 安全从攻击面管理开始”为话题的安全峰会上 , 零零信安创始人王宇在聊到EASM(外部攻击面管理)未来发展路径时谈到 , 面对日益复杂的高级威胁 , 传统威胁情报已经不足以为企业提供基于全局的风险可见性 , 而EASM未来将成为扩展威胁情报的核心技术 , 为企业提供更高视野的威胁感知能力 。
他分享的这一前沿观点引起了我们的兴趣 , 在我们的认知中 , 威胁情报本身似乎就很难给出一个明晰的定义 。 小到一个IP、域名、URL大到一次APT攻击事件 , 似乎都是威胁情报体系中的一部分 。 那么为什么Gartner会提出XTI(扩展威胁情报)的概念?威胁情报为什么要扩展?又将向哪里扩展?与传统威胁情报有哪些差异?围绕这些疑惑 , 我们也顺势邀请王宇展开了进一步的分享 。
传统威胁情报CTI存在的哪些局限性?王宇指出 , 传统威胁情报CTI关注的范畴以僵尸、木马、蠕虫为主 , 也包括恶意URL , 恶意DNS、恶意邮箱等等这些信息 。 它的使用场景主要是拿情报和流量 , 以及抓取的一些访问数据做比对 , 去判断哪些属于入侵行为 。 因此 , 传统威胁情报主要面向的是事中和事后的安全分析 。
在数据采集层面上 , CTI更多的是被动地、反应式的收集信息 , 包括哪些网络属于僵尸网络 , 哪些主机属于僵尸主机 , 有什么样的木马程序 , 有什么样的蠕虫病毒等信息 , 哪些DNS服务器是有问题的等等 。
此外 , 对非公开网络数据收集分析方面也是传统CTI的短板 。 王宇谈到 , 暗网和深网的相关情报实际上也是威胁情报中很重要的一部分 。 由于底层的数据采集方式不同 , 传统CTI厂商往往不具备主动采集非公开网络中企业泄露的数据的能力 , 因此会造成传统CTI在风险预测数据方面的空白 。
“我们必须肯定CTI很有价值 , 但它的场景主要针对事中和事后 , 主要靠的是以它自身收集来的情报、企业的流量以及企业的访问数据做匹配得出来的结果——如谁在尝试攻击 , 以及攻击的情况如何的一个结论 。 相比之下 , XTI关注的并不是谁在攻击 , 而是攻击者有可能针对哪些风险点进行攻击 , 整个攻击发生之前 , 我们可能存在的风险是什么 。 ”
什么是XTI扩展威胁情报?要向哪里扩展?据悉 , Gartner在日前发布的一份威胁情报报告中提到了XTI的概念 , 并指出扩展威胁情报将安全思维从防御者思维重新调整到攻击者思维 , 以大大缩小安全团队与黑客之间的“不对称鸿沟” 。
在具体指标上 , Gartner认为XTI应该包括三项关键技术 , 分别是:外部攻击面管理(EASM)、数字风险保护(DRPS)和安全评级服务(SRS) 。
【东芝|EASM技术将弥补传统威胁情报在风险预测数据方面的空白】“扩展威胁情报实际上是以一种数据服务的形式提交给企业 , 比如可以给到企业的SIEM、SOAR、MDR等安全管理系统 , 也可以给到像NDR、VM等安全产品 , 去帮助企业提升自身的情报能力 , 为其综合的风险分析去做数据支撑” , 王宇谈到 。
在他看来 , 结合了外部攻击面管理(EASM)和数字风险保护(DRPS)的XTI扩展威胁情报弥补了CTI传统威胁情报的不足 , 其加强关注企业泄露在公开网络和非公开网络中数据 , 倾向事前的场景 , 比如企业暴露的IT资产、IP地址 , 泄露在外的代码、企业重要人员的信息等 。
“XTI要将所有黑客可能拿来做攻击的风险点纳入监测范围 , 作为情报来说 , XTI关注事前 , 而CTI关注的是事中和事后 , 这是相较传统威胁情报的主要区别 。 ”
相关经验推荐
- 盾构机|令美国忌惮的中国技术:不是北斗和盾构机,也不是5G,而是它
- 5G|超级时频折叠技术厉害在哪?看刘桂清、丁耘如何解读
- Mini LED|技术创新永不止步,Mini LED芯片已成为高端彩电标配之选
- 6g|如今6G技术研究现状如何?哪个国家更具优势?业内人士道出实情
- 夏普公司|国产自研技术飞速发展,京东方崛起,OPPO表现惊艳
- iPod|我说小米这技术行业最强,没人有意见吧?
- Google|ro反渗透膜净水器有害吗?
- 摩托罗拉|美国打击华为5G的技术手段破灭,首个Open RAN网络关闭
- OPPO|10分钟充满电动车技术已成熟,OPPO的充电速度飞快
- 英特尔|双WiFi技术降临PC,老机型也将有望从中获益