國家標準新聞發(fā)布會(huì )在市場(chǎng)監管總局馬甸辦公區新聞發(fā)布廳召開(kāi)，網(wǎng)絡(luò )安全等級保護制度2.0標準正式發(fā)布，實(shí)施時(shí)間為2019年12月1日�！缎畔�安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求》中，首次提出了對“威脅情報檢測系統”和“威脅情報庫”的要求。我們將分別從產(chǎn)品功能和技術(shù)要求的角度，介紹等保2.0中的威脅情報檢測系統。

威脅情報檢測系統是一類(lèi)網(wǎng)絡(luò )安全基礎設施，對網(wǎng)絡(luò )流量和終端進(jìn)行實(shí)時(shí)監控、分析，應用威脅情報，機器學(xué)習，沙箱等多種檢測方法，發(fā)現隱藏在海量流量和終端日志中的可疑活動(dòng)與安全威脅，幫助企業(yè)安全團隊精準檢測失陷(被控)主機 ，追溯攻擊鏈，定位當前攻擊階段 ，防止攻擊者進(jìn)一步破壞系統或竊取數據。

威脅情報檢測系統已被證實(shí)在日常安全運維和重�；顒�(dòng) 中發(fā)揮了關(guān)鍵作用。

從系統架構上講，威脅情報檢測系統與傳統的基于規則的檢測系統相比，有很大變革，至少需要具備如下八個(gè)模塊：

一、全流量的日志、文件提取與報警pcap存儲：對網(wǎng)絡(luò )全流量進(jìn)行協(xié)議還原，提取網(wǎng)絡(luò )流量日志與流量中的文件，對所有報警和可疑網(wǎng)絡(luò )行為保存pcap以供后續分析，并提供可視化能力對機器的網(wǎng)絡(luò )行為進(jìn)行深度分析；

二、威脅情報檢測模塊：分鐘級別同步最新的專(zhuān)業(yè)威脅情報數據，并用于實(shí)時(shí)流量檢測，情報包不只包含基礎的失陷指標IOC，還應包含黑客團伙情報信息；

三、機器學(xué)習模型檢測模塊：應用各類(lèi)機器學(xué)習算法對傳統統計規則、威脅情報無(wú)法發(fā)現的網(wǎng)絡(luò )威脅進(jìn)行檢測，如數據竊取行為、隧道通信行為、DGA域名等；

四、惡意文件檢測引擎模塊：對流量中提取的文件應用本地的文件檢測引擎，進(jìn)行高效率的惡意文件識別；

五、沙箱檢測模塊：對本地可疑文件，應用本地或者云端沙箱技術(shù)進(jìn)行判定；

六、內網(wǎng)橫向移動(dòng)檢測模塊：支持接入內網(wǎng)流量發(fā)現內部橫向移動(dòng)行為；

七、自定義情報檢測模塊：支持提供自定義情報功能，并應用于實(shí)時(shí)流量檢測；

八、攻擊鏈回溯分析模塊：對所有發(fā)現的各類(lèi)威脅告警可以按照攻擊鏈進(jìn)行關(guān)聯(lián)，完整回溯攻擊過(guò)程。

從功能角度講，威脅情報檢測系統需要具有如下特點(diǎn)：

一、快速檢測威脅，精準定位被控主機。

傳統邊界防護設備在防御常見(jiàn)威脅上起到了重要作用，但不能防范所有的攻擊行為，組織處于失陷狀態(tài)已經(jīng)成為企業(yè)安全管理人員的常識。而威脅情報檢測系統的首要作用，就是基于威脅情報，補足傳統邊界防護設備在防御上缺失的環(huán)節， 在關(guān)鍵的“命令與控制”、“橫向移動(dòng)”和“行動(dòng)數據竊取”等環(huán)節中發(fā)揮作用，快速檢測出正在進(jìn)行的威脅，并結合流量和終端監控，迅速、精準定位被控主機。

二、追蹤攻擊鏈全過(guò)程，及時(shí)發(fā)現竊取數據與破壞系統行為。

威脅情報檢測系統的核心能力是應用多種檢測機制在出站的網(wǎng)絡(luò )流量中發(fā)現訪(fǎng)問(wèn)遠控服務(wù)器。檢測機制包括應用遠控類(lèi)型的情報指標（IOC，Indicator of Compromise）、木馬協(xié)議分析特征分析、惡意樣本檢測引擎、沙箱動(dòng)態(tài)行為識別、基于深度學(xué)習算法的DGA檢測和DNS隧道檢測方法等多種方法。利用以上檢測方法，不僅定位內部機器被控情況，也能夠全階段追蹤網(wǎng)絡(luò )威脅，及時(shí)發(fā)現網(wǎng)絡(luò )內部的暴力猜解、橫向移動(dòng)、外連C&C等惡意行為，并檢測出數據竊取、破壞系統和業(yè)務(wù)連續性、挖礦、劫持肉雞等惡意行為。

(桔色部分為威脅情報檢測系統能力覆蓋范圍)

三、提供豐富的報警上下文，清晰展現內網(wǎng)關(guān)聯(lián)威脅和黑客信息，指導安全分析團隊快速分析和響應

威脅情報檢測系統能夠清晰地歸類(lèi)威脅事件，并根據威脅情報提供豐富的威脅事件上下文信息，從而以攻擊鏈的角度繪制出主機的行為地圖，并通過(guò)可視化的方式將發(fā)現的失陷告警、關(guān)聯(lián)主機、威脅類(lèi)型、黑客組織等進(jìn)行關(guān)聯(lián)展示，呈現當前組織內的所有失陷情況及關(guān)聯(lián)威脅。

那么，威脅情報系統要怎樣挑選，才能讓企業(yè)在合規路上不走彎路？

首先，要注重威脅情報的質(zhì)量。 威脅情報檢測系統的關(guān)鍵在于引入威脅情報，對于威脅情報質(zhì)量的評判，全球權威信息化咨詢(xún)研究機構Gartner提出了覆蓋度、可執行力、專(zhuān)業(yè)性、準確度、可擴展性五個(gè)維度。尤其是準確度，是威脅情報質(zhì)量中最重要的因素。因此，在評判威脅情報系統之前，要先評判系統的威脅情報來(lái)源，盡量選擇在威脅情報領(lǐng)域專(zhuān)業(yè)度高、產(chǎn)品被廣泛部署的廠(chǎng)商。

其次，做好POC測試驗證。 威脅情報檢測系統歸根結底是一項網(wǎng)絡(luò )安全基礎設施，一個(gè)合理且完備的測試驗證流程應該包括數據集收集、測試、驗證三個(gè)階段。

數據集收集是企業(yè)需要收集和整理待測試用的數據集，找到合適的流量鏡像點(diǎn)，提供給各個(gè)威脅情報檢測系統廠(chǎng)商開(kāi)展測試。數據收集階段企業(yè)應該根據自身安全需求來(lái)確定最終測試的網(wǎng)絡(luò )區域，盡可能接近最終應用情報檢測系統的網(wǎng)絡(luò )區域。測試階段需盡應用真實(shí)的網(wǎng)絡(luò )流量，盡可能讓競測的廠(chǎng)商使用同一份網(wǎng)絡(luò )流量橫向對比測試結果。在驗證階段，需要對發(fā)現的報警進(jìn)行及時(shí)的分析、取證以驗證準確性。驗證過(guò)程不僅包括取證確認報警確實(shí)存在，也需要對比各廠(chǎng)商產(chǎn)品提供的事件信息，豐富的上下文是后續使用系統并保證良好陰影效果的基礎，最終通過(guò)各家的檢出率、誤報率、上下文豐富程度等幾個(gè)維度的評估結果，來(lái)確定最終的威脅情報檢測系統供應商。

此外，選擇一個(gè)具有豐富威脅情報檢測系統落地案例的廠(chǎng)商，也是保證系統落地成功的重要因素 。

企業(yè)應當重視威脅情報，不僅僅因為等保2.0測評要求提出了新標準，更是因為威脅情報的重要性在全球化網(wǎng)絡(luò )環(huán)境中正在越來(lái)越清晰地體現出來(lái)，“知己知彼，百戰不殆”，此次等保2.0測評對于威脅情報的要求，正體現了國家對于建設網(wǎng)絡(luò )安全環(huán)境的重視，像威脅情報這樣的新技術(shù)在網(wǎng)絡(luò )安全行業(yè)中的應用和普及已經(jīng)成為必需，把握好威脅情報，對企業(yè)網(wǎng)絡(luò )安全、社會(huì )網(wǎng)絡(luò )安全和國家網(wǎng)絡(luò )安全都有著(zhù)重要意義。