也就是說,這是一個系列的免費開放,從360全球?qū)崟r掃描監(jiān)測系統(tǒng)到相關(guān)的數(shù)據(jù)����、能力。這一舉措�,360稱之為“威脅情報共享工程”。不同的是�,這一次,是企業(yè)級市場��。
360為何在此時宣布這一舉措��?這一次的免費開放,會帶來哪些影響���?要理解這一點�,我們必須對實時掃描監(jiān)測�、威脅情報等當(dāng)前的網(wǎng)絡(luò)安全相關(guān)問題有所了解,才能做出一定的判斷�。
實時掃描監(jiān)測是什么
在網(wǎng)絡(luò)安全產(chǎn)品中,有一種自動檢測本地或遠程主機安全弱點的程序�,能準(zhǔn)確發(fā)現(xiàn)掃描目標(biāo)存在的漏洞,這種掃描有善意掃描與惡意掃描之分�����。如果是惡意掃描�,則往往是發(fā)起網(wǎng)絡(luò)攻擊的前奏。
這種程序�,業(yè)界稱之為掃描器。其工作原理�,是通過掃描器向目標(biāo)計算機發(fā)送數(shù)據(jù)包,然后根據(jù)目標(biāo)反饋的信息來判斷對方的操作系統(tǒng)類型�����、開發(fā)端口��、提供的服務(wù)等敏感信息,據(jù)此發(fā)現(xiàn)存在的漏洞����。
當(dāng)然,如前所述��,掃描有善意與惡意之分����,具有雙重特性���。比如����,通過掃描能夠發(fā)現(xiàn)系統(tǒng)漏洞�,發(fā)現(xiàn)漏洞才能打補丁,有了補丁之后網(wǎng)絡(luò)才能強壯��,所以這是網(wǎng)絡(luò)安全必需的過程�����,這就是善意的����。
一方面�,每天平均任意時刻差不多有三萬個掃描器對全球網(wǎng)絡(luò)進行掃描�,如果放在一個月或者更長的時間來看,全球掃描器的數(shù)量應(yīng)該在幾十萬個����,每天對全球網(wǎng)絡(luò)執(zhí)行自動掃描。
另一方面�����,通過防火墻設(shè)置����,可以自動攔截特定IP的掃描動作(拒絕該IP),這樣就能獲知哪些IP在執(zhí)行掃描功能���,從而可以實現(xiàn)對該掃描器的跟蹤和定位�。這對于網(wǎng)絡(luò)安全公司來說非常重要�,因為這些是重要的安全情報,即威脅情報���。
據(jù)稱�����,此次免費開放的360全球網(wǎng)絡(luò)掃描實時監(jiān)測系統(tǒng)����,可以實時了解全網(wǎng)惡意掃描源,然后對這些惡意掃描源封堵處置�,降低系統(tǒng)被攻擊的概率。
APT泛濫�,威脅情報驅(qū)動的安全體系地位凸顯
多年來,高級持續(xù)性威脅(APT)已經(jīng)愈演愈烈�,成為安全界關(guān)注的主要方向之一。而由于其潛伏性���、持續(xù)性、攻擊特定目標(biāo)以及遠程操作���、高速演變等特性���,使得APT的防范也沒有定式,這給企業(yè)應(yīng)用帶來很大的困惑���。
APT防不勝防�,對企業(yè)來說,必須要提升相應(yīng)的檢測和應(yīng)急響應(yīng)能力��?�?墒?�,這個能力怎么來��?這就是需要部署威脅情報驅(qū)動的安全產(chǎn)品��。而這些產(chǎn)品的前提����,是要有對APT的感知、留存�����、分析���、響應(yīng)�����、共享的能力���。
從流程上看�,應(yīng)對APT���,必須要依靠行為檢測進行分析����,從而交付給用戶可執(zhí)行和操作的分析結(jié)果����。因此威脅情報未來在安全保護方面起到越來越重要的作用。但威脅情報卻不是單一的防守方能夠獲取和維護的�,所以現(xiàn)在出現(xiàn)了安全威脅情報市場,有專門的人士��、公司和組織建立一套安全威脅情報分析系統(tǒng)�,獲得這些情報���,并將這些情報賣給作為防守方的企業(yè)和組織��。
專家認為����,當(dāng)前威脅情報一般包括信譽情報(“壞”的IP地址、URL���、域名等����,比如C2服務(wù)器相關(guān)信息)��、攻擊情報(攻擊源��、攻擊工具���、利用的漏洞���、該采取的方式等)等。一般而言�����,CERT�、安全服務(wù)廠商、防病毒廠商����、政府機構(gòu)和安全組織發(fā)布的安全預(yù)警通告�����、漏洞通告����、威脅通告�,就屬于典型的安全威脅情報。
從威脅情報的種類看���,一般有四種����。第一種是商業(yè)威脅情報�;第二種是開源社區(qū)提供的安全威脅情報;第三種是協(xié)作類威脅情報���,比如美國和新西蘭���,還有澳洲����、美國����、英國之間協(xié)作性的情報���;第四種是內(nèi)部威脅情報���,也就是企業(yè)自身產(chǎn)生的威脅情報。
在演講中��,周鴻祎表示���,360公司已經(jīng)和多個合作伙伴共同建立了一套完整的協(xié)同防御體系�����,這是一個在威脅情報驅(qū)動下的預(yù)測����、檢測���、響應(yīng)�����、溯源一體化的安全協(xié)同防御體系����。
360要開放的,就是這個一體化的體系和方法���?�!拔覀円蚕M麑⑾嚓P(guān)情報和能力與同行分享�����,其他安全廠商的設(shè)備將來也可以協(xié)同使用360的威脅情報�����?����!敝茗櫟t說�。
顯然����,今天的網(wǎng)絡(luò)安全市場,威脅情報及相關(guān)的安全數(shù)據(jù)�����,是一個安全廠商的商業(yè)價值所在���,而360把他們公開了�����。
應(yīng)對網(wǎng)絡(luò)安全����,開放共享呼之欲出
7月26日����,美國總統(tǒng)奧巴馬發(fā)布了一個總統(tǒng)令:PPD-41,建立美國國家網(wǎng)絡(luò)攻擊指揮響應(yīng)鏈�����。這個總統(tǒng)令中最值得關(guān)注的是以附件的形式專門發(fā)布了《美國網(wǎng)絡(luò)事故協(xié)同方案》�����,制定了政府對網(wǎng)絡(luò)事件調(diào)查、預(yù)防和處置響應(yīng)的協(xié)同原則�����。明確了政府各部門在網(wǎng)絡(luò)安全事件響應(yīng)的分工和責(zé)任���,以及響應(yīng)流程��。
奧巴馬之所以發(fā)布這個總統(tǒng)令���,是因為在安全事件處置中需要提高處置的速度,任何一方單獨做都沒有辦法做到很高的效率�,任何一方占有的能力和情報都是比較片面的,只有大家一起協(xié)同起來才有可能做到更高的效率�。
從這個總統(tǒng)令可以看出美國對于政府在網(wǎng)絡(luò)安全中的定位和在網(wǎng)絡(luò)安全中扮演的重要角色,同時政府應(yīng)起到一個協(xié)調(diào)者的作用���,通過政府領(lǐng)導(dǎo)和指揮�����,協(xié)同企業(yè)等民間安全能力����,共同應(yīng)對網(wǎng)絡(luò)威脅。
周鴻祎表示��,今天����,國家對網(wǎng)絡(luò)安全很重視�,當(dāng)網(wǎng)絡(luò)遭遇境內(nèi)外有組織的攻擊時,應(yīng)該向美國學(xué)習(xí)���,政府不能只考慮政府部門的能力��,也應(yīng)該把民間的公司���、企業(yè)、安全企業(yè)�、科研院所甚至很多個人力量融合進來,才能更好地解決安全問題�,所以政府應(yīng)成為協(xié)同國家和民間安全力量的領(lǐng)導(dǎo)者。
這是一個網(wǎng)絡(luò)安全的政府協(xié)同的典型例子�。而實際上,在大量網(wǎng)絡(luò)安全事件中����,企業(yè)與企業(yè)的協(xié)同已經(jīng)更為凸顯���。在列舉孟加拉國央行安全事件以及美國UTRS聯(lián)盟之后,周鴻祎說:“我們可以看到企業(yè)間的協(xié)同對于安全的重要性��,這不僅指安全企業(yè)間的協(xié)同���,還有安全企業(yè)與客戶之間的協(xié)同�,以及企業(yè)客戶與企業(yè)客戶之間的協(xié)同合作�����?����!?/p>
過去����,從技術(shù)角度講安全,這是一種術(shù)�;但是,今天的安全不能單純的依靠技術(shù)�,他需要協(xié)同和合作����?����!斑@是一種道��?���!?/p>
對于協(xié)同合作�����,中國工程院院士��、中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓則表示:開放合作是全球網(wǎng)絡(luò)行業(yè)發(fā)展的重要方向之一�����。當(dāng)前網(wǎng)絡(luò)威脅越來越大����,從政府到企業(yè)都表現(xiàn)出了強烈的聯(lián)動和協(xié)同的意愿�����,單一的政府部門和企業(yè)如果不能進行數(shù)據(jù)的共享和情報的共享�,幾乎無法更好地解決現(xiàn)在的網(wǎng)絡(luò)安全問題���。
綜上所述�����,在網(wǎng)絡(luò)安全愈演愈烈的今天�,建立一個全方協(xié)同與合作的機制��,已成為安全界的共識�����。作為目前中國為數(shù)不多的有能力建立數(shù)據(jù)和威脅情報共享體系的企業(yè)��,360毅然推出“威脅情報共享工程”���,從360全球網(wǎng)絡(luò)掃描實時監(jiān)測系統(tǒng)的免費開放開始�����,陸續(xù)開放自己的數(shù)據(jù)和能力����,這是值得贊賞的。不過�����,“威脅情報共享工程”能否形成安全的洪荒之力�,恐怕還有待于安全界的齊心協(xié)力,但是�,它需要建立在一個完善合理和利益共享的商業(yè)規(guī)則基礎(chǔ)之上。
