威胁情报与大数据分析技术在金融业如何应用？

威胁情报大数据金融业

360企业安全 | 2016-06-17 09:45

【数据猿导读】互联网上每天都在发生多种安全事件，应对的方式不尽相同。面对APT事件的不断涌现，传统安全防护技术已然失效，须依靠多维安全模型建模及大数据分析技术来有效应对。通过大数据挖掘技术提炼出”威胁情报”信息，我们便可了解：谁对我们进行攻击、什么时候发起攻击、产生了什么样的后果，...

伴随移动互联网、云计算、大数据等技术的蓬勃发展，不觉间我们已来到“万物互联、万物皆数”的崭新时代。新的发展总是伴随新的挑战，而应对新挑战又会衍生出新的技术手段。中国悠悠历史几千年，如是运行。

APT(AdvancedPersistent Threat)攻击，也称高级持续性攻击，具有高度隐蔽性、长期潜伏性等特征，已成为当今网络攻击中最具杀伤力的”核武器”。其攻击手法多利用未知漏洞(0day)、未知恶意代码等技术，通过鱼叉或水坑攻击方式，配以社会工程学手段进行渗透，向特定目标人群进行传播，以窃取目标领域的机密资料。

互联网上每天都在发生多种安全事件，应对的方式不尽相同。面对APT事件的不断涌现，传统安全防护技术已然失效，须依靠多维安全模型建模及大数据分析技术来有效应对。通过大数据挖掘技术提炼出”威胁情报”信息，我们便可了解：谁对我们进行攻击、什么时候发起攻击、产生了什么样的后果，以及该攻击对业界产生的影响。

威胁情报和大数据分析技术

威胁情报在2015年度RSA大会上还只是个热词，但为期仅一年之隔的2016年RSA大会上，从各大厂商所展示的安全技术所见，威胁情报的应用正在走向成熟。一方面威胁情报结合SIEM、威胁检测和终端防护等产品开始落地，显著提升传统安全方案的安全能力;另一方面，一些专注在威胁情报领域的公司，已将自己的情报源作为服务提供给业内的安全厂商。

那么究竟威胁情报是什么呢?源引Gartner对威胁情报(Threat Intelligence)的定义：威胁情报是一种基于证据的描述威胁的知识信息，包括威胁相关的上下文环境，采用机制，指标，影响与行动建议等。这些描述已经存在的、或正在发生的攻击威胁的信息，可被用来进行应对决策，并对威胁进行响应。从实用角度看，威胁情报可分为如下三类：

信誉情报。当我们想发现未知威胁的时候，如果攻击源头本身就是没有信誉的，我可以首先对它产生怀疑，信誉情报非常重要，包括IP、URL、域名;

攻击情报。通过监测发现攻击源、攻击工具、曾经被利用过的漏洞;

其他情报。包括僵尸网络的地址、0day漏洞等。

威胁情报在金融行业中的应用

在金融领域，威胁情报的价值更加广泛，可贯穿信息系统的整个生命周期。

管理决策支持

传统安全防护技术的失效，使得防御重点从已知威胁转至未知威胁。除了传统的IP、域名、漏洞、特征码等信息外，黑产背景资料的价值也日益显现，只有对黑客的思维、战术、策略和行为特点充分理解，才能有足够判断的实力。当金融业高管们要做出决策的时候，他需对所管理的资产、人员和外部威胁有全面的了解，才能做出正确的确定。

攻击检测水平与防御能力的提高

威胁情报对于金融行业乃至整个安全界来说，最大的用途是可以帮助设置安全规则，如增强网络取证工具、SOC和终端安全等产品的规则库，以及为IPS和AV生成安全签名。即使是简单的IP、域名、URL等指标，也可以和防火墙产品结合进行实时防护。

安全分析及事件响应

安全分析及事件响应中的多种工作可以配合威胁情报来处理。在报警分流中，可以依靠威胁情报来区分攻击类型，识别出APT类型、高危级别攻击，以及时应对;同时可以将威胁情报输入SIEM设备，进行历史索引，更全面查询可能受影响的资产或其它线索。

大数据平台关联分析

关联分析技术的重点在于能从多种维度的数据集合中，发现待查数据的关联关系。不同对象之间完成数据标准化后，需要对海量不同来源和维度的数据、事件进行关联分析，通过配合威胁情报，从而筛选出准确率高、可追溯的高级威胁攻击信息。

威胁情报在金融诈骗案件中的作用

金融诈骗是诈骗团伙冒充公安、检察院等国家司法机关，打电话给受害人，谎称事主身份信息被盗用，且涉嫌洗钱、诈骗等犯罪行为。要求配合司法机关工作，诱骗对方将钱财转到犯罪嫌疑人提供的账户;互联网数据是多种多样且相互关联的，但依靠孤立的数据无法进行未知威胁的分析和定性，只有将信息关联起来才能看清整体的威胁态势。我们针对骗子留下的蛛丝马迹，利用海量的互联网数据进行大数据关联分析，最终能够定位到诈骗团伙。

在西方，威胁情报的理念已广为接受，美国在2015年初已将威胁情报信息共享视作提升其联邦政府信息系统安全的必要手段之一，并且发布了NISTSP 800-150 网络威胁信息共享指南草稿。

国外金融行业很早重视对威胁情报的利用，比如很早就成立了旨在进行关键网络安全威胁信息共享的金融服务信息共享与分析中心(FS-ISAC)。据悉，FS-ISAC会员已经快速扩大到6500家金融机构。此外，FS-ISAC还会与其他行业进行情报分享，比如零售行业、石油天然气行业等。FS-ISAC还和美国存托及结算公司(DTCC)联合开发了一个平台，供金融公司发布并共享网络攻击、安全威胁相关信息。