當前，隨著數字世界急劇擴張，全球步入網絡“大安全”時代，傳統被動防御與單點防御無力應對新型攻擊，而網安新物種“威脅情報”卻逆勢凸顯關鍵實力。有數據統計，2019年全球已形成52億8000萬美元的威脅情報市場。但與此同時，超高應用價值與可觀市場前景之下，威脅情報卻一直面臨著價值評估標準模糊不清的難題，尤其是對衡量威脅情報質量的關鍵要素——IOC（Indicators of Compromise）的價值評估，一直是困擾行業發展的核心問題。

針對這一問題，近日， 360旗下360網絡安全研究院（360netlab）提出威脅情報IOC評估“19條”，成為我國威脅情報市場首個覆蓋用戶實際需求且成熟度較高的IOC價值評估標準。

IOC評估老大難：“自嗨”式評估難代表用戶實際需求

在不久前召開的第八屆互聯網安全大會ISC 2020上，360網絡安全研究院安全分析工程師張在峰在“威脅情報驅動的安全能力建設論壇”中發首次介紹了威脅情報IOC評估“19條”。

該套標準包括8項動態評估指標與11項靜態評估指標，基于全網范圍內的DNS數據對IOC數據集進行評估，其DNS數據請求量能達到1000億/天，用戶覆蓋量超過2000萬，打破了此前各家廠商僅根據本公司安全攻防理解提出標準的做法。“基于如此大規模的數據，IOC的動態評估跟能夠準確反映不同IOC數據在真實網絡環境中的實際表現，也能夠涵蓋絕大多數甲方用戶的使用場景。”張在峰表示。

“沒有用戶數據庫支撐，缺乏對用戶實際需求的理解。”在張在峰看來，我國當前威脅情報市場內，無論是產生威脅情報的乙方還是使用威脅情報的甲方，對IOC的評價都還處在拼數量的原始階段。事實上，作為IOC的提供者，要有足夠的數據來說服用戶自己提供的IOC足夠好。作為IOC的使用者，關心的問題也不僅是數量是多少？誤報、漏報情況怎么樣？還要關心IOC中有多少活躍？更新頻率怎么樣？每次更新有多少是新增、多少淘汰？檢測能力是否足夠多樣和高效？

“舉個非常基本的例子，A和B廠家提供兩份威脅情報，A有100萬條記錄，B有80萬條記錄，目前的市場現狀基本上就是默認認為A會做得更好，但是在實際中，可能A的100萬條記錄在實際大網中總命中率不到一千條，剩下的全部都是不活躍無命中的。從這個意義上來看，僅僅看原始IOC數據量價值并不大，也不應該作為評價威脅情報廠商的核心標準。”因此，張在峰認為，要解決這些問題，就必須根據大網用戶的實際防護效果，建立一套全面、科學、能用實網檢驗的IOC價值評估標準。

IOC評估的360實踐：硬實力支撐高標準評估

為打造一套完善的IOC評估標準， 360netlab參考了國際上現有的IOC評估研究項目，例如比較典型的MLSECProject和波蘭CERT項目，但他們發現這些項目起步早，評估體系也涵蓋比較廣泛，卻都缺少對IOC在實際網絡當中的動態項目評估。因此，360netlab就不僅從IOC本身包含的內容來評測，還會把IOC放在實際網絡環境當中，利用團隊所掌握的獨一無二的數據庫資源，用實際網絡流量來匹配IOC數據，察看IOC的整體表現。以此建立了 “動靜結合”的IOC評估“19條”。

“這套標準的成熟度是很高的，但是要完全做到‘19條’的測試，還是存在較高數據庫門檻。”張在峰表示，360netlab之所以能成為國內第一個提出并使用這套標準完成IOC科學評估的團隊，正是因為該團隊運營著當前國內公開最大的PassiveDNS數據庫（https://passivedns.cn）；其DNSMon系統以DNS數據為基礎，結合其他多維度數據綜合研判分析，每天從海量的DNS數據中產出百～千級別的黑域名以及高可疑域名，同時利用智能算法每天產生50余種，數萬規模的DGA域名。在無規則的情況下DNSMon在實網中率先識別并攔截了多種大規模的惡意程序使用的域名。

同時， 360netlab在大規模僵尸網絡的檢測和跟蹤領域也一直處于全球領先的水準。近年來，360netlab首發并有限披露了多個有影響力的僵尸網絡，在業界引起了廣泛關注。例如360netlab發現的iot_reaper， 曾在2018年美國商務部和國土安全局提交給美國總統批閱的增強應對僵尸網絡的報告里被多次提及。2017年，360netlab更是本著網絡空間命運共同體的原則，協助美國破獲了2016年著名的Mirai攻擊案件，獲得了美國FBI的公開致謝，2018年又獲得美國司法部公開致謝，其在業內的權威性和領先性可見一斑。

據了解，360netlab打造的IOC評估“19條”已經向市場全面公開，并已使用該標準評價完成4個公開情報源，評價結果也已公開。后續還將持續更新。

責任編輯：gt