7月25日,2019网络安全分析与情报大会在北京举办,作为中国威胁情报领域规模最大的的行业盛会,大会吸引了来自政府机关、金融、互联网、安全等各个领域的一线安全专家,分享企业信息安全和威胁分析研究成果和落地实战案例。金山云安全负责人孟伟受邀出席,发表了《情报的协同应用及情报使用的创新方法》的主题演讲。
金山云安全负责人孟伟在大会上发表演讲
在演讲中,孟伟表示,云环境下,用户业务形态愈发多样化,造成攻击的形式也更加多元化,传统的规则匹配、统计分析及机器学习的方式已经越来越难适应新时期业务需要,金山云通过将威胁情报能力集成到现有的安全产品(高防、WAF、主机安全、威胁感知等)中,与现有的检测防御机制协同工作,消除误报,从而尽可能降低漏报、减少安全的运营成本,为用户提供更加高效、精确的安全防护。
情报协同来高效保障云平台安全
随着信息技术的高速发展,业务上云已经成为产业发展的必然趋势,与此同时,业务威胁、网络攻击和数据泄露等安全事件,对企业安全能力提出了更加严峻的挑战。高效利用多维度情报信息,构建更加稳固的安全能力,成为新时期安全能力的提升方向。在利用情报保障云平台安全的产业实践上,孟伟分别从入侵检测、风控、DDoS防护三个维度进行介绍。
在利用情报进行入侵检测方面,“传统的入侵检测方式是将收集到的数据经过规则匹配、统计分析,甚至是机器学习的方式来检测是否被入侵, 这种方式策略太严格漏报会增多,策略宽松误报会很多,”孟伟讲到,“金山云通过将经检测后的数据,再进行一次情报查询,能够大幅提升报警准确率,同时可以联动资产系统自动给资产负责人告警。”
在利用情报进行风控方面,面对一些利用云计算资源进行灰黑产等行为,通过将风控系统与Passport进行联动,Passport将用户注册信息的如源IP、用户名统一进行威胁识别后返回风险级别,根据不同的风险级别来做不同的举措,从而实现风控效率的最大化。
在利用情报做针对CDN节点的DDoS防护方面,传统的做法是采用二分法的方式,需要多次调度,效率较低;通过结合情报信息,分析7层请求日志,对来源IP用情报判断,优先调度、二分法调度同时进行,极大地降低了调度次数,提升业务敏捷性。
综合情报信息构建立体化云安全体系
云安全作为一套复杂的系统,威胁情报在其中提供了一项非常有价值的判断维度,让之前需要投入大量资源或者无法有效解决的场景,实现在轻资源投入的情况下达成业务目标。在保障业务安全上,金山云通过将情报集成到WAF、云主机等产品中,为云上用户输出安全能力,提前发现合规风险。
在WAF方面,面向恶意网络攻击,金山云通过将WAF联动情报API,对来源IP进行风险判断,依据风险大小来直接阻断来源IP或者限制对某个具体URL的访问,根据客户运营反馈的误杀率调节阻断的风险值,多次调节后,实现服务恢复正常并且误杀率处于可接受范围。
在主机安全方面,通过将netstat的远端地址用情报库来判断是否为远控地址,讲变更文件的hash值采集上来利用情报判断是否正常文件被替换成了恶意文件等措施,大幅降低了误报率,提高了报警的准确率。
此外,面向日益严峻的合规性问题,妥善利用情报,能够尽早发现合规风险。对于发垃圾邮件被封、爬虫业务被封、接入未备案域名被封等风险问题,通过将情报作为重要维度来识别云上用户的业务是否合法合规,提前预防,保障云上资源的纯净性。
“威胁情报只是给我们提供了一个判断的维度,怎么在复杂的场景中将情报利用起来,通过技术分析对业务风险进行识别,让情报成为我们做出决策的依据,这才是最终目的,”孟伟讲到,“通过综合运用情报资源,将业务场景与情报进行有机结合,让情报为业务所用,可以实现事半功倍的效果。”
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。