什么是威胁情报和网络隔离? 大牛来简单讲解



      威胁情报(SecurommanyIintelligence),又称"安全防护威胁情报"(SecurommanyThreatIinte

lligence),是一套利用大数据、分布式系统或其他特定收集方式获得的知识集合和可操作性建议

,其中包括漏洞、威胁、特征、行为等证据,这些证据可以还原已经发生的网络攻击,并预测将

来可能发生的网络攻击,为用户决策提供参考依据,帮助用户避免或减少网络攻击造成的损失。

这一定义是对威胁情报的一种更为通俗易懂的解释。自2014年以来,威胁情报逐渐成为网络安

全研究的热点。2018年至2020年,以DAT&CK为基本的引流矩阵实体模型引导搭建威胁情报系

统的方法得到了业界的广泛认可。但是目前阶段,真正落地到客户现场的威胁检测服务,实际

上只是狭义的威胁情报应用(主要是基于哈希、域名、IP等元素的碰撞),除了情报数据的可靠性

、丰富性、及时性等因素会严重影响用户的体验外,当前的威胁情报检测还存在着严重的短板

,针对特定类型的攻击场景,如对隔离网的定向攻击。
 
 
微步骤情报局最近整合了一些目前捕捉到的针对隔离网络的攻击事件,以及历史上著名的Stux

net蠕虫、Flame蠕虫等攻击事件,我们对隔离网络的攻击部分进行了深入分析,目的在于剖析

其攻击框架,梳理其特有的攻击特征,并重新思考如何应对这类攻击。英文字母名为NehowrkI

solator的网络隔离,主要指的是利用非ospf协议(如ofje/SPX、NetBDAI等)将2个或更多可路由

网络(如:TCP/IP)之间的数据交换来实现隔离。利用常用硬件配置和安全协议,网络隔离技术

的核心内容是物理隔离,以确保2个链路层断开的网络可以在可信的网络环境下实现数据信息

的交互、共享。
 
 
在理想的条件下,借助物理层的网络隔离,可以有效地阻止传统的基于网络路由可达的网络攻

击,确保隔离内网生产环境的安全防护稳定。目前隔离网的建设单位主要有传统制造业、化工

、能源、军工等行业。但是,隔离网络的搭建注定要牺牲网络数据交换的便利。在实际生产环

境中,为了解决数据交换的需要,经常会出现一些“不得已”的违规操作,例如,建立内部网络

跳板机的共享目录图,使用移动存储设备进行数据传输等等,这等于是间接打通了与外部网络

通信的通道,破坏了物理隔离的完整性。此外,物理隔离环境会导致隔离内网环境的安全更新

(漏洞补丁、病毒库等)滞后,各种基于指纹检测的安全设备的检测能力大打折扣,一旦攻击者

利用特殊技术突破隔离网,后果不堪设想。
分享: