10月15日,在2016云栖大会之西湖论剑安全峰会主论坛上,Fortinet 亚太区首席安全专家Jack Chan向与会者分享了Fortinet视角的威胁情报,以及FortiGuard威胁情报团队的实战案例。

1476928070405

在演讲中,Jack首先解释了威胁情报的定义,历史需求,以及主要分类。他认为,威胁情报是一种收集到的信息,应该给你一种能力,以快速甄别恶意行为,并且快速响应,这些信息包括但不限于网络、安全、IT等方面。在黑产的世界里,情报已经被很成熟的使用,恶意软件生产者、加工者、使用者、售卖者之间早已形成成熟的情报共享链条,因此对于防御方来说,构建成熟有效的威胁情报体系与协同共享机制就变得尤为重要。当然,更重要的是,在网络犯罪全球化的今天,威胁情报也必须是全球化的,才能拥有与攻击者对抗的初阶资本。可惜只有极少数企业或组织拥有专门负责威胁情报的团队来处理来自开源Feeds或商业Feeds的全球情报,并将其应用到企业安全策略中。

据Jack介绍,目前FortiGuard Lab拥有360 TB的威胁样本,2亿5000万收录的网站数据,发现了334个零日漏洞,并且每日还在快速增加。他认为,威胁情报应该秉持开放共享的精神,产业应该协同整合,共同抗击黑色产业。Fortinet正是这项事业的践行者,与业内三家知名安全公司共同成立网络威胁联盟(Cyber Threat Alliance),并且与国际刑警,欧盟,香港,澳洲等地的CERT机构,以及微软、Adobe和Version等知名企业签订威胁情报战略合作,将16年历史的FortiGuard Lab安全能力与全球威胁情报共享出来,每日与大家进行沟通,互补不足。

1476928094908

在演讲中,Jack用一个企业邮件攻击分析的案例展示了FortiGuard威胁情报团队的能力,以及全球化威胁情报的价值。在对全球网络的持续监测中,FortiGuard研究员发现在连续一段时间内在全球多个国家都出现了相同或同家族的恶意软件,而这些恶意软件几乎都是通过电子邮件来传播的。通过对邮件和附件分析,研究员发现这些恶意软件具备键盘记录,日志记录,信息窃取,CnC连接回传等功能,而邮件内容主题都和发票汇款相关。攻击目标均为企业用户,攻击者并不构造垃圾邮件或钓鱼网站来诱使受害者付款,而是持续监听财务部门的用户电脑通信,在财务人员发送真实请求付款的邮件时进行拦截,并将其附件请款凭证中的收款账号替换为攻击组织的收款账号,以此实现攻击目的。

在分析过程中,FortiGuard研究员成功伪装并反侦听攻击组织的通信邮件并描绘出攻击组织的内部架构,邮箱,常用IP,位置等等,最终成功协助国际刑警侦破一起价值6000万美金的企业邮件攻击案件。

在这个案例中,充分展现了FortiGuard安全研究人员的攻防对抗能力,以及在入侵事件、URL、载荷、邮件方面的检测和深度分析能力。而真正重要的是IPS、URL过滤、邮件安全、恶意软件分析、僵尸网络发现等等全部维度的安全技术和数据均来自Fortinet FortiGuard Lab,正因为这样才能够实现多维度威胁信息的快速交叉关联分析,为用户输送有价值的可操作威胁情报。

1476928113433

最后,Jack总结道,网络威胁不断进化,地下产业在协同方面已经十分领先,有一个好的威胁情报基础,可以在面对高级威胁的时候进行有效的应对。有效地吸收外部威胁情报并与内部日志相关联,可以让自己拥有一个更广阔的视角,来审视安全态势,感知对企业或组织的潜在影响。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-07-03 10:48:25
国际资讯 OVH公司为其在全球数据中心市场扩张筹集4亿欧元
日前获悉,法国数据中心托管商OVH公司从9家银行机构筹集了4亿欧元(4.65亿美元)的发展资金。 <详情>
2017-06-12 10:17:00
国内资讯 阿里云加速全球化布局布局 新增印度和印尼数据中心
6月10日,阿里云在云栖大会。上海峰会上宣布,将在印度和印度尼西亚新建数据中心,将把阿里云全球覆盖面提高至由数十个飞天数据中心覆盖的17个区域。 <详情>
2017-05-27 16:18:00
云安全 Fortinet 将Security Fabric架构安全能力扩展到云端
现在的网络实际上是被同步到一起的不同联网生态系统(传统云、私有云,WAN和 SD-WAN(、物联网、公共云 — 包括IaaS和SaaS、以及高度移动化的终端用户)的集合。 <详情>
2017-05-16 13:10:39
市场情报 Fortinet Security Fabric架构已扩展SD-WAN功能
全球高性能网络安全解决方案供应商Fortinet,近日宣布其Security Fabric的最新功能扩展,将增强型SD-WAN功能与Fortinet可靠的安全功能进行集成。FortiOS 5.6 操作系统整合 <详情>
2017-05-12 13:54:43
云安全 Fortinet发布面向协同网络安全构建的操作系统
全球高性能网络安全解决方案提供商Fortinet近日发布了FortiOS 操作系统的5.6版本。FortiOS是Fortinet旗舰产品FortiGate下一代防火墙的操作系统,也是支撑Fortinet Security <详情>