2021年12月3日,中国信息通信研究所与北京微步在线科技有限公司联合研究编制了《2020年网络安全威胁信息研究报告(2021年)》。本报告内容丰富,分为威胁信息产业研究、2020年威胁研究、产业着陆研究和产业发展讨论四个方面。宏观和微观并举,既关注当前,也关注未来。这是一份详细而丰富的威胁信息产业研究报告。
作为《2020年网络安全威胁信息研究报告(2021年)》的联合研究编制者,微步在线希望读者不仅能从报告中获取所需信息,还能在阅读报告后全面了解和深入了解中国威胁信息产业。因此,微步在线提取了报告的七个关键点,旨在帮助读者快速掌握报告的关键内容,方便读者后续深入研究。
知识点1:快速理解威胁信息
网络安全威胁信息的英语是Threat Intelligence (TI),也就是说,威胁信息。威胁信息的研究对象是威胁,包括已知和即将到来的未知网络威胁。根据国内外相关研究,新通研究所和微步在线总结分析了网络安全威胁信息的核心内涵如下:
首先,网络安全威胁信息来源于对以往网络安全威胁的研究、归纳和总结,并作用于已知网络威胁或即将到来的未知网络威胁;
其次,网络安全威胁信息的价值是为受相关网络威胁影响的企业或对象提供可读或人读的战术和战略信息,并协助他们做出决策。因此,网络安全威胁信息需要包括背景、机制、指标等内容。
简而言之,网络安全威胁信息是为发现、理解和跟踪网络威胁而提取的信息数据。
网络安全保护中使用威胁信息的优点是什么?
根据信通院和微步在线的说法,PPDR网络安全防护的优势主要体现在以下几个方面:
(1)检测:网络安全威胁信息可以帮助用户调查相关资产、风险和攻击面,让用户快速了解网络目前的攻击情况。
(2)防御:采取主动防御措施,准确打击网络威胁。威胁信息提供的恶意IP地址、域名/网站、恶意软件hash等值失陷指标(Indicators of Compromise,IOC)可直接用于网络安全系统和设备的保护。
(3)响应:网络安全威胁信息有助于提供更完善的安全事件响应方案。
(4)预测:建立安全预警机制,不断收集新网络威胁的信息和数据,根据当前网络环境的薄弱环节有效预测可能的威胁,帮助企业更好地应对未知的威胁。
综上所述,使用网络安全威胁信息将有效提高报警准确性,减少无效报警数量,大大降低安全运营商的工作压力,重点关注真实威胁,提高工作效率,对政府部门、企业事业单位、社会组织等用户机构的网络安全建设和运营具有重要意义。
知识点3:威胁信息的价值体现在哪些方面?
经过多次研究,信通和微步在线认为,网络安全威胁信息主要应用于企业网络安全保护、公共安全保护、国家安全保护等领域,相应的应用价值主要体现在提高企业积极防御能力、帮助打击网络犯罪行为、保护国家网络空间安全三个方面。
首先,威胁信息可以提高企业对网络威胁的感知,使企业的安全保护从被动转向主动。
其次,威胁信息可以实现对网络犯罪的调查、分析和记录保留。网络犯罪的信息共享、预防和预警可以有效地打击网络犯罪,改善网络环境,帮助维护网络空间的公共安全。
最后,威胁信息可以帮助指导相关行业的网络安全保护,确保关键基础设施、核心数据和核心业务的连续性,保护国家安全。
2020年国内外网络威胁情况如何?
经过一整年的观察,信通院和微步在线观察到,2020年国内外网络安全形势比以往更加严峻。在PC勒索软件在2020年全年激增,造成严重危害。勒索软件开始利用基于暗网的云基础设施分批泄露数据,威胁勒索组织,迫使其尽快交付赎金;随着世界移动设备感染率的上升,IoT设备感染的可能性也大大增加;黑客供应链,VPN、对漏洞等常见攻击面的兴趣仍在继续,伪装开始出现Zoom、Slack此外,黑客和黑产组织仍在暗网上继续活动,并被监控利用暗网交易泄露数据和云基础设施;2020年曝光APT数百起攻击,40多个国家和地区遭受了不同程度的攻击APT攻击。
此外,2020年新冠肺炎疫情也对网络环境产生了一定的影响,尤其是在网络攻击方面。与新冠肺炎疫情相关的攻击数量大幅增加,攻击手段更加多样化。医疗行业受此影响很大。与移动办公相关的信息基础设施和远程通信工具是重灾区,与新冠肺炎疫情和冠状病毒相关的话题成为攻击者的诱饵。
知识点5:本报告威胁信息的关键着陆方向是什么?
根据我国具体国情和网络安全需求,国内威胁信息应用的实施有以下方向可供参考:
第一,结合测试技术。在安全产品研发阶段,将威胁信息与流量分析和终端检测技术相结合,作为基于网络安全威胁信息的检测响应产品部署在用户机构对应的网络环境中。
二是建立共享机制。建立本地威胁信息管理平台,建立网络威胁信息库和威胁信息共享机制,提高网络威胁挖掘、研发和应用能力。
三是联动安全设备。联动其他网络安全设备,如IDS/防火墙、日志大数据平台等,与现有处置知识库和工单系统建立闭环处置流程,提高用户机构网络安全的整体检测响应能力。
知识点6:本报告中威胁信息的关键着陆行业是什么?
威胁信息的着陆行业非常广泛,金融、互联网、智能制造、政府机构、房地产、医疗、教育等行业都有不同程度的覆盖范围。针对本报告面临的行业和需求,微步在线提供了工业和信息相关行业领先代表企业的着陆应用案例。最后,中国信息技术研究所选择了电子信息制造商、基础电信企业、网络视频平台和云计算服务提供商。
威胁信息或与防火墙、大数据平台有关,ELK日志系统等企业网络安全系统和设备有效联动,或授权威胁感知设备,发现内部威胁,检测外部威胁,识别资产风险,显示威胁信息振兴企业网络安全运行的良好效果,提高案例中企业整体网络安全水平。
如需了解所有案例,请查看本报告全文。
知识点7:政府和企业单位如何促进威胁信息的发展?
《网络安全法》、《数据安全法》、《关基条例》等法律法规进一步明确了网络安全对国家安全的重要性,突出了中国保护网络空间安全的决心。随着信息系统网络安全威胁信息能力的具体明确要求,威胁信息建设势在必行。中国信息技术学院认为,政府部门、企业事业单位、社会组织等机构作为威胁信息的最终用户,应加强安全主体责任感,完善安全自我评价体系,完善内部安全防御体系。
一是政策和市场的双重驱动。用户机构根据实际业务需求和主要安全威胁,根据国家政策法规、标准等相关要求,明确网络安全建设目标、关键内容和保障措施,结合网络安全威胁信息覆盖、准确性、可用性、可扩展性和专业性综合评价产品性能、政策合规和市场需求、规划设计网络安全防御系统建设方案。
二是严格规范威胁信息的选择标准。在选择网络安全威胁信息源时,坚持同等重视威胁信息的数量和质量,确保信息丰富全面,避免大量低信度信息淹没严重安全事件;通过网络威胁信息管理系统整合多源威胁信息,优化威胁信息的准确性和覆盖面。
三是整合安全体系,加快落地部署。加快威胁信息系统部署,充分利用现有安全能力,联动现有安全系统和设备,结合事件响应、自动化安排和威胁信息系统,将威胁信息能力融入现有安全架构,建设威胁信息检测系统、威胁信息库、威胁信息本地管理平台、威胁信息在线查询平台等系统,充分利用威胁信息改善安全运行,建立网络安全防御体系。
