在演講中,Jack首先解釋了威脅情報的定義���,歷史需求���,以及主要分類�����。
他認為�,威脅情報是一種收集到的信息����,應該給你一種能力���,以快速甄別惡意行為,并且快速響應��,這些信息包括但不限于網(wǎng)絡�����、安全�、IT等方面。在黑產(chǎn)的世界里���,情報已經(jīng)被很成熟的使用����,惡意軟件生產(chǎn)者�、加工者、使用者�、售賣者之間早已形成成熟的情報共享鏈條,因此對于防御方來說���,構建成熟有效的威脅情報體系與協(xié)同共享機制就變得尤為重要�。
當然��,更重要的是,在網(wǎng)絡犯罪全球化的今天��,威脅情報也必須是全球化的��,才能擁有與攻擊者對抗的初階資本���?����?上е挥袠O少數(shù)企業(yè)或組織擁有專門負責威脅情報的團隊來處理來自開源Feeds或商業(yè)Feeds的全球情報,并將其應用到企業(yè)安全策略中��。
據(jù)Jack介紹��,目前FortiGuard Lab擁有360 TB的威脅樣本�,2億5000萬收錄的網(wǎng)站數(shù)據(jù),發(fā)現(xiàn)了334個零日漏洞�����,并且每日還在快速增加�。
他認為,威脅情報應該秉持開放共享的精神��,產(chǎn)業(yè)應該協(xié)同整合,共同抗擊黑色產(chǎn)業(yè)����。Fortinet正是這項事業(yè)的踐行者,與業(yè)內(nèi)三家知名安全公司共同成立網(wǎng)絡威脅聯(lián)盟(Cyber Threat Alliance)�����,并且與國際刑警���,歐盟����,香港����,澳洲等地的CERT機構,以及微軟���、Adobe和Version等知名企業(yè)簽訂威脅情報戰(zhàn)略合作�,將16年歷史的FortiGuard Lab安全能力與全球威脅情報共享出來�����,每日與大家進行溝通,互補不足���。
在演講中�����,Jack用一個企業(yè)郵件攻擊分析的案例展示了FortiGuard威脅情報團隊的能力�,以及全球化威脅情報的價值�。
在對全球網(wǎng)絡的持續(xù)監(jiān)測中,F(xiàn)ortiGuard研究員發(fā)現(xiàn)在連續(xù)一段時間內(nèi)在全球多個國家都出現(xiàn)了相同或同家族的惡意軟件��,而這些惡意軟件幾乎都是通過電子郵件來傳播的�����。通過對郵件和附件分析��,研究員發(fā)現(xiàn)這些惡意軟件具備鍵盤記錄���,日志記錄,信息竊取��,CnC連接回傳等功能��,而郵件內(nèi)容主題都和發(fā)票匯款相關。攻擊目標均為企業(yè)用戶�,攻擊者并不構造垃圾郵件或釣魚網(wǎng)站來誘使受害者付款,而是持續(xù)監(jiān)聽財務部門的用戶電腦通信��,在財務人員發(fā)送真實請求付款的郵件時進行攔截��,并將其附件請款憑證中的收款賬號替換為攻擊組織的收款賬號����,以此實現(xiàn)攻擊目的。
在分析過程中��,F(xiàn)ortiGuard研究員成功偽裝并反偵聽攻擊組織的通信郵件并描繪出攻擊組織的內(nèi)部架構���,郵箱���,常用IP,位置等等���,最終成功協(xié)助國際刑警偵破一起價值6000萬美金的企業(yè)郵件攻擊案件����。
在這個案例中,充分展現(xiàn)了FortiGuard安全研究人員的攻防對抗能力�,以及在入侵事件、URL��、載荷���、郵件方面的檢測和深度分析能力���。而真正重要的是IPS、URL過濾�����、郵件安全�����、惡意軟件分析��、僵尸網(wǎng)絡發(fā)現(xiàn)等等全部維度的安全技術和數(shù)據(jù)均來自Fortinet FortiGuard Lab�����,正因為這樣才能夠?qū)崿F(xiàn)多維度威脅信息的快速交叉關聯(lián)分析����,為用戶輸送有價值的可操作威脅情報。
最后��,Jack總結道�,網(wǎng)絡威脅不斷進化,地下產(chǎn)業(yè)在協(xié)同方面已經(jīng)十分領先���,有一個好的威脅情報基礎�����,可以在面對高級威脅的時候進行有效的應對����。有效地吸收外部威脅情報并與內(nèi)部日志相關聯(lián)��,可以讓自己擁有一個更廣闊的視角���,來審視安全態(tài)勢�����,感知對企業(yè)或組織的潛在影響����。
