360首提IOC评估“19条” 以便为威胁情报市场建立一个新的标准
目前,随着数字世界的迅速扩张,世界已经进入了网络"大安全"的时代,传统的被动防御和单点防御已经无法应对新的攻击,而网络安全的新品种"威胁情报"凸显了关键的力量。
为了解决这一问题,360网络安全研究所(360 Netlab)最近提出了威胁情报国际奥委会评估的"19篇文章",它已经成为满足用户实际需要的第一个国际奥委会价值评估标准,在我国威胁情报市场上已经相当成熟。
在不久前举行的第八届互联网安全大会上,360届网络安全研究所的安全分析工程师张再峰在"威胁情报驱动的安全能力建设论坛"上首次介绍了国际奥委会对威胁情报的评估。
这套标准包括8项动态评估指标和11项静态评估指标。根据整个网络的DNS数据,DNS数据请求可达到每天1000亿个,用户覆盖率超过2000万,这打破了以往每家厂商仅根据公司的安全攻击和防御理解提出标准的做法。基于如此大规模的数据,国际奥委会的动态评估能够准确地反映真实网络环境中不同国际奥委会数据的实际性能,还可以覆盖绝大多数甲方用户的使用场景。
张再峰认为,在我国目前的威胁情报市场上,无论是生产威胁情报的乙方还是使用威胁情报的甲方,国际奥委会的评估仍处于数量争夺战的初级阶段。事实上,作为IoC的提供者,必须有足够的数据来说服用户自己提供的IoC已经足够好了。作为国际奥委会的用户,人们关心的不仅仅是数字?误报和少报怎么办?国际奥委会有多少活动?更新的频率是多少?添加了多少更新,删除了多少?检测能力是否足够多样化和有效?
作为一个非常基本的例子,A和B制造商提供了两个威胁情报,A有100万条记录,B有800000条记录,目前的市场状况基本上是A会做得更好的默认情况,但在实践中,也许A的100万条记录在实际大的总命中率不到1,000,其余不活跃和漏掉。从这个意义上说,仅仅看原始的IoC数据量并不是很有价值的,它不应该被用作评估威胁情报供应商的核心标准。"因此,张再峰认为,要解决这些问题,就必须根据广大网络用户的实际保护效果,建立一套全面、科学、实用的国际奥委会价值评估标准。
为了建立一套完善的国际奥委会评价标准,360 netlab是指现有的国际奥委会评估研究项目,不仅从国际奥委会本身所包含的内容进行评估,而且将国际奥委会纳入实际网络环境,利用团队掌握的数据库资源,利用实际网络流量来匹配国际奥委会数据,并观察国际奥委会的总体性能,在此基础上建立了国际奥委会评价的"动态与静态结合"的"19条"。
这套标准的成熟度很高,但要完全达到‘19’测试,仍然有一个较高的数据库门槛。"张再峰说,360 netlab是中国第一个提出和使用这套标准来完成国际奥委会科学评估的团队,因为它运行着中国最大的PassiveDNS数据库(https://passivedns.cn))。它的DNSMon系统是以DNS数据为基础,结合其他多维数据进行综合研究和分析,每天从海量DNS数据中产生100~1000个黑域名和高可疑域名。同时,它采用智能算法,每天生成50多种不同规模的DGA域名。在缺乏规则的情况下,DNSMon率先识别和拦截实际网络中各种大规模恶意程序使用的域名。
与此同时,360 netlab在大型僵尸网络的检测和跟踪方面一直处于领先水平。近年来,360 netlab推出并限制了一些有影响力的僵尸网络的披露,这引起了业界的关注。
据了解,360 netlab创建的国际奥委会评估"19"已全面向市场开放,并利用这一标准对四个公共信息源的完成情况进行了评估,评估结果也已公布。随后将继续更新。