WitAwards 2018「年度創新產品」參評巡禮 | 守護業務安全時代的威脅獵人解決方案

前言

2015 年國務院發布的《政府工作報告》指出，「制定『互聯網 +』行動計劃，推動移動互聯網、雲計算、大數據、物聯網等與現代製造業結合，促進電子商務、工業互聯網和互聯網金融健康發展，引導互聯網企業拓展國際市場」。 「互聯網 +」這種新生態能夠為用戶提供更加靈活、便利和高價值的服務。在這樣的時代背景下，國內各領域的廠商和組織機構等響應國家號召和用戶需求，蓬勃展開各種的「互聯網 +」業務，將互聯網平台與傳統產業的跨界融合，實現了傳統產業中產品、業務、模式的迭代更新，把互聯網和包括傳統行業在內的各行各業結合起來，各行各業都產生了新的生態和體系。

「互聯網 +」業務的一個重要特點就是通過互聯網平台，把線下生活最大限度的與線上場景結合到一起，打通物理物理世界和虛擬世界。企業和政府部門等組織機構業務應用場景和業務流程複雜度呈級數增長，業務安全風險也進一步加大。隨著業務平台數量和規模劇增，大量的用戶信息以及各種敏感數據容易成為不法分子的攻擊目標。

黑客通常利用Web系統漏洞、業務邏輯漏洞、主機操作系統或第三方軟體漏洞，進入業務系統管理後台，竊取或修改資料庫中的重要數據，導致網路安全事件不斷湧現，業務安全事件造成的公共影響面越來越大，比如8月我國最大的半導體製造公司台積電因勒索軟體攻擊，導致業務癱瘓數周；華住酒店集團旗下5億條用戶數據全部泄露，直到黑客在黑市售賣才得知；山東省多個城市的不動產登記中心遭到攻擊，整個不動產工作都無法正常進行。這些事件層出不窮，背後的攻擊形式多變，對網路安全的挑戰越來越嚴峻。我們的國家安全、政治安全、國防安全、關鍵技術設施安全、社會安全、金融安全、個人信息安全以至於人身安全均時刻受到有形和無形的威脅。

FreeBuf一直以來都非常關注業務安全領域的發展，本屆WitAward 2018組委會收到「年度創新產品」評選申請中，也有來自業務安全領域的新力量——威脅獵人。

一、威脅獵人

威脅獵人2017年才成立，還很年輕，不過到現在有一半的時間都聚焦於為國內的一線互聯網企業提供業務風險感知能力，吸引了全國TOP30互聯網企業中的23家成為威脅獵人的客戶。從人才和資本建設這兩方面看成長均較為迅速，今年年初前騰訊安全技術專家鄧欣加入威脅獵人擔任CTO，從戰略高度對技術進行規劃，打磨好現有的情報服務。近期，威脅獵人還獲得真格基金資本600萬元PreA＋輪融資，這是繼2018年5月威脅獵人獲得泰岳梧桐資本2500萬元Pre-A輪融資後的又一筆融資。本輪融資後，2018年威脅獵人的重點都會圍繞產品落地進行。

本次參選產品是威脅獵人針對企業和機構的業務情報監測解決方案——TH-Karma。威脅獵人以「威脅情報」作為抓手，以攻擊者為視角，依託開源情報、工具情報、閉源情報三大業務情報體系，及深層次的情報處理能力，幫助企業在業務環節精準篩選出惡意流量，還原業務風險場景，並量化對業務的影響，且持續對黑產進行實時監測，驅動風控決策引擎迭代，從而提升企業整體攻防效率。

傳統的網路安全保護主要採用攻擊行為感知、收集、分析、報告等流程。通過部署防火牆、入侵檢測系統等安全產品，配置相應的訪問控制策略和審計策略，監控網路安全狀態。雖然這種保護模式可以抵禦某些網路安全攻擊，但它仍然是亡羊補牢，具有一定的滯後性。在實際操作中，由於安全事故原因的誤判和緊急手段的失敗，最終導致系統受到攻擊的情況並不少見。

隨著高級持續威脅（APT）攻擊等新型攻擊手段的興起和複雜程度不斷提高，傳統防禦系統更加捉襟見肘。 在過去的APT攻擊事件中，所使用的攻擊行為有明顯的定製化特徵，並且在不同攻擊目標中復用的概率很小，這導致在縱向時間維度與橫向空間維度上均缺乏足夠多的同類攻擊行為樣本進行關聯分析。

與此同時，近年來攻擊工具和攻防手段的商業化和產業化為有組織的攻擊提供了豐富的「武器庫」。例如，美國「稜鏡門」事件顯示，在國家層面已經存在戰略級別的信息監控網路和情報竊取方式；伊朗核電站遭受「震網」病毒襲擊，證實存在國家支持的網路戰工具；英國Gamma和來自HackingTeam的大量敏感數據的泄漏讓高度定製化網路攻擊進入人們的視野。這些攻擊工具針對國家機密和商業機密，幾乎不可能從攻擊特徵庫中檢索到。因此，現有的安全保護概念、系統和解決方案無法有效處理有組織、有預謀的全面安全威脅。在這種背景下，威脅情報安全技術應運而生，並且廣受業界歡迎。

在快速迭代的時代背景下，要贏得一場場超時空的對抗，傳統的手段已經捉襟見肘，儘早全面掌握「安全威脅情報」是打贏這場仗的關鍵。

二、產品能力及服務

TH-Karma業務情報監測平台，能夠最大程度地滿足客戶在業務安全防護越來越複雜的大背景下的風控需求。為應對複雜的網路攻擊環境，Karma創新性的改變了傳統業務安全事後救火的防禦特性，利用威脅獵人多元化數據收集能力和智能化的情報處理能力，輸出業務安全威脅情報。能夠做到威脅提早發現、風控迅速響應、防禦高效率的全景式業務安全感知和威脅溯源系統。整體提升企業業務安全防禦與應急響應能力，為企業搭建一個主動的、動態的、深度的業務風險感知情報解決方案。

在技術層面與傳統網路安全保護體系相比，威脅情報以收集、交換、共享等方式檢測和挖掘攻擊行為，快速學習和識別檢測到的新漏洞、新風險和已知的非法行為，並部署預防措施。

在管理層面，威脅情報對情報重要性和價值的發掘可以幫助企業重構正確的信息安全管理理念和目標，提高企業的信息安全管理水平，從一個全新的角度著眼信息安全風險分析和信息安全建設，發揮主體作用，而不是單純依靠購買和部署大量設備，使信息安全建設投資更加合理。

先進的理念

解決業務安全問題，最核心的一點是要先明確「誰在什麼時間、用什麼方法，攻擊了哪些業務，從而產生怎樣的風險。」因此，業務風險感知能力在業務安全領域是一種剛性需求。業務安全底層其實是基於成本的攻防，在攻擊平面更多的情況下，企業也需要有相對應的手段來明確評估風險後合理投入資源並解決問題。無論是大客戶，還是中小客戶，業務安全的第一需求一定是感知能力上的需求。而對於中小客戶來說，因為對ROI的敏感度更高，所以感知能力就成為了這部分客戶在業務安全上的入口服務。

雖然國內外各種安全機構、安全廠商都投入了大量精力進行威脅情報的探索和研究，但威脅情報分析技術仍需在以下三方面進行完善和提升。

1、威脅情報共享路徑有限。

與傳統的網路安全技術相比，威脅情報本質上可以更好地實現信息資源的共享，但是由於威脅情報的多源和多樣特性，協議轉換和產品標準化的實施很困難。即使STIX/TAXII、IODEF/MILE和OpenIOC等已逐步推廣為威脅情報標準化和協議轉換的開放標準，但很多廠商和組織由於存在利益競爭，因而形成了各自為戰的「信息孤島」阻止了威脅情報信息和研究成果的共享。無法實時動態共享信息的網路安全防護方案難以適應「互聯網+」時代的發展特點，掌握網路安全威脅情報首先要建立動態安全防禦的理念， 在整個網路安全保障過程中，要不斷收集、分析、應用各種網路安全威脅情報，以時刻應對不斷出現的新的網路安全威脅。

2、情報源受限。

在實踐中，由於研究組織的資源和合作渠道有限，威脅情報的外部來源主要依賴於STIX/TAXII等標準指導下的共享信息。在信息大爆炸的時代，用於捕獲信息和掃描各種特定漏洞信息的傳統工具（如Web爬蟲）已無法滿足威脅情報嚴苛的準確性、即時性、真實性三大標準。對指定漏洞的大規模掃描只能反映特定安全漏洞在短時間內的威脅狀態，不能形成全面的安全威脅態勢感知，並不能達到預期的效果。

3、缺乏深入的分析。

威脅情報優於傳統網路安全方案的優勢在於更好的整合分析能力，重現網路攻擊並預測未來可能發生的事件。在實踐中，一些企業和廠商往往受制於IT技術企業背景的限制，更加關注技術而不是數據本身，側重於終端態勢感知和威脅情報分析產品的研發，針對後台威脅、智能分析機制的流程和效果都不夠重視。威脅情報的本質仍應是「情報」，而不是「收集」。金融公司關注交易系統的保護，而製造公司則更關心工業控制系統的安全性。不同客戶面臨的「威脅」並不相同，「智能」也是應用的焦點。只有深入了解客戶，結合客戶的業務特徵並從客戶的需求的出發設計的流程、演算法，收集的信息才能真正發揮其作用。

TH-Karma則秉持了「情報即服務」的理念，在運用中遵循了情報學理論，不完全拘泥於依靠安全產品等手段，採用多種方式，有組織、有計劃地開展安全情報搜集、過濾與分析工作來解決上述三個領域的問題。尤其是對於威脅情報的分析工作，部署自動化安全數據關聯過濾與專業安全情報分析相結合機制，將威脅情報分析提升到現狀分析與未來態勢預測並重的水準，充分體現威脅情報的真正價值。

兩大平台

1）公眾號預警平台：實時風險告警

通過公眾號預警平台向客戶及時推送有價值的黑產情報，直觀展示企業面臨的業務風險及未知風險，幫助客戶提前啟動監測。

註冊安全：

主要針對未註冊業務環節。常見風險類型：垃圾註冊、註冊養號等風險。

登錄安全：

主要針對登錄、找回密碼等已註冊業務環節。常見風險類型：拖庫撞庫、暴力破解、釣魚盜號等風險。

帳號安全：

主要針對登錄、註冊、找回密碼等業務環節。常見風險類型：拖庫撞庫、暴力破解、垃圾註冊、釣魚盜號等風險。

活動安全：

主要針對企業發起的拉新、營銷活動等業務環節，會引來羊毛黨的攻擊造成營銷費用的損失。常見風險類型：優惠獲取、搶購秒殺、紅包外掛等風險。

支付安全：

主要針對涉及資金交易等業務環節。常見風險類型：金融詐騙、資金盜用、洗錢套現等風險。

內容安全：

主要針對發帖、評論、私信等業務的UGC社區。黑產會對社區發布垃圾信息、不良言論、虛假內容，導致網站聲譽受損。常見風險類型：自動評論私信、黃賭毒內容、惡意差評或刪帖等風險。

介面安全：

主要針對網站功能介面、APP協議介面等新上線功能或數據傳輸的介面，是黑產對介面發起攻擊的重點目標，會造成介面批量調用影響正常用戶使用。常見風險類型：協議破解、請求偽造、數據爬蟲等風險。

流量反欺詐：

主要針對網站訪問、關鍵詞搜索和渠道推廣等流量，黑產會對訪問資源發起刷量攻擊，影響網站的搜索排名、推薦演算法甚至營銷費用結算等。常見風險類型：流量欺詐（閱讀播放量、電商權重、搜索SEO）

黑產情報告警：

實時監測暗網中正在傳播的黑產交流信息，如數據販賣、源碼泄露、業務漏洞等。

2）業務情報監測平台：風險場景還原

業務情報監測平台承載更深度的黑產情報數據分析，進一步對情報分類及風險級別定級，還原業務風險場景。

業務情報查詢介面：

支持手機號風險、IP風險、風險介面、輿情關鍵詞、黑產工具查詢，如及時了解攻擊源IP的基本信息及IP黑產畫像、手機號參與的相關黑產項目情報，用於安全事件回溯。

工具全景監控能力：

第一時間捕獲到網路中活躍的黑灰產工具，給工具做定性分析，如攻擊目標、工具類型，多維度還原黑產工具的迭代周期及活躍度，判斷其可能對業務產生的風險行為。

3）產品優勢

1）深入黑產，捕獲海量威脅情報

2）轉變視角，從攻擊方感知防控

3）攻擊流量，純黑流量免清洗分析

4）實時告警，實時海量數據全方位感知威脅

5）在線交付，無需部署和嵌入核心業務體系

創新點

1）以攻擊者為視角，依託開源情報、工具情報、閉源情報三大業務情報體系創新性的改變了傳統業務安全事後救火的防禦特性，利用威脅獵人多元化數據收集能力和智能化的情報處理能力，輸出業務情報。能夠做到威脅提早發現、風控迅速響應、防禦高效率的全景式業務安全感知和威脅溯源系統。

開源情報：第一時間捕獲黑產動態

威脅情報相比傳統網路安全防範技術的另一優勢是，能從收集到的情報中提取出有價值信息，為用戶決策提供依據。但在實際操作中，由於研究組織、廠商所掌握的大數據等資源及合作渠道有限，在當前網路信息量呈爆炸態勢增長的背景下，平台目前掌握上千量級別情報源，持續產生最新的開源情報信息，並通過自動化的數據分析模型形成有價值的黑產情報，在黑產發布情報的第一時間捕獲預警。

工具情報：還原黑產攻擊場景

黑灰產所用的攻擊工具包含了具體的攻擊邏輯、利用的業務缺陷以及相關黑產資源信息。工具情報幫助企業第一時間捕獲到業務流程中活躍的黑灰產工具，並分析其危害原理，還原黑灰產攻擊場景，在風險早期定位業務缺陷。

閉源情報：實時監測黑產攻擊流量

提供實時的黑產攻擊流量監控，還原黑產攻擊目標、攻擊頻率以及攻擊趨勢等，幫助企業在業務環節篩選出惡意流量。且TH-Karma平台部署的全球蜜罐節點日捕近幾十億次黑產實時攻擊流量，龐大的數據收集能力能全景的描繪出企業整體業務風險狀況。

2）情報處理能力：輸出可讀性高有價值的黑產情報

威脅獵人配備專門的安全專家團隊，將收集到的黑產情報利用機器學習、分類引擎、沙箱鑒定、靜態特徵提取等情報處理方法進行關聯聚類、可視化等分析處理，向企業輸送可讀性高、有價值的黑產情報，方便企業直觀了解黑產情報，幫助企業及時做出風控決策。

總結

從2014年開始，威脅情報和業務安全逐漸成為網路安全領域的熱點。目前，國外已初步形成相對完整的分工體系和產業鏈。在美國，威脅情報分析技術已得到廣泛認可，網路威脅與情報整合中心（CTIIC）的成立，網路天氣地圖（CyberWeatherMap）的構建，《網路安全情報分享法案》等一系列規定的出台，顯示出美國從國家層面和戰略高度對威脅情報分析和業務安全建設的重視。此外，各大廠商、專業組織和政府機構推出了相應服務和解決方案，國內一些技術領先的機構和廠商也積極投入到相關產品的研發和生態系統建設過程中。

我國的威脅情報和業務安全領域目前的基礎還比較薄弱，可以說才剛剛迎來加速發展的戰略機遇，需要從視野、實戰與合作三個維度實現產業體系的迭代升級和格局創新，這對網路安全行業而言是很好的機會，FreeBuf也非常願意通過平台力量為威脅情報&業務安全領域的企業和組織提供支持。

WitAwards 2018 頒獎盛典 |  FIT 2019 互聯網創新大會即將揭曉

WitAwards年度互聯網安全評選活動由國內信息安全新媒體領導者 FreeBuf.COM 主辦。評選周期歷時3個月，評委包括頂尖行業專家、行業媒體和安全從業者，頒獎盛典將在FreeBuf 互聯網安全創新大會（FIT 2019）舉辦。

WitAwards 2018「公眾投票」通道現已開啟「FIT 2019大會官網」。

WitAwards 2018互聯網安全年度評選，旨在發掘全年卓越的安全產品和傑出人物；給予在2018年為安全行業做出貢獻的個人、團隊及產品以掌聲和肯定。

歷時90天，近500項申報及提名，經WIT組委會嚴格審核，共預錄取110席入圍項目。FreeBuf現邀請每一位安全領域從業者、愛好者，共同選出安全領域Top Icon，一起見證年度安全盛譽的誕生，為數萬名從業者和數百款安全產品的努力與創新喝彩！

參考資料：

[1] 大數據與大規模網路安全感知：http://www.sec-un.org/large-scale-network-security-perceptions-and-big-data.html

[2] 今年最熱門的安全技術之——安全智能威脅交換(也叫安全情報交換)：http://www.sec-un.org/exchange-security-intelligence-threat-also-called-security-information-exchange.html

[3] Solution Primer Threat Intelligence：http://files.accuvant.com/web/file/d96f8c4996ee4571999bcf513126399c/Threat%20Intelligence_Solution%20Primer.pdf

[4] Gartner之2020年的信息安全(2):以"信息和人"為中心,監控和情報是關鍵：http://www.sec-un.org/gartners-information-security-2020-2-information-and-human-beingsas-the-center-monitored-and-information-is-key.html

[5] Gartner之信息安全2020年(1):防範將不再重要, 監控和情報是關鍵：http://www.sec-un.org/gartners-information-security-2020-1-prevention-is-no-longer-important-surveillance-and-intelligence-are-the-key.html

[6] Accuvant的Threat Intellgen&威脅情報白皮書分享及點評：http://www.sec-un.org/accuvant-threat-intellgence-white-papers-sharing-and-reviews.html

[7] 安全威脅情報有效使用的基礎：http://www.sec-un.org/security-threat-intelligence-and-effective-use-of-the-foundation.html

*

本文作者：Freddy，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！