當(dāng)前，隨著數(shù)字世界急劇擴(kuò)張，全球步入網(wǎng)絡(luò)“大安全”時代，傳統(tǒng)被動防御與單點防御無力應(yīng)對新型攻擊，而網(wǎng)安新物種“威脅情報”卻逆勢凸顯關(guān)鍵實力。有數(shù)據(jù)統(tǒng)計，2019年全球已形成52億8000萬美元的威脅情報市場。但與此同時，超高應(yīng)用價值與可觀市場前景之下，威脅情報卻一直面臨著價值評估標(biāo)準(zhǔn)模糊不清的難題，尤其是對衡量威脅情報質(zhì)量的關(guān)鍵要素——IOC（Indicators of Compromise）的價值評估，一直是困擾行業(yè)發(fā)展的核心問題。

針對這一問題，近日， 360旗下360網(wǎng)絡(luò)安全研究院（360netlab）提出威脅情報IOC評估“19條”，成為我國威脅情報市場首個覆蓋用戶實際需求且成熟度較高的IOC價值評估標(biāo)準(zhǔn)。

IOC評估老大難：“自嗨”式評估難代表用戶實際需求

在不久前召開的第八屆互聯(lián)網(wǎng)安全大會ISC 2020上，360網(wǎng)絡(luò)安全研究院安全分析工程師張在峰在“威脅情報驅(qū)動的安全能力建設(shè)論壇”中發(fā)首次介紹了威脅情報IOC評估“19條”。

該套標(biāo)準(zhǔn)包括8項動態(tài)評估指標(biāo)與11項靜態(tài)評估指標(biāo)，基于全網(wǎng)范圍內(nèi)的DNS數(shù)據(jù)對IOC數(shù)據(jù)集進(jìn)行評估，其DNS數(shù)據(jù)請求量能達(dá)到1000億/天，用戶覆蓋量超過2000萬，打破了此前各家廠商僅根據(jù)本公司安全攻防理解提出標(biāo)準(zhǔn)的做法?！盎谌绱舜笠?guī)模的數(shù)據(jù)，IOC的動態(tài)評估跟能夠準(zhǔn)確反映不同IOC數(shù)據(jù)在真實網(wǎng)絡(luò)環(huán)境中的實際表現(xiàn)，也能夠涵蓋絕大多數(shù)甲方用戶的使用場景?！睆堅诜灞硎?。

“沒有用戶數(shù)據(jù)庫支撐，缺乏對用戶實際需求的理解?！痹趶堅诜蹇磥恚覈?dāng)前威脅情報市場內(nèi)，無論是產(chǎn)生威脅情報的乙方還是使用威脅情報的甲方，對IOC的評價都還處在拼數(shù)量的原始階段。事實上，作為IOC的提供者，要有足夠的數(shù)據(jù)來說服用戶自己提供的IOC足夠好。作為IOC的使用者，關(guān)心的問題也不僅是數(shù)量是多少？誤報、漏報情況怎么樣？還要關(guān)心IOC中有多少活躍？更新頻率怎么樣？每次更新有多少是新增、多少淘汰？檢測能力是否足夠多樣和高效？

“舉個非常基本的例子，A和B廠家提供兩份威脅情報，A有100萬條記錄，B有80萬條記錄，目前的市場現(xiàn)狀基本上就是默認(rèn)認(rèn)為A會做得更好，但是在實際中，可能A的100萬條記錄在實際大網(wǎng)中總命中率不到一千條，剩下的全部都是不活躍無命中的。從這個意義上來看，僅僅看原始IOC數(shù)據(jù)量價值并不大，也不應(yīng)該作為評價威脅情報廠商的核心標(biāo)準(zhǔn)?！币虼?，張在峰認(rèn)為，要解決這些問題，就必須根據(jù)大網(wǎng)用戶的實際防護(hù)效果，建立一套全面、科學(xué)、能用實網(wǎng)檢驗的IOC價值評估標(biāo)準(zhǔn)。

IOC評估的360實踐：硬實力支撐高標(biāo)準(zhǔn)評估

為打造一套完善的IOC評估標(biāo)準(zhǔn)， 360netlab參考了國際上現(xiàn)有的IOC評估研究項目，例如比較典型的MLSECProject和波蘭CERT項目，但他們發(fā)現(xiàn)這些項目起步早，評估體系也涵蓋比較廣泛，卻都缺少對IOC在實際網(wǎng)絡(luò)當(dāng)中的動態(tài)項目評估。因此，360netlab就不僅從IOC本身包含的內(nèi)容來評測，還會把IOC放在實際網(wǎng)絡(luò)環(huán)境當(dāng)中，利用團(tuán)隊所掌握的獨一無二的數(shù)據(jù)庫資源，用實際網(wǎng)絡(luò)流量來匹配IOC數(shù)據(jù)，察看IOC的整體表現(xiàn)。以此建立了 “動靜結(jié)合”的IOC評估“19條”。

“這套標(biāo)準(zhǔn)的成熟度是很高的，但是要完全做到‘19條’的測試，還是存在較高數(shù)據(jù)庫門檻?！睆堅诜灞硎?，360netlab之所以能成為國內(nèi)第一個提出并使用這套標(biāo)準(zhǔn)完成IOC科學(xué)評估的團(tuán)隊，正是因為該團(tuán)隊運營著當(dāng)前國內(nèi)公開最大的PassiveDNS數(shù)據(jù)庫（https://passivedns.cn）；其DNSMon系統(tǒng)以DNS數(shù)據(jù)為基礎(chǔ)，結(jié)合其他多維度數(shù)據(jù)綜合研判分析，每天從海量的DNS數(shù)據(jù)中產(chǎn)出百～千級別的黑域名以及高可疑域名，同時利用智能算法每天產(chǎn)生50余種，數(shù)萬規(guī)模的DGA域名。在無規(guī)則的情況下DNSMon在實網(wǎng)中率先識別并攔截了多種大規(guī)模的惡意程序使用的域名。

同時， 360netlab在大規(guī)模僵尸網(wǎng)絡(luò)的檢測和跟蹤領(lǐng)域也一直處于全球領(lǐng)先的水準(zhǔn)。近年來，360netlab首發(fā)并有限披露了多個有影響力的僵尸網(wǎng)絡(luò)，在業(yè)界引起了廣泛關(guān)注。例如360netlab發(fā)現(xiàn)的iot_reaper， 曾在2018年美國商務(wù)部和國土安全局提交給美國總統(tǒng)批閱的增強(qiáng)應(yīng)對僵尸網(wǎng)絡(luò)的報告里被多次提及。2017年，360netlab更是本著網(wǎng)絡(luò)空間命運共同體的原則，協(xié)助美國破獲了2016年著名的Mirai攻擊案件，獲得了美國FBI的公開致謝，2018年又獲得美國司法部公開致謝，其在業(yè)內(nèi)的權(quán)威性和領(lǐng)先性可見一斑。

據(jù)了解，360netlab打造的IOC評估“19條”已經(jīng)向市場全面公開，并已使用該標(biāo)準(zhǔn)評價完成4個公開情報源，評價結(jié)果也已公開。后續(xù)還將持續(xù)更新。

責(zé)任編輯：gt