當(dāng)前，隨著數(shù)字世界急劇擴(kuò)張，全球步入網(wǎng)絡(luò)“大安全”時(shí)代，傳統(tǒng)被動(dòng)防御與單點(diǎn)防御無(wú)力應(yīng)對(duì)新型攻擊，而網(wǎng)安新物種“威脅情報(bào)”卻逆勢(shì)凸顯關(guān)鍵實(shí)力。有數(shù)據(jù)統(tǒng)計(jì)，2019年全球已形成52億8000萬(wàn)美元的威脅情報(bào)市場(chǎng)。但與此同時(shí)，超高應(yīng)用價(jià)值與可觀市場(chǎng)前景之下，威脅情報(bào)卻一直面臨著價(jià)值評(píng)估標(biāo)準(zhǔn)模糊不清的難題，尤其是對(duì)衡量威脅情報(bào)質(zhì)量的關(guān)鍵要素——IOC（Indicators of Compromise）的價(jià)值評(píng)估，一直是困擾行業(yè)發(fā)展的核心問(wèn)題。

針對(duì)這一問(wèn)題，近日， 360旗下360網(wǎng)絡(luò)安全研究院（360netlab）提出威脅情報(bào)IOC評(píng)估“19條”，成為我國(guó)威脅情報(bào)市場(chǎng)首個(gè)覆蓋用戶實(shí)際需求且成熟度較高的IOC價(jià)值評(píng)估標(biāo)準(zhǔn)。

IOC評(píng)估老大難：“自嗨”式評(píng)估難代表用戶實(shí)際需求

在不久前召開的第八屆互聯(lián)網(wǎng)安全大會(huì)ISC 2020上，360網(wǎng)絡(luò)安全研究院安全分析工程師張?jiān)诜逶凇巴{情報(bào)驅(qū)動(dòng)的安全能力建設(shè)論壇”中發(fā)首次介紹了威脅情報(bào)IOC評(píng)估“19條”。

該套標(biāo)準(zhǔn)包括8項(xiàng)動(dòng)態(tài)評(píng)估指標(biāo)與11項(xiàng)靜態(tài)評(píng)估指標(biāo)，基于全網(wǎng)范圍內(nèi)的DNS數(shù)據(jù)對(duì)IOC數(shù)據(jù)集進(jìn)行評(píng)估，其DNS數(shù)據(jù)請(qǐng)求量能達(dá)到1000億/天，用戶覆蓋量超過(guò)2000萬(wàn)，打破了此前各家廠商僅根據(jù)本公司安全攻防理解提出標(biāo)準(zhǔn)的做法。“基于如此大規(guī)模的數(shù)據(jù)，IOC的動(dòng)態(tài)評(píng)估跟能夠準(zhǔn)確反映不同IOC數(shù)據(jù)在真實(shí)網(wǎng)絡(luò)環(huán)境中的實(shí)際表現(xiàn)，也能夠涵蓋絕大多數(shù)甲方用戶的使用場(chǎng)景?！睆?jiān)诜灞硎尽?/p>

“沒有用戶數(shù)據(jù)庫(kù)支撐，缺乏對(duì)用戶實(shí)際需求的理解。”在張?jiān)诜蹇磥?lái)，我國(guó)當(dāng)前威脅情報(bào)市場(chǎng)內(nèi)，無(wú)論是產(chǎn)生威脅情報(bào)的乙方還是使用威脅情報(bào)的甲方，對(duì)IOC的評(píng)價(jià)都還處在拼數(shù)量的原始階段。事實(shí)上，作為IOC的提供者，要有足夠的數(shù)據(jù)來(lái)說(shuō)服用戶自己提供的IOC足夠好。作為IOC的使用者，關(guān)心的問(wèn)題也不僅是數(shù)量是多少？誤報(bào)、漏報(bào)情況怎么樣？還要關(guān)心IOC中有多少活躍？更新頻率怎么樣？每次更新有多少是新增、多少淘汰？檢測(cè)能力是否足夠多樣和高效？

“舉個(gè)非常基本的例子，A和B廠家提供兩份威脅情報(bào)，A有100萬(wàn)條記錄，B有80萬(wàn)條記錄，目前的市場(chǎng)現(xiàn)狀基本上就是默認(rèn)認(rèn)為A會(huì)做得更好，但是在實(shí)際中，可能A的100萬(wàn)條記錄在實(shí)際大網(wǎng)中總命中率不到一千條，剩下的全部都是不活躍無(wú)命中的。從這個(gè)意義上來(lái)看，僅僅看原始IOC數(shù)據(jù)量?jī)r(jià)值并不大，也不應(yīng)該作為評(píng)價(jià)威脅情報(bào)廠商的核心標(biāo)準(zhǔn)?！币虼?，張?jiān)诜逭J(rèn)為，要解決這些問(wèn)題，就必須根據(jù)大網(wǎng)用戶的實(shí)際防護(hù)效果，建立一套全面、科學(xué)、能用實(shí)網(wǎng)檢驗(yàn)的IOC價(jià)值評(píng)估標(biāo)準(zhǔn)。

IOC評(píng)估的360實(shí)踐：硬實(shí)力支撐高標(biāo)準(zhǔn)評(píng)估

為打造一套完善的IOC評(píng)估標(biāo)準(zhǔn)， 360netlab參考了國(guó)際上現(xiàn)有的IOC評(píng)估研究項(xiàng)目，例如比較典型的MLSECProject和波蘭CERT項(xiàng)目，但他們發(fā)現(xiàn)這些項(xiàng)目起步早，評(píng)估體系也涵蓋比較廣泛，卻都缺少對(duì)IOC在實(shí)際網(wǎng)絡(luò)當(dāng)中的動(dòng)態(tài)項(xiàng)目評(píng)估。因此，360netlab就不僅從IOC本身包含的內(nèi)容來(lái)評(píng)測(cè)，還會(huì)把IOC放在實(shí)際網(wǎng)絡(luò)環(huán)境當(dāng)中，利用團(tuán)隊(duì)所掌握的獨(dú)一無(wú)二的數(shù)據(jù)庫(kù)資源，用實(shí)際網(wǎng)絡(luò)流量來(lái)匹配IOC數(shù)據(jù)，察看IOC的整體表現(xiàn)。以此建立了 “動(dòng)靜結(jié)合”的IOC評(píng)估“19條”。

“這套標(biāo)準(zhǔn)的成熟度是很高的，但是要完全做到‘19條’的測(cè)試，還是存在較高數(shù)據(jù)庫(kù)門檻。”張?jiān)诜灞硎荆?60netlab之所以能成為國(guó)內(nèi)第一個(gè)提出并使用這套標(biāo)準(zhǔn)完成IOC科學(xué)評(píng)估的團(tuán)隊(duì)，正是因?yàn)樵搱F(tuán)隊(duì)運(yùn)營(yíng)著當(dāng)前國(guó)內(nèi)公開最大的PassiveDNS數(shù)據(jù)庫(kù)（https://passivedns.cn）；其DNSMon系統(tǒng)以DNS數(shù)據(jù)為基礎(chǔ)，結(jié)合其他多維度數(shù)據(jù)綜合研判分析，每天從海量的DNS數(shù)據(jù)中產(chǎn)出百～千級(jí)別的黑域名以及高可疑域名，同時(shí)利用智能算法每天產(chǎn)生50余種，數(shù)萬(wàn)規(guī)模的DGA域名。在無(wú)規(guī)則的情況下DNSMon在實(shí)網(wǎng)中率先識(shí)別并攔截了多種大規(guī)模的惡意程序使用的域名。

同時(shí)， 360netlab在大規(guī)模僵尸網(wǎng)絡(luò)的檢測(cè)和跟蹤領(lǐng)域也一直處于全球領(lǐng)先的水準(zhǔn)。近年來(lái)，360netlab首發(fā)并有限披露了多個(gè)有影響力的僵尸網(wǎng)絡(luò)，在業(yè)界引起了廣泛關(guān)注。例如360netlab發(fā)現(xiàn)的iot_reaper， 曾在2018年美國(guó)商務(wù)部和國(guó)土安全局提交給美國(guó)總統(tǒng)批閱的增強(qiáng)應(yīng)對(duì)僵尸網(wǎng)絡(luò)的報(bào)告里被多次提及。2017年，360netlab更是本著網(wǎng)絡(luò)空間命運(yùn)共同體的原則，協(xié)助美國(guó)破獲了2016年著名的Mirai攻擊案件，獲得了美國(guó)FBI的公開致謝，2018年又獲得美國(guó)司法部公開致謝，其在業(yè)內(nèi)的權(quán)威性和領(lǐng)先性可見一斑。

據(jù)了解，360netlab打造的IOC評(píng)估“19條”已經(jīng)向市場(chǎng)全面公開，并已使用該標(biāo)準(zhǔn)評(píng)價(jià)完成4個(gè)公開情報(bào)源，評(píng)價(jià)結(jié)果也已公開。后續(xù)還將持續(xù)更新。

責(zé)任編輯：gt