威脅情報賦能｜安恆信息首家發布城市級安全態勢分析報告

更多全球網路安全資訊盡在E安全官網www.easyaq.com

隨著信息技術的發展，雲和大數據技術得到了廣泛應用，網路空間在我們的生活，乃至甚國計民生的發展中，扮演著越來越重要的角色。

沒有信息安全就沒有國家安全，網路空間安全面臨的威脅和挑戰與日俱增，如何通過有效的技術手段，提升網路空間安全，是當前整個安全產業面臨的嚴峻話題。

2018年12月2日，安恆風暴中心舉辦第一屆安恆信息威脅情報論壇，就「威脅情報賦能、信息安全智能」展開討論。

議題一

IT-DT-TI 我們何去何從

如今，誰掌握了威脅情報，誰就掌握了網路安全對抗的主導權。威脅情報在信息背景下應運而生，作為國內信息安全領軍企業的安恆，如何看待威脅情報呢？

安恆信息副總裁楊勃表示，目前安恆主要以機讀情報和戰略情報為主，真正為用戶提供數據和決策支撐，結合用戶場景，提升網路安防SaaS能力，從而進一步增強企業綜合實力，提升企業的品牌影響力和專項實戰能力。

威脅情報主要的價值在於：在戰略層提供決策信息，在戰術層提供可操作的建議；從時間維度看，基於歷史知識達到預判未來的效果。

這些特徵就如同戰場上的偵查部隊，獲取風險情報，判斷潛在威脅，為網路空間安全的攻擊預警、應急響應及發展態勢預測提供依據。

議題二

安全數據大腦 驅動智能安全

當前網路安全面臨了嚴重的信息不對稱以及被動防禦的瓶頸，制約了我們檢測防禦能力的提升。威脅情報的出現，讓我們擁有了「看見敵人」的能力，城市情報系統，安全風險監測，都依賴於威脅情報技術的應用。

那麼，如何依託威脅情報技術發現風險，如何更好的讓威脅情報技術在產品中落地？

安全數據大腦產品經理金麗慧在《安全數據大腦，驅動智能安全》中講到，安全數據大腦定位於IoC情報與城市級監管情報兩個核心應用場景。

IoC致力於提升現有安全檢測防禦產品如APT/WAF/Ailpha等，對流量與日誌中威脅的智能化分析，協助聚焦高威脅事件。

城市級情報應用在安全監管客戶項目中，提供對整個城市的資產摸底，失陷檢測與攻擊檢測。由此，安全數據大腦團隊首家發布城市級安全態勢分析報告。

從城市安全監管的三個維度切入：網路資產摸底，區域失陷資產與遭受攻擊情況，完整地分析展現城市內網路空間底數以及其問題，協助網路監管單位全面把控態勢，精準研判趨勢與工作方向。

系統報告中，對城市中的重要資產全面摸底探測跟蹤，分析提取其中的監管盲區與重要信息系統，以期協助網路監管單位掌握全面資產清單，消滅由於盲區引起的各類事件。

本次發布的城市報告，基於機器學習，分析發現城市中存在的失陷資產盲區。

在過去很長時間內，大量網路資產失陷，導致安全問題頻發，形成安全管理的被動應對局面。而對失陷資產的分析，能夠提前預警，有效阻止大型事件的發生，削減黑客掌控殭屍網路資產的勢力。

議題三

IoC情報和城市級情報的應用

威脅情報的應用，大幅度的提升了現有的安全檢測效率，從海量告警中，聚焦到真正的攻擊源。

威脅情報體現數據價值，安恆是如何建立自己的威脅情報系統，實現數據分析、威脅量化呢？

蔣海峰在《IoC情報和城市級情報的應用》講到，安全數據大腦團隊利用大數據分析和機器學習技術，對惡意IP降噪，提高惡意域名識別的準確率。

IoC威脅情報，除了在防火牆、DPI等設備中的碰撞應用以外，還具備威脅溯源能力。

如果在流量側發現了一個惡意IP，那如何判斷IP的歸屬性？使用什麼手段判斷？如何協助警方司法取證？這也就是溯源的必要性。

議題四

威脅情報在Ailpha大數據中

的應用、案例與展望

安全數據大腦團隊集合了安全研究院、安全服務、Ailpha大數據實驗室、風暴中心等多個部門，形成了基於情報研究、捕獲、分析與應用的完整情報體系，擁有可靠的海量情報數據。

Ailpha大數據實驗室的莫凡提到，大數據時代的威脅情報是伴隨著海量數據增長而出現的，信息安全管理中，我們要將數據轉化為有價值的情報，並輔助決策。

Ailpha大數據分析平台，為了增強對未知攻擊威脅的檢測識別與預警，目前已經全面融合安全數據大腦中的C2、黑產IP、掃描、代理、爬蟲、惡意主機等威脅情報。

每日動態更新最新情報庫，在用戶網路環境中，對採集的海量日誌與流量數據的情報碰撞分析，並採用關聯分析、橫向分析等模型，發現潛伏失陷與未知攻擊等問題，優化分析演算法，聚焦核心安全威脅，精準研判攻擊事件，溯源攻擊者所在的黑客組織團伙與攻擊意圖。

目前，Ailpha大數據實驗室結合安全數據大腦，成功協助公安廳、政務雲、醫院等多家機構，監測安全威脅，研判網路攻擊，實現風險追溯。

案例一

黑產挖礦 政務雲失陷

我們可以看到，威脅情報技術對信息安全技術的發展，起到了重大的推動作用。而近年來，隨著虛擬貨幣市場的熱度提升，越來越多的目光聚集到虛擬貨幣交易與虛擬貨幣價值上。

虛擬貨幣，從一開始充當地下交易的介質，到成為逃避追蹤的勒索病毒的錢包，利益之所向，黑產必跟隨。越來越多的黑灰產業，通過非法入侵，尋找肉雞挖礦。

本次威脅情報論壇中，謝辰承、溫延龍兩位，就某市政務雲中的失陷事件講到黑產挖礦的那些事兒，分享了威脅情報技術如何打擊黑產挖礦，實現案件溯源。

安全數據大腦通過威脅情報庫和某政府網路機房部署的DPI流量中，提取大量數據，分析了最近195,029,610條流量信息，通過聚類，從訪問日誌中提取訪問日誌信息。

通過與數據大腦威脅情報碰撞，最終確定了20個挖礦主機，並且通過溯源發現，其中有一部分是某政府網段的IP，發現6個殭屍，受控網路主機。

定位IP後溯源收集證據

案例二

重保期間的威脅情報應用

十一月的安恆，先後參與保障了中國國際進口博覽會、第五屆世界互聯網大會以及聯合國世界地理信息大會這三大國際型會議，成功完成了網路安保使命，保障網路安全空間零事故發生，獲得多方嘉獎與讚許。

本次論壇中，余洪英為我們講解了在這重大活動的網路安全保障中威脅情報的應用。

以第五屆世界互聯網大會為例，安全數據大腦實時為網路安保中心輸送威脅情報報告，監測資料庫遠程埠開放情況，對工控系統及重要單位實行風險監測預警。

安全數據大腦團隊，依靠威脅情報技術，對失陷主機、關鍵信息系統、遠程資料庫危險等進行情報收集、整理與分析，到高危攻擊源精準溯源，是世界互聯網大會的網路安保技術團隊的堅實後盾。

論壇成果

城市級安全態勢分析報告

大數據驅動安全創新，新安全助力數字中國。以信息為中心，以安全策略為核心，依據強大的安全分析團隊和安全情報共享機制，形成威脅情報，防範高級網路攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！