2019年5月13日下午，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2.0标准正式发布，实施时间为2019年12月1日。《信息安全技术 网络安全等级保护测评要求》中，首次提出了对“威胁情报检测系统”和“威胁情报库”的要求。我们将分别从产品功能和技术要求的角度，介绍等保2.0中的威胁情报检测系统。

　　威胁情报检测系统是一类网络安全基础设施，对网络流量和终端进行实时监控、分析，应用威胁情报，机器学习，沙箱等多种检测方法，发现隐藏在海量流量和终端日志中的可疑活动与安全威胁，帮助企业安全团队精准检测失陷(被控)主机，追溯攻击链，定位当前攻击阶段，防止攻击者进一步破坏系统或窃取数据。

　　威胁情报检测系统已被证实在日常安全运维和重保活动中发挥了关键作用。

　　从系统架构上讲，威胁情报检测系统与传统的基于规则的检测系统相比，有很大变革，至少需要具备如下八个模块：

　　一、全流量的日志、文件提取与报警pcap存储：对网络全流量进行协议还原，提取网络流量日志与流量中的文件，对所有报警和可疑网络行为保存pcap以供后续分析，并提供可视化能力对机器的网络行为进行深度分析；

　　二、威胁情报检测模块：分钟级别同步最新的专业威胁情报数据，并用于实时流量检测，情报包不只包含基础的失陷指标IOC，还应包含黑客团伙情报信息；

　　三、机器学习模型检测模块：应用各类机器学习算法对传统统计规则、威胁情报无法发现的网络威胁进行检测，如数据窃取行为、隧道通信行为、DGA域名等；

　　四、恶意文件检测引擎模块：对流量中提取的文件应用本地的文件检测引擎，进行高效率的恶意文件识别；

　　五、沙箱检测模块：对本地可疑文件，应用本地或者云端沙箱技术进行判定；

　　六、内网横向移动检测模块：支持接入内网流量发现内部横向移动行为；

　　七、自定义情报检测模块：支持提供自定义情报功能，并应用于实时流量检测；

　　八、攻击链回溯分析模块：对所有发现的各类威胁告警可以按照攻击链进行关联，完整回溯攻击过程。

　　从功能角度讲，威胁情报检测系统需要具有如下特点：

　　一、快速检测威胁，精准定位被控主机。

　　传统边界防护设备在防御常见威胁上起到了重要作用，但不能防范所有的攻击行为，组织处于失陷状态已经成为企业安全管理人员的常识。而威胁情报检测系统的首要作用，就是基于威胁情报，补足传统边界防护设备在防御上缺失的环节， 在关键的“命令与控制”、“横向移动”和“行动数据窃取”等环节中发挥作用，快速检测出正在进行的威胁，并结合流量和终端监控，迅速、精准定位被控主机。

　　二、追踪攻击链全过程，及时发现窃取数据与破坏系统行为。

　　威胁情报检测系统的核心能力是应用多种检测机制在出站的网络流量中发现访问远控服务器。检测机制包括应用远控类型的情报指标（IOC，Indicator of Compromise）、木马协议分析特征分析、恶意样本检测引擎、沙箱动态行为识别、基于深度学习算法的DGA检测和DNS隧道检测方法等多种方法。利用以上检测方法，不仅定位内部机器被控情况，也能够全阶段追踪网络威胁，及时发现网络内部的暴力猜解、横向移动、外连C&C等恶意行为，并检测出数据窃取、破坏系统和业务连续性、挖矿、劫持肉鸡等恶意行为。

(桔色部分为威胁情报检测系统能力覆盖范围)

　　三、提供丰富的报警上下文，清晰展现内网关联威胁和黑客信息，指导安全分析团队快速分析和响应

　　威胁情报检测系统能够清晰地归类威胁事件，并根据威胁情报提供丰富的威胁事件上下文信息，从而以攻击链的角度绘制出主机的行为地图，并通过可视化的方式将发现的失陷告警、关联主机、威胁类型、黑客组织等进行关联展示，呈现当前组织内的所有失陷情况及关联威胁。

　　那么，威胁情报系统要怎样挑选，才能让企业在合规路上不走弯路？

　　首先，要注重威胁情报的质量。威胁情报检测系统的关键在于引入威胁情报，对于威胁情报质量的评判，全球权威信息化咨询研究机构Gartner提出了覆盖度、可执行力、专业性、准确度、可扩展性五个维度。尤其是准确度，是威胁情报质量中最重要的因素。因此，在评判威胁情报系统之前，要先评判系统的威胁情报来源，尽量选择在威胁情报领域专业度高、产品被广泛部署的厂商。

　　其次，做好POC测试验证。威胁情报检测系统归根结底是一项网络安全基础设施，一个合理且完备的测试验证流程应该包括数据集收集、测试、验证三个阶段。

　　数据集收集是企业需要收集和整理待测试用的数据集，找到合适的流量镜像点，提供给各个威胁情报检测系统厂商开展测试。数据收集阶段企业应该根据自身安全需求来确定最终测试的网络区域，尽可能接近最终应用情报检测系统的网络区域。测试阶段需尽应用真实的网络流量，尽可能让竞测的厂商使用同一份网络流量横向对比测试结果。在验证阶段，需要对发现的报警进行及时的分析、取证以验证准确性。验证过程不仅包括取证确认报警确实存在，也需要对比各厂商产品提供的事件信息，丰富的上下文是后续使用系统并保证良好阴影效果的基础，最终通过各家的检出率、误报率、上下文丰富程度等几个维度的评估结果，来确定最终的威胁情报检测系统供应商。

　　此外，选择一个具有丰富威胁情报检测系统落地案例的厂商，也是保证系统落地成功的重要因素。

　　企业应当重视威胁情报，不仅仅因为等保2.0测评要求提出了新标准，更是因为威胁情报的重要性在全球化网络环境中正在越来越清晰地体现出来，“知己知彼，百战不殆”，此次等保2.0测评对于威胁情报的要求，正体现了国家对于建设网络安全环境的重视，像威胁情报这样的新技术在网络安全行业中的应用和普及已经成为必需，把握好威胁情报，对企业网络安全、社会网络安全和国家网络安全都有着重要意义。

分享让更多人看到