在演講中���,Jack首先解釋了威脅情報(bào)的定義�����,歷史需求�����,以及主要分類���。
他認(rèn)為���,威脅情報(bào)是一種收集到的信息��,應(yīng)該給你一種能力���,以快速甄別惡意行為,并且快速響應(yīng)���,這些信息包括但不限于網(wǎng)絡(luò)�、安全���、IT等方面���。在黑產(chǎn)的世界里,情報(bào)已經(jīng)被很成熟的使用�����,惡意軟件生產(chǎn)者�、加工者、使用者���、售賣者之間早已形成成熟的情報(bào)共享鏈條���,因此對于防御方來說��,構(gòu)建成熟有效的威脅情報(bào)體系與協(xié)同共享機(jī)制就變得尤為重要�����。
當(dāng)然,更重要的是�,在網(wǎng)絡(luò)犯罪全球化的今天,威脅情報(bào)也必須是全球化的�,才能擁有與攻擊者對抗的初階資本??上е挥袠O少數(shù)企業(yè)或組織擁有專門負(fù)責(zé)威脅情報(bào)的團(tuán)隊(duì)來處理來自開源Feeds或商業(yè)Feeds的全球情報(bào),并將其應(yīng)用到企業(yè)安全策略中�����。
據(jù)Jack介紹���,目前FortiGuard Lab擁有360 TB的威脅樣本�����,2億5000萬收錄的網(wǎng)站數(shù)據(jù)���,發(fā)現(xiàn)了334個(gè)零日漏洞�,并且每日還在快速增加����。
他認(rèn)為,威脅情報(bào)應(yīng)該秉持開放共享的精神�����,產(chǎn)業(yè)應(yīng)該協(xié)同整合��,共同抗擊黑色產(chǎn)業(yè)���。Fortinet正是這項(xiàng)事業(yè)的踐行者���,與業(yè)內(nèi)三家知名安全公司共同成立網(wǎng)絡(luò)威脅聯(lián)盟(Cyber Threat Alliance),并且與國際刑警���,歐盟�,香港����,澳洲等地的CERT機(jī)構(gòu)�����,以及微軟����、Adobe和Version等知名企業(yè)簽訂威脅情報(bào)戰(zhàn)略合作����,將16年歷史的FortiGuard Lab安全能力與全球威脅情報(bào)共享出來,每日與大家進(jìn)行溝通����,互補(bǔ)不足�����。
在演講中�,Jack用一個(gè)企業(yè)郵件攻擊分析的案例展示了FortiGuard威脅情報(bào)團(tuán)隊(duì)的能力,以及全球化威脅情報(bào)的價(jià)值�。
在對全球網(wǎng)絡(luò)的持續(xù)監(jiān)測中,F(xiàn)ortiGuard研究員發(fā)現(xiàn)在連續(xù)一段時(shí)間內(nèi)在全球多個(gè)國家都出現(xiàn)了相同或同家族的惡意軟件�����,而這些惡意軟件幾乎都是通過電子郵件來傳播的。通過對郵件和附件分析���,研究員發(fā)現(xiàn)這些惡意軟件具備鍵盤記錄��,日志記錄�,信息竊取�,CnC連接回傳等功能,而郵件內(nèi)容主題都和發(fā)票匯款相關(guān)�����。攻擊目標(biāo)均為企業(yè)用戶��,攻擊者并不構(gòu)造垃圾郵件或釣魚網(wǎng)站來誘使受害者付款�,而是持續(xù)監(jiān)聽財(cái)務(wù)部門的用戶電腦通信,在財(cái)務(wù)人員發(fā)送真實(shí)請求付款的郵件時(shí)進(jìn)行攔截���,并將其附件請款憑證中的收款賬號替換為攻擊組織的收款賬號����,以此實(shí)現(xiàn)攻擊目的�����。
在分析過程中,F(xiàn)ortiGuard研究員成功偽裝并反偵聽攻擊組織的通信郵件并描繪出攻擊組織的內(nèi)部架構(gòu)��,郵箱�����,常用IP��,位置等等�����,最終成功協(xié)助國際刑警偵破一起價(jià)值6000萬美金的企業(yè)郵件攻擊案件���。
在這個(gè)案例中���,充分展現(xiàn)了FortiGuard安全研究人員的攻防對抗能力����,以及在入侵事件、URL�、載荷、郵件方面的檢測和深度分析能力���。而真正重要的是IPS�、URL過濾、郵件安全���、惡意軟件分析�、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)等等全部維度的安全技術(shù)和數(shù)據(jù)均來自Fortinet FortiGuard Lab��,正因?yàn)檫@樣才能夠?qū)崿F(xiàn)多維度威脅信息的快速交叉關(guān)聯(lián)分析���,為用戶輸送有價(jià)值的可操作威脅情報(bào)�。
最后����,Jack總結(jié)道,網(wǎng)絡(luò)威脅不斷進(jìn)化�����,地下產(chǎn)業(yè)在協(xié)同方面已經(jīng)十分領(lǐng)先����,有一個(gè)好的威脅情報(bào)基礎(chǔ),可以在面對高級威脅的時(shí)候進(jìn)行有效的應(yīng)對�。有效地吸收外部威脅情報(bào)并與內(nèi)部日志相關(guān)聯(lián)����,可以讓自己擁有一個(gè)更廣闊的視角�,來審視安全態(tài)勢,感知對企業(yè)或組織的潛在影響����。
