10月15日,在2016云栖大会之西湖论剑安全峰会主论坛上,Fortinet 亚太区首席安全专家Jack Chan向与会者分享了Fortinet视角的威胁情报,以及FortiGuard威胁情报团队的实战案例。
在演讲中,Jack首先解释了威胁情报的定义,历史需求,以及主要分类。他认为,威胁情报是一种收集到的信息,应该给你一种能力,以快速甄别恶意行为,并且快速响应,这些信息包括但不限于网络、安全、IT等方面。在黑产的世界里,情报已经被很成熟的使用,恶意软件生产者、加工者、使用者、售卖者之间早已形成成熟的情报共享链条,因此对于防御方来说,构建成熟有效的威胁情报体系与协同共享机制就变得尤为重要。当然,更重要的是,在网络犯罪全球化的今天,威胁情报也必须是全球化的,才能拥有与攻击者对抗的初阶资本。可惜只有极少数企业或组织拥有专门负责威胁情报的团队来处理来自开源Feeds或商业Feeds的全球情报,并将其应用到企业安全策略中。
据Jack介绍,目前FortiGuard Lab拥有360 TB的威胁样本,2亿5000万收录的网站数据,发现了334个零日漏洞,并且每日还在快速增加。他认为,威胁情报应该秉持开放共享的精神,产业应该协同整合,共同抗击黑色产业。Fortinet正是这项事业的践行者,与业内三家知名安全公司共同成立网络威胁联盟(Cyber Threat Alliance),并且与国际刑警,欧盟,香港,澳洲等地的CERT机构,以及微软、Adobe和Version等知名企业签订威胁情报战略合作,将16年历史的FortiGuard Lab安全能力与全球威胁情报共享出来,每日与大家进行沟通,互补不足。
在演讲中,Jack用一个企业邮件攻击分析的案例展示了FortiGuard威胁情报团队的能力,以及全球化威胁情报的价值。在对全球网络的持续监测中,FortiGuard研究员发现在连续一段时间内在全球多个国家都出现了相同或同家族的恶意软件,而这些恶意软件几乎都是通过电子邮件来传播的。通过对邮件和附件分析,研究员发现这些恶意软件具备键盘记录,日志记录,信息窃取,CnC连接回传等功能,而邮件内容主题都和发票汇款相关。攻击目标均为企业用户,攻击者并不构造垃圾邮件或钓鱼网站来诱使受害者付款,而是持续监听财务部门的用户电脑通信,在财务人员发送真实请求付款的邮件时进行拦截,并将其附件请款凭证中的收款账号替换为攻击组织的收款账号,以此实现攻击目的。
在分析过程中,FortiGuard研究员成功伪装并反侦听攻击组织的通信邮件并描绘出攻击组织的内部架构,邮箱,常用IP,位置等等,较终成功协助国际刑警侦破一起价值6000万美金的企业邮件攻击案件。
在这个案例中,充分展现了FortiGuard安全研究人员的攻防对抗能力,以及在入侵事件、URL、载荷、邮件方面的检测和深度分析能力。而真正重要的是IPS、URL过滤、邮件安全、恶意软件分析、僵尸网络发现等等全部维度的安全技术和数据均来自Fortinet FortiGuard Lab,正因为这样才能够实现多维度威胁信息的快速交叉关联分析,为用户输送有价值的可操作威胁情报。
较后,Jack总结道,网络威胁不断进化,地下产业在协同方面已经十分,有一个好的威胁情报基础,可以在面对高级威胁的时候进行有效的应对。有效地吸收外部威胁情报并与内部日志相关联,可以让自己拥有一个更广阔的视角,来审视安全态势,感知对企业或组织的潜在影响。
