當(dāng)前，隨著數(shù)字世界急劇擴(kuò)張，全球步入網(wǎng)絡(luò)“大安全”時(shí)代，傳統(tǒng)被動(dòng)防御與單點(diǎn)防御無力應(yīng)對新型攻擊，而網(wǎng)安新物種“威脅情報(bào)”卻逆勢凸顯關(guān)鍵實(shí)力。有數(shù)據(jù)統(tǒng)計(jì)，2019年全球已形成52億8000萬美元的威脅情報(bào)市場。但與此同時(shí)，超高應(yīng)用價(jià)值與可觀市場前景之下，威脅情報(bào)卻一直面臨著價(jià)值評(píng)估標(biāo)準(zhǔn)模糊不清的難題，尤其是對衡量威脅情報(bào)質(zhì)量的關(guān)鍵要素——IOC（Indicators of Compromise）的價(jià)值評(píng)估，一直是困擾行業(yè)發(fā)展的核心問題。

針對這一問題，近日， 360旗下360網(wǎng)絡(luò)安全研究院（360netlab）提出威脅情報(bào)IOC評(píng)估“19條”，成為我國威脅情報(bào)市場首個(gè)覆蓋用戶實(shí)際需求且成熟度較高的IOC價(jià)值評(píng)估標(biāo)準(zhǔn)。

IOC評(píng)估老大難：“自嗨”式評(píng)估難代表用戶實(shí)際需求

在不久前召開的第八屆互聯(lián)網(wǎng)安全大會(huì)ISC 2020上，360網(wǎng)絡(luò)安全研究院安全分析工程師張?jiān)诜逶凇巴{情報(bào)驅(qū)動(dòng)的安全能力建設(shè)論壇”中發(fā)首次介紹了威脅情報(bào)IOC評(píng)估“19條”。

該套標(biāo)準(zhǔn)包括8項(xiàng)動(dòng)態(tài)評(píng)估指標(biāo)與11項(xiàng)靜態(tài)評(píng)估指標(biāo)，基于全網(wǎng)范圍內(nèi)的DNS數(shù)據(jù)對IOC數(shù)據(jù)集進(jìn)行評(píng)估，其DNS數(shù)據(jù)請求量能達(dá)到1000億/天，用戶覆蓋量超過2000萬，打破了此前各家廠商僅根據(jù)本公司安全攻防理解提出標(biāo)準(zhǔn)的做法?！盎谌绱舜笠?guī)模的數(shù)據(jù)，IOC的動(dòng)態(tài)評(píng)估跟能夠準(zhǔn)確反映不同IOC數(shù)據(jù)在真實(shí)網(wǎng)絡(luò)環(huán)境中的實(shí)際表現(xiàn)，也能夠涵蓋絕大多數(shù)甲方用戶的使用場景?！睆?jiān)诜灞硎尽?/p>

“沒有用戶數(shù)據(jù)庫支撐，缺乏對用戶實(shí)際需求的理解?！痹趶?jiān)诜蹇磥?，我國?dāng)前威脅情報(bào)市場內(nèi)，無論是產(chǎn)生威脅情報(bào)的乙方還是使用威脅情報(bào)的甲方，對IOC的評(píng)價(jià)都還處在拼數(shù)量的原始階段。事實(shí)上，作為IOC的提供者，要有足夠的數(shù)據(jù)來說服用戶自己提供的IOC足夠好。作為IOC的使用者，關(guān)心的問題也不僅是數(shù)量是多少？誤報(bào)、漏報(bào)情況怎么樣？還要關(guān)心IOC中有多少活躍？更新頻率怎么樣？每次更新有多少是新增、多少淘汰？檢測能力是否足夠多樣和高效？

“舉個(gè)非常基本的例子，A和B廠家提供兩份威脅情報(bào)，A有100萬條記錄，B有80萬條記錄，目前的市場現(xiàn)狀基本上就是默認(rèn)認(rèn)為A會(huì)做得更好，但是在實(shí)際中，可能A的100萬條記錄在實(shí)際大網(wǎng)中總命中率不到一千條，剩下的全部都是不活躍無命中的。從這個(gè)意義上來看，僅僅看原始IOC數(shù)據(jù)量價(jià)值并不大，也不應(yīng)該作為評(píng)價(jià)威脅情報(bào)廠商的核心標(biāo)準(zhǔn)。”因此，張?jiān)诜逭J(rèn)為，要解決這些問題，就必須根據(jù)大網(wǎng)用戶的實(shí)際防護(hù)效果，建立一套全面、科學(xué)、能用實(shí)網(wǎng)檢驗(yàn)的IOC價(jià)值評(píng)估標(biāo)準(zhǔn)。

IOC評(píng)估的360實(shí)踐：硬實(shí)力支撐高標(biāo)準(zhǔn)評(píng)估

為打造一套完善的IOC評(píng)估標(biāo)準(zhǔn)， 360netlab參考了國際上現(xiàn)有的IOC評(píng)估研究項(xiàng)目，例如比較典型的MLSECProject和波蘭CERT項(xiàng)目，但他們發(fā)現(xiàn)這些項(xiàng)目起步早，評(píng)估體系也涵蓋比較廣泛，卻都缺少對IOC在實(shí)際網(wǎng)絡(luò)當(dāng)中的動(dòng)態(tài)項(xiàng)目評(píng)估。因此，360netlab就不僅從IOC本身包含的內(nèi)容來評(píng)測，還會(huì)把IOC放在實(shí)際網(wǎng)絡(luò)環(huán)境當(dāng)中，利用團(tuán)隊(duì)所掌握的獨(dú)一無二的數(shù)據(jù)庫資源，用實(shí)際網(wǎng)絡(luò)流量來匹配IOC數(shù)據(jù)，察看IOC的整體表現(xiàn)。以此建立了 “動(dòng)靜結(jié)合”的IOC評(píng)估“19條”。

“這套標(biāo)準(zhǔn)的成熟度是很高的，但是要完全做到‘19條’的測試，還是存在較高數(shù)據(jù)庫門檻。”張?jiān)诜灞硎荆?60netlab之所以能成為國內(nèi)第一個(gè)提出并使用這套標(biāo)準(zhǔn)完成IOC科學(xué)評(píng)估的團(tuán)隊(duì)，正是因?yàn)樵搱F(tuán)隊(duì)運(yùn)營著當(dāng)前國內(nèi)公開最大的PassiveDNS數(shù)據(jù)庫（https://passivedns.cn）；其DNSMon系統(tǒng)以DNS數(shù)據(jù)為基礎(chǔ)，結(jié)合其他多維度數(shù)據(jù)綜合研判分析，每天從海量的DNS數(shù)據(jù)中產(chǎn)出百～千級(jí)別的黑域名以及高可疑域名，同時(shí)利用智能算法每天產(chǎn)生50余種，數(shù)萬規(guī)模的DGA域名。在無規(guī)則的情況下DNSMon在實(shí)網(wǎng)中率先識(shí)別并攔截了多種大規(guī)模的惡意程序使用的域名。

同時(shí)， 360netlab在大規(guī)模僵尸網(wǎng)絡(luò)的檢測和跟蹤領(lǐng)域也一直處于全球領(lǐng)先的水準(zhǔn)。近年來，360netlab首發(fā)并有限披露了多個(gè)有影響力的僵尸網(wǎng)絡(luò)，在業(yè)界引起了廣泛關(guān)注。例如360netlab發(fā)現(xiàn)的iot_reaper， 曾在2018年美國商務(wù)部和國土安全局提交給美國總統(tǒng)批閱的增強(qiáng)應(yīng)對僵尸網(wǎng)絡(luò)的報(bào)告里被多次提及。2017年，360netlab更是本著網(wǎng)絡(luò)空間命運(yùn)共同體的原則，協(xié)助美國破獲了2016年著名的Mirai攻擊案件，獲得了美國FBI的公開致謝，2018年又獲得美國司法部公開致謝，其在業(yè)內(nèi)的權(quán)威性和領(lǐng)先性可見一斑。

據(jù)了解，360netlab打造的IOC評(píng)估“19條”已經(jīng)向市場全面公開，并已使用該標(biāo)準(zhǔn)評(píng)價(jià)完成4個(gè)公開情報(bào)源，評(píng)價(jià)結(jié)果也已公開。后續(xù)還將持續(xù)更新。

責(zé)任編輯：gt