江苏龙网

  1. 首页 > 人文 > >

360首提IOC评估“19条” 打造威胁情报市场新标准

当前 , 随着数字世界急剧扩张 , 全球步入网络“大安全”时代 , 传统被动防御与单点防御无力应对新型攻击 , 而网安新物种“威胁情报”却逆势凸显关键实力 。

360首提IOC评估“19条” 打造威胁情报市场新标准
文章图片

针对这一问题 , 近日 ,360旗下360网络安全研究院(360netlab)提出威胁情报IOC评估“19条” , 成为我国威胁情报市场首个覆盖用户实际需求且成熟度较高的IOC价值评估标准 。
在不久前召开的第八届互联网安全大会ISC 2020上 , 360网络安全研究院安全分析工程师张在峰在“威胁情报驱动的安全能力建设论坛”中发首次介绍了威胁情报IOC评估“19条” 。
该套标准包括8项动态评估指标与11项静态评估指标 , 基于全网范围内的DNS数据对IOC数据集进行评估 , 其DNS数据请求量能达到1000亿/天 , 用户覆盖量超过2000万 , 打破了此前各家厂商仅根据本公司安全攻防理解提出标准的做法 。 “基于如此大规模的数据 , IOC的动态评估跟能够准确反映不同IOC数据在真实网络环境中的实际表现 , 也能够涵盖绝大多数甲方用户的使用场景 。 ”张在峰表示 。
【360首提IOC评估“19条” 打造威胁情报市场新标准】“没有用户数据库支撑 , 缺乏对用户实际需求的理解 。 ”在张在峰看来 , 我国当前威胁情报市场内 , 无论是产生威胁情报的乙方还是使用威胁情报的甲方 , 对IOC的评价都还处在拼数量的原始阶段 。 事实上 , 作为IOC的提供者 , 要有足够的数据来说服用户自己提供的IOC足够好 。 作为IOC的使用者 , 关心的问题也不仅是数量是多少?误报、漏报情况怎么样?还要关心IOC中有多少活跃?更新频率怎么样?每次更新有多少是新增、多少淘汰?检测能力是否足够多样和高效?
“举个非常基本的例子 , A和B厂家提供两份威胁情报 , A有100万条记录 , B有80万条记录 , 目前的市场现状基本上就是默认认为A会做得更好 , 但是在实际中 , 可能A的100万条记录在实际大网中总命中率不到一千条 , 剩下的全部都是不活跃无命中的 。 从这个意义上来看 , 仅仅看原始IOC数据量价值并不大 , 也不应该作为评价威胁情报厂商的核心标准 。 ”因此 , 张在峰认为 , 要解决这些问题 , 就必须根据大网用户的实际防护效果 , 建立一套全面、科学、能用实网检验的IOC价值评估标准 。  
为打造一套完善的IOC评估标准 ,  360netlab参考了国际上现有的IOC评估研究项目 , 不仅从IOC本身包含的内容来评测 , 还会把IOC放在实际网络环境当中 , 利用团队所掌握的数据库资源 , 用实际网络流量来匹配IOC数据 , 察看IOC的整体表现 。 以此建立了 “动静结合”的IOC评估“19条” 。
“这套标准的成熟度是很高的 , 但是要完全做到‘19条’的测试 , 还是存在较高数据库门槛 。 ”张在峰表示 , 360netlab之所以能成为国内第一个提出并使用这套标准完成IOC科学评估的团队 , 正是因为该团队运营着当前国内公开最大的PassiveDNS数据库(https://passivedns.cn);其DNSMon系统以DNS数据为基础 , 结合其他多维度数据综合研判分析 , 每天从海量的DNS数据中产出百~千级别的黑域名以及高可疑域名 , 同时利用智能算法每天产生50余种 , 数万规模的DGA域名 。 在无规则的情况下DNSMon在实网中率先识别并拦截了多种大规模的恶意程序使用的域名 。
同时 ,  360netlab在大规模僵尸网络的检测和跟踪领域也一直处于全球领先的水准 。 近年来 , 360netlab首发并有限披露了多个有影响力的僵尸网络 , 在业界引起关注 。
据了解 , 360netlab打造的IOC评估“19条”已经向市场全面公开 , 并已使用该标准评价完成4个公开情报源 , 评价结果也已公开 。 后续还将持续更新 。


推荐阅读


上一篇:多功能暖奶器上阵,让宝宝投喂工作事半功倍

下一篇:美军|驻韩美军又闯祸,15吨履带装甲车与SUV惨烈相撞,4名韩国人死亡