现在登cs可以获得什么东西。
点击联系发帖人
时间:2015-04-28 11:09
CSonline当前有效登录期为五天什么意思_百度知道
CSonline当前有效登录期为五天什么意思
我有更好的答案
这是活动提示 也就是说 你再连续登陆5天就可以获得活动奖品了 ok
跟他们比够详细了吧楼主给分吧
采纳率:34%
我的也有,难道是活动?累计在线时间
活动,登陆够那么多天就有奖励
都有,就是看你登录的天数
其他1条回答
为您推荐:
其他类似问题
csonline的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。谁说CS:GO仅仅是游戏?原型来源真实到你尿
CS可以说是8090一代记忆,黄金枪之类的根本不值一提。现在,新一代续作的CS:GO已经全球火爆。真实,用心,不是国内游戏可以比拟的。光光角色原型,就已经非常考究了。来看看,警与匪的原型在那里
一、炙热沙城II里面的CT——IDF
IDF,全称“以色列国防军”(Israel Defence Force)创立于1948年,是中东地区国防预算最高的军队之一,作为世界上最有战争经验的武装力量,在建国半个世纪以来参与了五场主要的大型战争和其他无数的小型冲突。在人员上,以色列国防军的主要优势是其人员训练的精良品质以及完善的制度,而不是人员的数量多寡。
以下是现实中的装扮。
二、炙热沙城II里面的T——或是塔利班
这个虽然只是可以看出是中东的,但是一推测,中东的恐怖分子,那很有可能就是塔利班了。塔利班(普什图语和波斯语:???????,英语:Taliban,意即“伊斯兰教的学生”,也意译为神学士),是发源于阿富汗的坎大哈地区的伊斯兰原教旨主义运动组织。成立之初,塔利班总共只有800人,因此许多人对其并不重视。但是这支派别高举铲除军阀、重建国家的旗帜,且因为纪律严明而作战勇敢,并提出反对腐败、恢复商业的主张,因此深得阿富汗平民的支持,使得塔利班的实力急剧膨胀,发展成为一支拥有近3万人、数百辆坦克和几十架喷气式战斗机的队伍。
目前塔利班主要由占阿富汗人口63%的普什图人组成,而普什图人又有不同的地域和派别之分。塔利班中坚力量是来自坎大哈的吉尔扎伊普什图人。巴基斯坦记者艾哈迈德·拉希德在他的著作《塔利班》中写道:“早在塔利班攻下喀布尔之前,奥马尔就曾在坎大哈召开了一个 由各部族首领、伊斯兰教宗教领袖参加的大会,并接受了‘信徒的领导者’的称号”。
以下是现实中的装扮。
三、意大利小镇、死城之谜里面的CT——GIGN
据说是法国GIGN的人物模型,法国宪兵特勤队(GIGN:groupe d'intervention de la gendarmerie nationale 直译过来是国家宪兵干预组)是一支专门从事于反恐怖活动的特种突击队,诞生于日,号称“凯旋门前的利剑”。创始人是布鲁托中尉。以下是现实中的装扮。
四、意大利小镇、炼狱小镇的T——ETA
图中的恐怖分子模型叫做分离主义分子(Separatist),原型是西班牙分离主义组织埃塔。巴斯克恐怖组织ETA埃塔(ETA)是巴斯克语中“巴斯克家园与自由”( Basque Homeland and Freedom -- ETA)组织的首字母缩略语。巴斯克位于西班牙北部同法国交界的比利牛斯山脉地区,是西班牙重要的工业区。巴斯克民族民族的重要聚居区,它在语言和习俗上都同本地西班牙人有很大差异,几百年来西班牙政府都给予巴斯克地区以相当高的自治权利。20世纪三十年代初,西班牙独裁者佛朗哥残酷镇压了该地区的独立运动,并拒绝恢复巴斯克人的自治权。这引起了巴斯克族人中强硬的民族主义分子的强烈不满,他们成立了多个组织,发动了针对西班牙政府的一系列要求独立的暴力活动。其中1958年成立的埃塔组织近三十年是巴斯克独立运动最积极的行动者。“埃塔”成立于1958年,原为弗朗哥独裁统治时代西班牙北部巴斯克地区的一个地下反抗组织,逐渐发展成为危害整个西班牙社会、以暴力从事民族分裂活动的组织。“埃塔”的政治目标是通过暴力斗争将巴斯克地区从西班牙分裂出去,建立一个包括法国南部一部分巴斯克语地区在内的独立国家。“埃塔”现有数百名成员,他们经常流窜到法国、比利时、德国、意大利以及拉美的墨西哥、乌拉圭、多米尼加等国家作案。从1968年至今,这个恐怖组织制造了无数的恐怖活动,致使近千人丧生,数千名无辜平民伤残。日,埃塔通过“加拉日报”网页发布视频和文章宣布永久停火,并强调这是“明确、坚定且永久性放弃武装对抗的承诺”, 从此被招安。
以下是现实中的装扮。
五、核子危机中的CT——SAS
特种空勤团亦译空降特勤队(英语:Special Air Service,缩写:S.A.S)是英国陆军特种部队,专门负责执行反恐及特别行动等任务,其前身为于第二次世界大战中在北非战线执行敌后任务的陆军志愿人员,人数稀少而且作风低调。自1980年伊朗大使馆包围战起,特种空勤团在全世界媒体面前获得了胜利,并且为其赢得举世声誉。在福克兰战争中的表现,亦证明了他们在传统作战与对抗恐怖份子上亦具有不相上下的能力。世界多国都以特种空勤团为楷模,美国陆军三角洲部队等就是师承特种空勤团而成立的。
以下是现实中的装扮。
六、核子危机中的T——巴尔干激进分子
作为历史上划分传统欧洲与中东、东欧的地理过渡地带,巴尔干更为人熟知的是另一个名称“欧洲火药桶”。 近代以来,除了我们熟知的“第一次世界大战”在巴尔干爆发之外,在南斯拉夫解体后的十多年里,巴尔干地区的局势也随之动荡不安。长期的冲突给巴尔干地区的极端组织和各类地下网络的发展提供了良好的机遇。有鉴于巴尔干地区极端组织和犯罪组织的合作关系,欧洲一些国家也采取了严厉打击的态势。如在2014年7月意大利警方曾经与阿尔巴尼亚警方合作,联手打掉了一个阿尔巴尼亚犯罪网络,该网络负责将欧洲境内的极端分子通过阿尔巴尼亚输送到土耳其,再经过土耳其的犯罪网络进入叙利亚和伊拉克境内,参加“伊斯兰国”等极端组织。但是由于巴尔干国家力量仍然不足,加上腐败和监管缺失,巴尔干地区恐怕仍然是极端组织连接欧洲和中东的重要通道。
以下是现实中的装扮。
七、死亡游乐园的CT——德国GSG-9
德国第九国境防卫队-- GSG第九小队建制于1972年,隶属于德国慕尼黑,有“死亡之路”的称号。对于对接连发生的恐怖事件而束手无策的西德政府来说,当务之急是必须马上成立一支训练有素的反恐作战队伍。但是,鉴于盖世太保和德国特工等纳粹分子笼罩在人们心头的阴影,不仅西德的国民,就连周边国家的人民也对在西德军队中保留特种部队的编制有所顾虑,但警察又无力胜任这一工作。于是西德政府考虑在联邦边防警卫队中创建解救人质的部队。由于西德的联邦边防警卫队不是为战争而创建的,是警察的一种,不属于军队但又是一种接近军队的组织,所以恰好符合要求。日,在事件发生后的六个月内,德国边防军第9反恐怖大队〈GSG-9〉成立,这是一个非常惊人的速度。在组建过程中,英国空军特种部队给予了他们极大的帮助。GSG-9的队员仅从边防警卫队的志愿者中选拔,参选人员必须具备3年以上边防警卫队警察的经验。此后,被选拔的队员要接受6个月(也有资料说是22周)的训练,这个训练时间与一般军队新兵接受训练的时间一样长。在这段时间内完成“空降”、“登陆” 、“山岳” 几项训练。此后,他们还要进入北约的远距离侦察训练学校接受更进一步的训练。
以下是现实中的装扮。
八、列车停放站、雨林遗迹(吊桥)的CT——SEAL Team SIX,第六海豹突击队
美国海豹第六特种部队(英文:SEAL Team SIX,缩写ST6,或译美国海军海豹部队第六小队),是美国海军的反恐特种部队 ,隶属于美国国防部美国特种作战司令部,通过美国特种作战司令部联合特种作战司令部与美国中央情报局合作进行全球范围内的隐蔽行动。1986年,美国海豹第六特种部队正式更名为美国海军特战发展大队。海豹六队成立于1980年10月,也就是鹰爪行动失败的六个月过后,一开始只是作为军人为战争预备的先行训练单位,而在这时期只有两只海豹队伍存在并且执行任务,海豹第六小队于1981年开始正式官方运作。1987年,海豹六队拥有了正式名称“海军特战开发小组”(Naval Special Warfare Development Group,另称NAVSPECWARDEVGRU,一般人称DEVGRU),关于名称为何变换,有多种说法,从运作防卫到队伍名声,所有说法都指向了海豹六队的创办人理查德·马DEVGRU主要的任务是搜集情报,进行各种反恐怖主义行动,包括海军部门以及美国特战司令部,也有进行团中的开发管理或是科技开发,主要给海军特战部队使用(如海豹部队)。在上述的DEVGRU的任务当中,有些人认为DEVGRU与陆军特种部队三角洲部队有同样的能力,事实上,这两个部队也互相训练交流,也会一起部署。现DEVGRU驻扎在弗吉尼亚州Oceana海军航空兵站Dam Neck海军训练基地,隶属于海军特战司令部。辛克。
现实中的装扮是这样的
九、死亡游乐园、列车停放站、雨林遗迹的T——爱尔兰共和军
在CS系列中,该恐怖分子形象被称为凤凰战士,因为杀死任何一个看着不顺眼的人而著名,是东欧最使人胆战心惊的恐怖分子。于苏联解体不久后组建 正如其组织名称一样,冷酷的外表是他们的伪装。但在现实中,其实他们是爱尔兰共和军(Irish Republican Army),反对英国政府的武装组织,长时间通过暴力活动实现政治诉求,故被许多国家视为恐怖组织。1919年由旨在建立独立的爱尔兰共和国的民族主义军事组织“爱尔兰义勇军”改编而成,目的是与驻在爱尔兰的英军作战。曾为爱尔兰独立、现为统一北爱尔兰而战斗,分为正统派和临时派,英文简称IRA。1937年爱尔兰独立后,北爱尔兰仍处于英国的统治下。爱尔兰共和军宣布继续为实现南北统一而斗争,并实行暴力活动。到20世纪60年代中期,组织已基本解体。虽然前前后后多次宣布停火,但直到日,爱尔兰共和军政治组织新芬党的领袖格里·亚当斯在英国北爱尔兰贝尔法斯特出席新闻发布会。当日,负责监督爱尔兰共和军解除武装工作的国际独立委员会宣布,爱尔兰共和军已完全解除武装,全部武器被列为“永久不可使用”或“永久无用”,所有用于准军事化活动的武器也都被收缴。
十、殒命大楼的CT——洛杉矶特警
洛杉矶警察局被认为是现代美国特警队的发源地,因为洛杉矶特警队是全球最早建立的一支特警队,也是首屈一指的特警队。该特警队在建立初期被命名为SWAT,后来,SWAT逐渐成为特警队的统称,为了加以区分,洛杉矶特警队更名为LAPD SWAT( 即Los Angeles Police Department Special Weapons And Tactics)。SWAT是“特种武器与战术”(Special Weapons and Tactics)的英文缩写,也可简单翻译为“特警队”。特警队的成员是警察中的精英人物,主要负责应对和处理各类突发事件和危险事件,如解救人质、搜查逮捕危险人物、围攻恐怖分子或有强大火力武器的匪徒等,是反暴力、反恐怖的特别执法单位。
以下是现实中的装扮。
十一、殒命大楼的T——Professional
名字就叫“专业”,背后的钱袋很容易让人想起PAYDAY这款游戏,他们有几分冠冕堂皇的纽约口音。根据WIKI中描述,人物灵感可能来自于1992年昆汀·塔伦蒂诺执导的电影落水狗“好家伙”艾迪(克里斯·潘饰)是黑帮老大乔·卡伯特(劳伦斯·蒂尔尼饰)的儿子,为了到珠宝店抢劫一批钻石,艾迪召集了六个互不相识的人进行这次行动,并让他们以颜色为代号。他们分别是白先生(哈维·凯特尔饰)、橙先生(蒂姆·罗斯饰)、金先生(迈克尔·马德森饰)、粉先生(史蒂夫·布斯塞米饰)、棕先生和蓝先生,为了保密,他规定这六个人不允许透漏自己的私人信息。虽然保密工作做得很严格,但他们还是中了警察的埋伏,蓝先生和棕先生当场死亡,白先生冒死将深受重伤的橙先生带回约定的仓库。路上,白先生对橙先生表现了高度的信任与关怀,还将自己的私人姓名告诉了他。在约定的仓库里,渐渐等来了 “好家伙”艾迪,埋藏钻石的粉先生和抓到一个警察的金先生,他们等待着黑帮老大乔的分配。在等待的过程中,他们仔细回忆事件的整个经过,发现六个人中一定有内奸,否则警察是不会及时赶到的,在对金先生抓来的警察严刑拷问之后依然未果,就在他们决定烧死警察的时候,橙先生将手枪对准了金先生,到底谁才是卧底,事态的发展越来越严重,一场血腥的较量开始了。(摘自百度百科影片介绍)
以下是现实中的装扮。
十二、办公室的CT——FBI
美国联邦调查局,隶属于美国司法部,英文全称Federal Bureau of Investigation,英文缩写FBI。“FBI”不仅是美国联邦调查局的缩写,还代表着该局坚持贯彻的信条——忠诚(Fidelity)、勇敢(Bravery)和正直(Integrity),象征联邦警察。FBI的任务是调查反联邦法罪犯,支持法律,保护美国,调查来自于外国的情报和恐怖活动,在领导阶层和法律方面执行。对联邦、州、当地和国际机构提供帮助,同时在响应公众需要和忠实于美国宪法的前提下履行职责。五大影响社会的方面享有最高优先权: 反暴行,毒品/有组织犯罪,
十三、办公室的T——blackbloc
传统意义上的“黑块”起源于二十世纪八十年代在德国兴起的“自治运动”,在”盘踞“活动中,自治主义者身着黑色的赤军服饰参与到对抗和声援示威中。自治主义者选择穿着黑色皮质外套的一种解释是外套可以为盘踞者保暖且缓解警察用警棍殴打所造成的伤害,而滑雪面具可以过滤催泪瓦斯并掩盖身份。德国媒体最早称这些人为“Der Schwarze Block”。“黑块”真正被广泛运用是由一支北美无政府革命组织于1991年2月进行反对美国对伊拉克发动海湾战争活动的时候,它的主旨是“爱和愤怒”。黑色历来被视为无政府主义的象征,最早可追溯到巴黎公社时期,那时黑旗往往飘扬在那些无产阶级的暴动当中。“黑块”和其他反全球化的团体的区别在于他们通常利用暴力和对公共设施的破坏传达出他们对跨国公司及其享有的西方政府的资助的不满。1999年的反世贸活动中,The Gap,Starbucks,Old Navy以及其他国际零售品牌的店面在西雅图市中心所受到的破坏就是很好的例子。该战术兴起于20世纪80年代的欧洲自治运动中反对驱逐盘踞者、核电站以及限制堕胎等政策的抗议活动中。在1999年西雅图的反对世界贸易组织(WTO)的抗议活动中,一个黑块群体破坏了西雅图市中心的GAP、星巴克、老海军以及其他跨国集团零售点的财物,黑块随之获得了在欧洲以外更广泛的媒体关注。在CSGO的无线电中也有“Let's burn the whole place down!”的句子,原型应该是他没跑了。
以下是现实中的装扮。
十四、凶厄游轮中的T——索马里海盗
索马里海盗,是一群专门在海上抢劫其他国船只的犯罪者。随着1991年索马里内战的爆发,亚丁湾这一带海盗活动更趋频繁,曾多次发生劫持、暴力伤害船员事件。索马里海盗有四大团伙:邦特兰卫队、国家海岸志愿护卫者、梅尔卡、索马里水兵。2009年12月,索马里海盗当选为时代周刊2009年年度风云人物。日,联合国安理会决定在索马里境内和境外设立特别法庭,负责审判在索马里附近海域实施海盗行为的嫌疑人。索马里海盗,泛指在东非的索马里海外的亚丁湾(红海与阿拉伯海之间),进行打劫或掳人勒索的海盗群。是一群专门在索马里附近海域抢劫过往船只财物的犯罪者。1991年索马里内战的爆发,令亚丁湾这一带海盗活动更趋频繁,曾多次发生劫持、暴力伤害船员事件。索马里海盗有四大团伙:邦特兰卫队,他们是索马里海域最早从事有组织海盗活动的团伙;国家海岸志愿护卫者,规模较小,主要劫掠沿岸航行的小型船只;梅尔卡,他们以火力较强的小型渔船为主要作案工具,特点是作案方式;势力最大的海盗团伙叫索马里水兵,其活动范围远至距海岸线200海里处。
以下是现实中的装扮。
反恐精英,顾名思义就是反恐战争中的精英分子,CS取材的是真实的世界。过去,CS1.6受到技术限制,很多不合理的东西,在CS:GO都得到了修改,虽然CS:GO也可以买皮肤,开箱,但是,真正影响成绩的,只有你的技术
电竞游戏的好处在于公平,真正的电竞游戏不会让你靠充钱变强,只有经常玩,经常对战才能提高水平。相比而言,电竞装备倒是对游戏有帮助CS:go相信会取代MOBA游戏成为新的电竞一哥。
责任编辑:
声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
今日搜狐热点首登世界cs王座的中国女孩
闪光弹、手雷、主战步枪(AK、M4)、瞄准、射击、敌人倒地……这不是真实的战场,但是紧张的气氛、惨烈的战况,让每个参与者都以为自己是真正的战士,无论是警、还是匪。
虽然,内有代父从军的花木兰,外有被法国人喻为“圣女”的贞德。但是,在古今中外的战场上,男人总是占绝对多数。即使在虚拟的网络世界,亦然。
CS(反恐精英)游戏的拥趸也是男性居多。各大CS游戏论坛,从建立者到版主、“灌水人”几乎是清一色的男性玩家。从全球第一强队SK,到中国的wNv战队,国内CS职业竞技选手和游戏爱好者谈论最多的,也是男子战队。然而,中国CS游戏历史上的第一个世界冠军却是五位巾帼——Swan[5](5只天鹅)获得的。其中,身为队长的邹璇,当年只有17岁。
幸福地去战斗“我觉得在年轻的时候,还有充沛的能量去奋斗的时候,就要多付出一些。否则,老了也心有余而力不足了。能为自己喜欢的东西付出,是幸福的。幸福的奋斗虽然也会有苦涩,但是其间复杂、美妙的滋味只有奋斗过的人才会真正懂得。”
从初中二年级开始接触CS游戏的邹璇,当时只是把它当作“周末娱乐”而已。后来,因为一些天津CS高手的传道授业,还有邹璇“年龄小,学东西快,又比较执着”,她参加了天津的多场比赛,拿了几次冠军,就此树立起属于她的自信。2004年“五一”假期,为了参加北京的ESWC(电子竞技世界杯),邹璇通过QQ联系了几个CS“战友”。不顾父母的反对,只身跑去武汉参加集训,开始了她的职业电子竞技生涯。
“当时是自费训练,只有房子和训练机器是免费的。”邹璇说,她们是一群怀揣着共同梦想的花季少女,用积攒的零花钱作为自己的“军需资金”。
每天14个小时的高强度训练,让刚满16岁的邹璇早早地患上了颈椎病。相对于身体的这点儿小病痛,邹璇更在意的是,她离自己的目标还有多远?
然而,邹璇的父母并不看好女儿的梦想,甚至曾强烈地反对过。
网络游戏一向被很多中国家长视作洪水猛兽,邹璇的父母也曾这么认为。
每次大赛前要有两三个月的训练时间,邹璇又多了项三个月没进校门的记录。因为打比赛,邹璇主动辞去担任了好几年的班长职务。对于女儿越来越沉迷于CS游戏,邹璇的父母生气过、无奈过。
“我有时候在家通宵练习,我爸为此砸过好多次鼠标,弄断过很多根网线。”
看着老爸的愤怒和无奈,虽然心里有些不忍,但是邹璇的表情“当然不服软”!因为,她清楚地知道自己在做什么。
邹璇15岁时,父母离异。对于家庭的分裂,邹璇看得很开。“父母离婚是经过我同意的。当时父母已经没有感情基础了,他们俩的性格也都已不适合彼此。我觉得他们分开对双方都会更好些。”
对于这个清楚自己想要什么、需要什么的孩子来说,任性是必然的。她不甘心在理想还未疲倦的时候,就被压进“典型道路”中去,所以总是挣扎着,憧憬那海阔天空的境界。邹璇从没觉得追求自己想要的东西有什么错误。“我只想追求属于自己的成功感觉,证明给自己看——我可以做到最好。虽然CS是男孩子擅长的东西。”
中国CS游戏历史上的
第一个世界冠军因为邹璇对CS游戏的执著追求,还有在这方面的过人之处,父母最终妥协了。“父母从我获得2004年中国ESWC冠军的时候,就开始支持我。”
邹璇她们以前去参加比赛的时候,坐的都是硬座火车。晚上,好几个人挤在一个屋子里睡,环境也不卫生。即使在这种情况下,她们对CS游戏的执著依然。父亲看着几个女孩子太苦了,而且也希望能帮助自己的女儿在这条路上走下去。因此,2005年,中国女子反恐精英战队Swan[5]去西班牙参加比赛的15万元花费,都是由邹璇的父亲赞助的。这其中包括训练费、CPL(电子职业联赛)西班牙站的所有路费、住宿费,还要给几个女孩子开工资。
父亲的支持,让邹璇倍受鼓舞,她要用冠军奖牌致敬伟大的父爱。
2005年,中国女子反恐精英战队Swan[5]在CPL西班牙站的比赛中,以全胜的成绩获得了冠军。这是中国CS游戏历史上的第一个世界冠军。喜讯传回国内后,在游戏、电子竞技爱好者中引起了空前的关注,网友纷纷向这些“女警”们表示祝贺。尤其是作为队长的邹璇
(ID:Swan[5].VaLeN)更是因其靓丽的外形、稳健的作战风格赢得了无数国内CS游戏爱好者的喜爱。
句号后的逗号如果说当初邹璇的执着,成就了一个中国首位CS世界冠军。而伴随着这个冠军的辉煌,竟是邹璇出人意料的华丽转身。她开始追寻一项新的人生桂冠。
“我这个人就是这样,每个时期有自己明确的目标。人在不同的时期有不同的梦想。”邹璇现阶段的梦想是要做个女强人。她说,要成为上《时代》杂志封面的那种人。从小跟随父亲的创业脚步一起成长的邹璇,将未来的方向瞄准了从商。
由于邹璇将大部分精力都放在了CS练习上,因此,高考也没出意外地成绩平平。在上海的一所大学读了一年设计专业后,邹璇决定退学。“因为设计不是我的兴趣。我真正喜欢的是经商。”邹璇决定去英国留学,准备申请伦敦政治经济学院。现在,她参加了一个为期4个月的雅思补习班。每天上午9点到下午3点上课,回家后还要学习到深夜12点。“现在的目标是努力考好雅思。我要全力以赴。”
虽然现在不怎么玩CS游戏,但邹璇依然很珍惜那段属于CS的美好记忆。她觉得自己在“CS的人生”中,学到很多在学校里学不到的东西。她学会了自信、不紧张,懂得了个体与集体的关系。“我觉得teamwork(团队合作)是最重要的,经商是非常讲究团队配合的!”
5个“警花”,一顶世界CS游戏的“皇冠”,让全球的游戏爱好者知道中国有个声名赫赫的“美女战队”。邹璇由此进入国人的视野,并引发更多的人开始思考电子竞技和网络游戏的利弊。
日,在北京人民大会堂举行的“中国数字体育互动平台启动仪式”上,时任中国奥委会副主席的何慧娴女士宣布:国家体育总局已正式批准电子竞技为我国第99个正式体育项目。
很多游戏玩家终于可以吐气扬眉,称自己为“电子竞技选手”了。然而,无论是电子竞技选手还是游戏爱好者,邹璇都认为,“如果你生命中只有游戏就太单调、狭隘了。虚拟世界只能让人暂时感到满足,但是人不可能不回到现实世界。其实,离开了游戏,才发觉生活更加精彩。”
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。由安全牛举办的“CS 3:威胁情报解决方案峰会”于昨日在京举行,360、IBM、谷安天下、微步在线、白帽汇,这国内五家在威胁情报应用技术上领先的安全厂商和安全咨询公司悉数到场。
据安全牛主编 李少鹏 介绍,CS系列论坛是“专注安全解决方案的大会,我们面向的主要是用户,讲的是自己的产品,解决的是甲方面临的安全问题。我们不怕打广告,但我们演讲的产品和方案,都是经过安全牛精心选择过的,值得推荐的优秀产品和方案。”
“威胁情报众所周知是目前最为火爆的安全防护技术,但它的落地和应用在国内并未全面成熟,为此安全牛定向邀请了在威胁情报的技术、落地及应用方面非常优秀的几家公司,来为大家作演讲,听一听这几家在威胁情报应用方面处于国内领先地位的技术大咖的声音。”
一、从基础到实战 – 威胁情报生产与应用
—— 360网络安全研究院院长 宫一鸣 & 天眼实验室负责人 韩永刚
“在某种意义上我认为威胁情报有点像金字塔的塔尖,大家都在谈论塔尖的东西,但是如果没有解决基础,这个塔尖是不存在的。怎么去达到塔尖上?就要用基础数据。在某种意义上有点像是造砖头,我给你造各种各样的砖头、各种尺寸的砖头,有砖头才能盖楼。”
基础数据三大件:PassiveDNS、whois、md5
(以下内容过于敏感,原谅小编不发,下次请亲临现场听会)
如何对基础数据进行收集和处理,并作为威胁情报的基础进行搭建,然后再产出和真正地应用到客户?
APT的追踪和发现。2015年我们的APT年度报告,可以看到总共监控了29个高级威胁的黑客组织,其中14个是首先在国内发现的。在地域的活跃分布上可以看到北京、广东这些地方比较活跃。手法上有非常传统的,也有通过物理设备的接入去做劫持的,还有一些特殊手法。大部分是利用已知的漏洞来做,但也有用到0day的例子。
2015天眼实验室APT报告中的数据
有的是为国内定制的,还有一些扩展到对移动端的信息窃取,结合并利用很多的环境和方法。但是我们通过数据分析和威胁情报,把攻击挑出来,然后去落地。帮助不具备很强分析能力的客户定位找到这些攻击。
其实我们在做拼图
我们希望找到更多的线索,通过我们拥有的能力,把事件还原。就像做拼图一样,不管是攻击者还是被攻击者,用的什么样的战术、方法和过程,我们都把它找出来,找到攻击特征,最终把威胁情报给组合起来,拼成威胁情报的拼图应用到客户,以及带给业内的分享。
威胁感知拼图
我们很多精力都集中在发现这个环节上,除了发现和响应之外,我们还能够做到取证、拓展、溯源等过程。原来在没有大数据分析方法的时候,后面的半圈基本上很难做到。
响应的重要性
还有一个点,就是在响应的环节上,因为原来在这个环节上是做阻断。但现在大部分的攻击,尤其是高级威胁不可能在当时做实时的阻断。所以响应变得非常重要,这种响应可能不一定非常实时,但是也一定是即时的。
我们需要把对安全的可预见的发现和能力结合起来。今年五六年的时间里,企业在这方面的投入预算可能会占到60%,而不再是实时防护的点上。
源数据 –& 自动化分析 –& 威胁情报
威胁情报的关键就是,是否能够真正拥有数据,和对数据分析处理的能力。数据量和分析能力不同,同样的去做样本处理,得到的东西是不同的。
情报数据处理
从威胁情报警报的分析基础来讲,首先是基于源于数据的,源于所谓的可以用于威胁情报的数据,不管是样本还是在防护过程中所产生的日志、DNS记录,以及一些网址等等,这些数据是我们分析的基础。
有了这些源数据,就要进入到数据处理过程。在这个过程中,关键的是数据的挖掘和分析。我们每天新增900万的样本量,用自动化把900万的数量处理分析降到数千的级别,再从中找到一些异常的网络行为样本,最终输出的威胁情报可能是只是百级别。这个过程需要人的参与,但依赖的是自动化。
最终产生的情报需要用到产品上,不管是发现的产品,还是边界或终端。就是这样的一个过程,真正能够把所谓的源数据,武器级的数据和一些组织和实践不断地进行关联,最终产生的情报其实才是最有意义的内容。
威胁情报的落地
它可以包含几个方面,检测、发现、溯源都可以。但我们需要在一个非常完整的、互联网级的大数据里面进行分析,才能找出真正有意义的情报,而且还需要在客户这一端收集非常多的数据。所谓本地轻量级的数据平台,其实和自适应安全的体系还是非常相符的。在客户的本地,我们能够把不同方面的数据收集起来,最终在传统防护的四个纬度里面加上一个核心,即持续的监测和分析。
威胁情报落地——本地数据平台
具体落到应用上,就是在云端分析数据,产生情报,在本地帮助客户建立轻量级的大数据平台,把网络的、终端的各种数据全盘用大数据的方法把它形成轻量级的数据平台,去做响应和处置,这是一个完整的过程。
有些传统安全这方面做得好的,他们也可以把威胁情报和自动化分析和运营过程相结合,包括用数据库处理一些数据,包括在情报上与IOC(入侵指征)和响应的结合。不管是网络的还是主机的数据,都收集起来进行分析,然后应用情报,最终找到威胁,这才是真正的落地,也是一个比较实际的能力。因为毕竟不可能每个公司都有非常多的安全分析人员,如果有简单的方法,能够让他们快速运维情报,在本地找到威胁,我觉得还是非常重要的。
响应和溯源
有了发现威胁的能力,另一个很重要的能力就是响应上,即EDR(应急需求响应)。作为全盘数据采集的探针,终端数据分析和威胁情报结合起来之后,把策略在终端上执行,在终端的执行响应上就能做更多的事情。
终端检测与响应(EDR)
不管是需要做阻断还是隔离,甚至是持续的观察,在终端上其实都是可以做的。大家知道,很多时候网络上需要加密,因为很多东西在网络上看得更真。但如果同时能够看到更多的网络和终端上的差异,这个事就会更加有意思了。所以在终端上我们其实可以做很多的事情,包括对全盘数据的记录,包括获取线索,在系统中做更多的探索,结合起来这个场景也非常关键,就是在响应上。
另外一个就是溯源,在情报或数据系统里面,可以把很多信息关联起来。通过样本关联,找到它对应的域名信息等过程,除了发现以外,还能真正地进行回溯和追查。甚至通过分析,我们去搞定一个溯源,去搞定一个案件,比如上面举过的例子。
威胁情报的共享和应用
威胁情报的数据可以共享出来,和业内一起配合使用。在360的威胁情报中心上,不管是威胁判定数据,还是关联数据、样本类数据等基础数据都会有。之前由于一些系统问题,开放的注册量相对做了一些控制,后续会逐渐放得更开,希望有更多的业内的同仁能够一起在情报中心上面进行分享和协作。
威胁情报基础数据查询
另外,威胁情报还有着更为广泛的应用。APT、DDoS,以及网站钓鱼等。我们把它落地到我们真正能够落地的系统里面,帮助客户去对日常的攻击情况进行监测,这个时候其实已经是用落地的系统来帮助日常的运维,包括对网站安全平台的网站安全状况的监测。
在客户端数据的平台上,要能够把威胁情报双向应用起来,不管是推动起来,还是在查询和溯源上结合起来。情报是从数据中来,最后还要回到数据中去。威胁情报又是最终能够回到客户那边才能发挥它的作用,不管是安全和威胁的发现上,还是在自动化的响应过程当中,我们都把它结合得更好。
二、X-Force 2016:IBM威胁情报共享和协同防御
—— IBM中国区安全技术高级工程师 刘璐莹
X-Force的历史
IBM做安全应该可以追溯到上世纪80年代,从主机安全开始,IBM进入了安全领域。从那个时候开始,一步一步走到今天,包括收购等环节,建立了现在的安全体系。
IBM的安全历史
X-Force从何而来的呢?2006年,IBM收购了一家网络安全公司,ISS(Internet Security System)。这家公司主要做的是网络安全防护,X-Force就是IBM收购了ISS之后获得的名字。自从收进来以后,IBM所有的安全的研发机构,甚至包括后面收购的其他公司的研发机构,全部都叫X-Force。ISS的创始人原本就是一个安全漏洞的研究者,他是世界上首款商用漏洞扫描工具的发明。从那个时候开始,X-Force就开始研究历程,今天IBM主要的威胁情报来源就是X-Force的团队。
IBM是一家安全公司
经过不断的整合和收购,到了今年,IBM已经形成了一整套安全体系架构,在整个安全市场里,目前IBM排名第三。所以可以说IBM是一家安全公司,而且还是一家很大的安全公司。
2011年RSA发布了一个非常重要的报告,报告认为APT攻击将成为常态。当时,IBM也收购了另外一家做安全智能的公司,基于这样事情,IBM在2012年之后专门成立了安全系统部。而之前虽然我们收购了很多公司,但实际上这些公司分散在IBM各个子部门,但从2012年开始我们开始整合,市场上也逐渐出现了IBM安全的声音。之所以把它整合的原因是在于,原来我们觉得每一个部分都能够解决这部分的问题,但是当APT攻击变成一种常态,我们发现单纯做某一个领域的安全已经不足以帮助客户去维护他现在的安全环境,整个防护机制从检查清单式变成安全框架的思路上来。
IBM从2012年开始整合所有的安全类产品,把它变成一整套的框架。到今天,我们已经涵盖从数据、应用、网络、终端、移动一系列的安全框架,同时它们之间不再是分立的,而是可以互相联动,可以分享信息的。它们之间使用我们的安全智能平台作为大脑、总控,是安全运维中心的一个基础核心组件。这一系列所有的安全解决方案也好,产品也好,服务也好,实际上最终的核心或者基础都是我们今天的主角——X-Force。
IBM X-Force“大脑”
我们知道,对于安全解决方案来说,功能和性能永远是考量的第一目标。而大脑,你的安全产品的大脑才是成功防护的关键。
X-Force的四大目标
1. 监控,监控和评估瞬息万变的威胁形势;2. 研究,研究新的攻击技术,以及针对这些新攻击技术的保护方案;3. 培训客户和公众,用定期出报告的形式来培训公众。4. 集成,把X-Force的研究成果、防护技术和获得的情报进行产品化集成,使得我们的产品能够更加智能,帮助客户来做安全保护。
基于以上这些使命,X-Force有一系列的输出,包括漏洞研究、漏洞保护、恶意软件分析、IP信誉、URL过滤、Web应用控制和反垃圾邮件等等。
IBM的安全管理中心(SOC)
IBM现在依托的全球40多家安全研究机构,其中最值得一提的是IBM的SOC。据最新的数据,IBM目前有12家SOC,他们为客户做安全托管服务,帮助客户来运维安全。客户经常都会遇到APT攻击、DDOS攻击,SOC必须调用一切手段、资源或情报来完成运维工作。
我们目前的安全托管服务客户涵盖100多个国家4000多个客户,也就是说这些SOC每天可以收到来自于这4000多个客户的<span style="font-size: 16 color: #亿多个事件,通过<span style="font-size: 16 color: #亿个端点上去收集这样的一些数据,经过这些最真实的数据的整理、发现和提炼,来发现最新的安全态势。
基于十几年的积累,IBM目前记录的完全独立的、真实的漏洞,超过9万,是全球最大的漏洞库之一。目前恶意IP数量86万,URL和域名分析数据库的量在250亿以上。基于这些数据能够监控到全球高发的、严重影响的安全事件。
2013年到2015年重大安全事件整理
AOTT(先于威胁的保护)
通过不断的收集,X-Force本身的漏洞库的数量也在不断增加。在将近二十几年的积累之上,X-Force给自己出了一道题,我们的研究效果到底是什么,即AOTT(先于威胁的保护)。
什么叫先于威胁的保护?就是说在某一个漏洞被暴露或者公布之前,X-Force团队就已经知道了这个信息,并且已经把修补的方案内嵌到我们的产品里边,使得当这个漏洞真正爆发的时候,或者真正有一个CDE编号赋予这个漏洞的时候,我们客户之前已经获得了相应的保护。
X-Force最近还做了一张表,统计出百大漏洞和百大AOTT,所有都是超前的。同时给自己定了一个标准,即什么才算是真正的AOTT:
1. 防护必须要早于漏洞真正被揭露或者爆发90天,也就是三个月之前我们的客户就要能够防御这个还没有被爆发、没有被揭露的漏洞;2. 研究成果要内嵌到产品里面,并且默认打开,否则客户得不到防护;3. 启用 Trust X-Force;4. 需是重要厂商;5. 需要是近期的,太久远的不放在里面。
通过这些标准把自己变成一个安全研究机构的领导者,而不是尾随者。在某漏洞2014年爆发的7年前,X-Force就可以防御这样的攻击。
X-Force 前100 AOTT
X-Force的威胁情报
我觉得情报最重要的有三点:第一,要有,要查得到,数据相对来说比较完整。第二,要能够触发到我,因为很大的数据库可能放在某个地方,可能没有办法跟我实际的情况联系起来。第三个是要能够自动化地利用起来这些库,而不只是查询。相信很多厂商都在向这个方向努力,X-Force也一样。
我们努力的第一个方式就是和产品的结合。因为目前我们的漏洞库也可以称为威胁情报库,包括几个方面的信息:漏洞、域名、APP应用、IP信誉和URL信誉、恶意软件,还有垃圾邮件的信息。这些信息都可以和我们现有安全类的产品做结合。
比如很多网站担心被恶意注入,客户在访问网站时可能会跳到一个恶意网站上。我们在做应用扫描的时候,除了帮助用户寻找应用本身的漏洞,还可以跟威胁情报做自动的关联。当我在扫描你的网站的时候,我可以看到这个网站和恶意URL对比的情况,并且自动提醒用户,网站上已经有一个恶意的URL。
另外,我们有很多网络流量监控工具,这些工具可以看到客户在整个网络上的通信,它也可以跟威胁情报相结合,发现一些本来看不到的流量联系。可能这些流量不是恶意的,但如果那些IP、域名是有问题的,或曾经发生过问题的,就可以怀疑它是在进行攻击尝试。这些都可以跟威胁情报作集成,在产品这个层面上,可以提供实时的IP、URL漏洞分析情况,也可以根据企业本身的情况来做结合,把它变成企业自己安全策略。
威胁情报分享平台:X-Force Exchange
威胁情报的分享和利用,主要有三个重要的方式:第一个方式是你要有,你要查得到;第二个要有推送;第三个最好是自动化的方式。
IBM X-Force Exchange 就是一个开放的、可操作的、社交的情报平台,它把X-Force这么多年的积累,可以说是完全无偿开放给公众。你可以在这个平台上查询IP地址的信誉,查询某一个域名是否问题,某一个APP是不是曾经出现过问题等等一些情况。
IBM X-Force Exchange 平台
目前 X-Force Exchange 完全免费为公众开放,当然这个开放主要是基于研究和学习用途,如果是商用我们有商务的版本。同时,它也是一个可操作的一个平台。目前这个平台支持一些业界通用的威胁情报交互格式。你可以通过标准格式和自己现有的产品方案、学习工具来进行集成。同时,它还是一个社交平台,可以进行思路上的分享,多向沟通。
它实际上是一个门户,是一个向公众开放的接口,当然我们也会有商用的接口,可以和产品化来做集成。目前我们也在国内有这样的一些合作的意向,这就是我们的威胁情报分享平台。
安全领域的应用商店:APP Exchange
即然还是Exchange,所以还是共享的概念。它是什么呢?它很像是苹果的 App Store。但这是安全领域的应用商店,这里面可以看到一些安全智能合作的新平台。可以使IBM的工具和其他厂商的工具,IBM的威胁情报和其他厂商的威胁情报,形成网络互通的关系。比如我们自己的应用智能分析的APP,就是直接引入了威胁情报。
IBM 安全App Exchange 平台
通过 APP Exchange 这样一个开放的框架,可以非常方便地引入其他厂商提供的威胁情报。比如说你现在有一套安全平台,不同的领域,网络、终端、数据库、应用,可能使用了不同厂商的安全产品,或者是防护措施。我们希望这些产品都能够和现在非常火热的,而且是比较有效防止APT攻击的威胁情报做联动。
原本这件事情是很困难的,因为需要所有的厂商都去支持威胁情报。但通过这样的一个平台,你可以把下面的所有的信息收集上来之后,由这个平台来帮你和IBM,或者是其他厂商的威胁情报信息来做联动。
比如网络里面发现一个信息,但是这个网络厂商可能并不存在威胁情报的能力,这时你就可以通过这个平台,把它和IBM库里面的威胁情报信息做关联,以发现问题。这只是一个方向,你还可以做更多的事情。比如企业希望能够对内部安全事件做进一步的分析,就可以通过这样的平台来展示内部的一些安全态势。APP Exchange 就是来做这种集成的平台。
我们也可以和其他的合作伙伴来做集成。IBM即将收购一家专门做安全应急响应的公司Resilient,当你的SOC平台或者安全管理平台希望能够和专业的安全应急响应的平台做联动的时候,APP Exchange 可以帮你做这件事情。企业这边发现安全事件之后,可以直接在Resilient里来响应并跟随。
IBM 合作伙伴应用(Resilient)
再比如,和一些厂商进行合作,以往的困难在于数据格式的统一。因为有很多系列的产品,每个系列又有很多型号,为了和它集成,需要FOLLOW所有厂商的所有产品线的所有型号,这个工作量是巨大的,尤其在客户,更可能会用很多型号的产品,而Follow永远都是慢一步的。
APP Exchange 就可以帮助我们做这件事情。每出一个新的产品,一个新的版本,如果数据格式有变化的话,APP Exchange 就会自动发布,如同 App Store。当你想要这个新版本、新产品线的数据的时候,只要去上面下载即可,最新的适配器也好,格式的转化也好,新买的设备可以直接地无缝集成到我们的SOC平台上去,而不会有滞后的现象。这就变成了合作,我们叫作生态系统,希望能够通过这样的方式来去解决威胁情报,或者是说我们的安全信息交互问题。
AppExchange 平台应用外挂程序
目前 APP Exchange 上已经有超过数十个应用,还有大量的应用正在审核过程中,而且审核过程也和App Store 的审核流程相似。如果大家有一些产品,或者解决方案,希望能够跟威胁情报或者其他厂商的产品来做一些联动的话,也可以基于这个框架来做开发,并且上传到这个平台。
数据永远是分享、利用起来,才能发挥它最大的价值。
三、安全值-5分钟量化企业安全风险
—— 谷安天下安全值产品总监 赵毅
安全值是怎么来的?
谷安天下是一家信息安全咨询公司,借助“威胁情报”这一前沿技术,打造了一款产品,通过这款产品可以实现五分钟量化企业的信息安全风险。
我们关注威胁情报这个领域已经有两年的时间,通过调研发现,国内国外有非常优秀的数据资源,威胁情报的本质就是数据。但数据的纬度是不同的,因此如何把数据用好,是我们想要解决的问题。数据分析和处理或者是机器学习,不是谷安的长项,但我们可以基于威胁情报生成一些信息,并形成产品。威胁情报有了,但它的价值何在,如何使用这才是我们在做的事情。
信息安全领域,好多技术聚焦在攻防对抗、应急响应、事件处理和漏洞挖掘等方面。但谷安想解决的是上层应用,即用数据威胁情报做风险管理。这方面谷安天下就非常专业了,我们本身就是做IT风险的,所以建立一个比较好的风险评估模型,把数据玩好,还可以输入到SIM、SOC,发挥我们咨询顾问的优势,从风险评估管理这个角度来做解决方案,这就是安全值的思路。
安全值的数据基础
谷安是咨询公司,数据从哪里来呢?我们历经两年的时间,整合了全球顶尖的数据资源,一共<span style="font-size: 16 color: #多种,然后通过安全值来进行对这些实时的数据数据源进行查询和分析。这些数据有收费的也有免费的,有威胁情报数据,还有一些互联网通信类的基础数据。因为我们是第三方咨询公司,所以能够跟大家进行广泛的数据合作,这就是安全值的基础。
1. 互联网开放带来的新风险到底有哪些?
2. 如何定性企业的安全做到什么程度,每年的投入到底有什么效果?
3. 由于缺乏直观形象化的数据来支撑,管理者如何做好安全预算?
二个案例和三个价值
案例一:某银行数据中心,有一天跟国外的数据中心通信中断。检查网络、检查系统,都没问题一切正常。费时、费力干了很长时间,最后发现由于国内一些IP出于一些原因被国外放到了黑名单里,放在欧洲的防火墙黑名单里,所以造成与欧洲通信的中断,如此简单的一个问题。
以前看事情的角度都习惯于站企业内部去看,有可能还自我感觉良好,但换一个角度看问题就不一样了。从这个角度出发,我们必须换一种方式,不能光用传统的扫描检查等方式,还需要有新的方法。这个时候数据分享的价值就出来了,假如我们能够得到实时的情报数据,我们马上就能解决上面的这个案例中遇到的问题,根本没有必要投入到那么无用的网络排查当中。因此需要全方位的整合一系列数据资源,来帮助大家看到这样的未知风险。用外部的方式来看,换一个视角来看,通过安全值来看。
从这个案例中可以看到,我们所有的数据必须要实时的或至少是即时的,但谁的数据也不可能说是百分之百特别全的,怎么办?谷安不是安全厂商,既然我们是中立方,为什么不能跟大家合作,帮助企业整合数据资源呢?在实时数据的基础上,用安全值的平台做分析,最后得到量化的风险评估,这就是通过安全值来看自己。
我们把域名、主机、IP作为企业资产,然后通过100多个数据源,从业务、隐私、应用、主机、网络和环境六个纬度识别安全风险,通过建立比较完善的算法,用这六个纬度打分,最终量化风险。这些风险指标包括了IP、域名、协议在外面有没有被人封掉,域名是否被劫持,外面是不是有人曝光了你的漏洞,有没有僵尸网络,自己有没有恶意代码,甚至托管在公有云上的服务是不是有风险等等。
安全值界面
现在我们有9个指标,后续随着数据源接入的越来越多,分析、挖掘能力的强,我们会有更多的指标参与计算。帮助大家揭示风险,这是谷安所擅长的。
还有一个很关键的就是定量问题,安全值的分数是一个千分制,分越大越好。每天都去计算一下,就可以形成一个趋势,直观简单的发现新的风险。这就是我们带给大家的第一个价值,用安全值看自己。
案例二:分享一下某集团公司信息安全管理部进行量化安全考核评价的经验。大家知道,集团管理的下属单位都有安全考核的机制,用什么方法能够帮助实现这样的绩效考核呢?如果用分数进行量化,而且是自动化的操作,就能计算出来进行评价呢?
安全值在这个集团公司进行了很好的应用,可以对全国范围内的公司进行安全绩效的评价。直接实现,而且是自动化。这个纬度上,就不是用安全值看自己了,而是站在全行业的角度上去看。
这个平台3月27号运算的数据,银行业是854分,后续不光是银行业,还会有证券、基金、保险,我们都会连续的出行业分析报告,希望通过安全值的简单方式就能了解行业的基本安全情况。
这个分是怎么算的呢?平台从网上采集到了207家金融机构的数据,基本是在10亿资产以上的。把它的安全值都算出来,取平均值,即854分。有114家属于800到1000分这个区间,这是“良好”。还有8家单位扣分扣得多,评价是“较差”。我们还把它进行分类分析,大家知道有很多资产不一致的单位,它之间的可比性较差。因此我们细分了股份制、政策性、城商行、农商行等等,后续我们会根据这些细分去做详尽的分析报告。
通过这种方式,我们也摸了一下这207家银行的资产情况,发现2000多个域名、主机,4000多个IP,通过9个风险指标我们进行了高、中、低的定义。最后发现在这里边最高的风险类型,就是域名被封、IP被封和僵尸网络这三类。这就是行业需要优先解决的问题,最大的风险就在这些方面。
银行业安全值报告
说到这儿有些人可能会问,你的数据你的平台反应的就是全貌吗?这个行业就是这样吗?你只是从外部的数据去看,能代表银行业的问题吗?
这里的关键在于,所有的行业都是在同一个综合数据平台的基础上,同一个评价体系的标准之上进行分析量化的,因此至少它的相对分数是客观的。而且我是第三方,大家作为行业监管也好,集团管理也好,反正有行业需求的话,我们就可以通过外部的方式进行量化的评价,对整个行业进行评价。我们会在安全值平台的首页上,把各行业的安全值公布出来,大家可以做一个参考,这就是我们如何做绩效考核和行业分析的思路。
三是我们要在同一个尺度下衡量风险,这是很重要的事。这就是我们要给大家带来的第三个价值,通过安全值看差距。如同比大小,关键是要在一个尺度下面进行衡量,用同一组数据、同一个算法、同一个尺度看差距。我们希望通过这种大数据的方式建立统一的量化风险评价的标准,让大家在同一尺度上有比较,以获得收益。
安全值“差距分析”
比如上卖弄这张图,蓝色代表自己,红色代表行业水平线。通过这个,就可以知道哪方面比行业做得还好,哪方面有所不足。不足的就是要改善的地方,也是安全需要投入的重点。我们还把差距部分进行了详细的表述,包括数量、频率、相对时间、影响等等,多个纬度的指标系数都可以进行比较。所以通过这种量化的方式就能够让大家在同一尺度下进行对比,这是一个非常大的价值。
通过安全值可以看自己、看行业,也可以看差距。我们希望通过安全值这样的产品,能给大家带来专业的数据服务,并且利用我们整合资源的能力,帮助大家把多个资源进行整合起来,发现未知风险,对风险进行量化,并且跟行业还可以做差距的分析。这就是我们把风险管理通过数据这个桥梁带给大家的思路。
四、攻陷指标(IOC)不等于威胁情报
— 微步在线创始人兼CEO 薛锋
微步在线应该是国内第一家专门做威胁情报的公司,去年6月份成立的时候,国内对威胁情报的实践几乎没有,大家对这个概念还是处在学习和观望的阶段。即便到了今天,大家还是对威胁情报的理解有一些不同,但这种百家争鸣、百花齐放的环境是非常好的。我们的定位是一个专注于做数据的公司,我们做威胁情报最核心的就是两个东西,一是数据,第二个就是对数据的分析,分析之后提炼出来有价值的东西。
Norse的可视化做得非常好,但它的失败是在比较重要的威胁情报事件里做了很多严重的误判。所以威胁情报公司还是应该比较严谨的。比方说索尼影业被黑,说这不是朝鲜干的,是伊朗干的,如果连续有几次这样的事件离关门就差不远了。
做威胁情报分析是一件很苦逼的事情,但对于我们做的人来说是很有乐趣的。我们做网络安全真的不止是漏洞,也不止是病毒,对这些东西的进行有效的关联和展示才是最有意思的。因为只有把这些东西串到一块才是一个故事,如果只看病毒,只看代码,是没有价值的,或者说价值非常有限,尤其是对做应急响应来说。
作为比较年轻的公司,在威胁情报方面有哪些实践和应用,其中我挑第一个和第三个单独说一下。第一个事情是在咱们这个圈里面非常有名,去年9月份的Xcode事件。有人设法控制了全国大部分的iPhone,但是我看到一个有趣的现象,很多安全厂商,友商在做各种不同的分析,有人做病毒功能的分析,有人分析有多少APP被感染,有人分析背后的作者是谁,形成了百花齐放的局面。
XcodeGhost事件
威胁情报在这个事情上有什么应用呢?其实就是结合了PDNS的数据做了简单的挖掘。在Xcode事件里面带了三个域名,都是三级域名,我们当时想去通过这个小小的木马去分析背后的团伙是谁,以及它的动机是什么,我们拿到这个数据就查到了一些信息,发现信息全是匿名的,这个事情如果只是这么查肯定是查不下去的。但我们用威胁情报的思路,通过查IP的出现时间,和一些域名等信息,最终找到有价值的信息。
之后我们想分析一下这些人到底是好人还是坏人,他们在微博上注册了微博,说他们做研究,不干坏事。虽然木马里有比较复杂的功能,但是没有人目击见证它干坏事。我们当时做了一些分析之后发现,这个木马跟一个iOS的木马、PC上的木马有关系,最后经过细致、精心的分析之后发现它跟iPhone上的病毒没有关系,但是它以前是写过PC上病毒。这就是通过反病毒,结合网络上的分析,怎么样在应急响应,在实践中发挥作用。
去年12月份,我们发现了一个国外的组织,对境内一些目标的攻击。这个案例里面通过发送一个Word附件,只要你点开链接就会中毒。我们通过一些对比,包括常见的,喜欢什么样的域名,喜欢搞什么样的目标,它的木马跟以前有什么不一样的地方,服务器的框架是不是使用同样的框架。最后我们发现这是一个团伙,主要是针对境外攻击比较多一些。这是比较真实的境外的组织对国内APP的攻击。这个攻击还有一个有意思的地方,我们从Flash文件入手,第一步先挖出来,第二步再往前走一步,挖出来他到底是什么人,当然也离不开木马的分析,这部分的信息我们并没有公开。
威胁情报还是离不开数据的。现在的数据着重在几个方面,一个是在木马病毒方面的白名单和黑名单,我们有4亿白名单,这是跟微软厂商合作的,也有一些对全球域名的数据,比如全球有多少域名,每年新增有多少几百万,包括三级、四级域名,和过去五年中的IP信息变化,还包括跟国内,包括像百度、360这样的杀毒软件合作。
数据来源也是多种多样的,包括跟电信运营商的合作,跟云计算厂商的合作,有很多不同的渠道,我们自己也布了一些点,但是我们开始的时间不长,所以基本所有的数据里面,我们自己布的点的数据并不是很多,我们的工作主要集中在加工和整合的部分。
说到数据,作为情报一定离不开数据,但是大家强调的比较多的,认识比较深的是数量,就是你有多少条,这个条数其实没有太大的意义,因为1000条和10000条是很难去比对的。我觉得除了数量大小以外还有数据的多样性,有的厂商有网络数据,但是没有木马病毒的信息,比如有的厂商有特别多的云端的数据,但是他并不一定有客户端的数据,数据的多样性是特别重要的,不然你只能做特别细分的,掌握故事的一个方面。
另外还有时效性。数据的变化是瞬息万变的,如果你掌握的都是别人拿到的木马也好,网络信息也好,都是上一分钟、上一小时,甚至是几天前的,这个数据就没有价值。接下来是区域性,每个厂家的位置不同。你有上海的数据,或说有全国的数据,但是你没有全球的数据,或者欧洲的数据,这里的区域性也很明显。现在的网络攻击,不能只关注中国的攻击信息,区域性非常重要。还有关联性,不能有效地把这些信息关联起来,在做分析的时候其实是很痛苦的一件事情。
最后一点也是最最重要的,就是分析。一个团队,我之前的一个在互联网公司管威胁情报的同事讲过,威胁情报最重要的是分析师,尤其是对甲方,如果没有很好的分析师的话,其实买再多的设备、雇再多的人也没有什么用。
另外一点,因为最近勒索软件比较流行,很多客户发现他装了杀毒的解决方案,但是勒索软件用JS脚本发给每个人的都是不一样的。而我们因为跟所有的厂商有合作,所以我们经常会看到一些比较可疑的附件,有的360查不出来,IBM能查出来,有的是两家、三家能查出来,这是对付勒索软件比较有效的措施。这就是我们跟国内、国外厂商之间的合作,尤其是在杀毒引擎和一些数据方面的合作。
攻击指标(IOC)不等于威胁情报
很多人问我IOC跟黑名单有什么区别?我举一个例子,有人报警说访问了一个木马网站,传统做应急响应的话处理效率不高。而我们会给这个网站打上很多标签,包括为什么说它是一个恶意网站,就像一个百度百科一样告诉你它现在的一些基本档案情况和一些基本信息。而且在做可视化分析的时候,能看到这个域名跟其他的域名关联。这样做应急响应工作就会变得非常容易。
IOC不等于威胁情报
美国的威胁情报实践和应用比咱们还是要快一些的,所以他们已经不满足于IOC。IOC虽然跟过去的传统方案配合,能够提高检测率,但是它毕竟不能解决所有的问题。即便是这样,在国内对IOC的应用也并不是非常广泛,并不是说IOC用途不大,我之前在微软做安全的时候,IOC这种方式还是帮我们发现了很多发现不了的问题。
微步在线提供的服务
微步在线提供的服务
第一个是IOC,如果你有NGFW、威胁情报平台,我可以帮你做一些报警、试点。数量的意义其实不大,我们每天生成质量比较高的IOC在200条左右,但误报很低,建议如果命中这200条以内,就需要关注了。
第二个是威胁分析平台,后面有一个DEMO视频演示(视频略)。
威胁分析平台
第三个是免费的服务,就是高级入侵事件检测。
另外,就是我们针对现有的客户有一些响应的溯源服务。在十年前中一个木马,把这个木马删了就好。一个电脑中了木马不能满足于重装或者删除木马,可能还想搞清楚是谁黑了你,怎么黑的,为什么要黑?我们针对客户也提供这样的溯源服务。
威胁情报中心
这块是我们的威胁情报中心,就是刚才表格里面的第一项服务,推的就是IOC,画的图是结和以前的IOC格式。我们跟友商的分享都是基于HTTP的分享,这样更轻量级。
威胁情报IOC服务关系图
这个图是简单的关系图,生成的情报通过人和一些简单的算法和规则统计之后生成的情报。我们的人会跟友商或者客户之间,防火墙或者其他的系统发生交互,产生报警,应急响应人员可以根据这个东西做一些响应,包括去查它的上下游,很快能搞明白优先级高不高,是大事情还是小事情,然后再进行决策。
之前在上海的会上我们提出一个概念叫威胁情报+,因为我们公司即不做软件,也不做硬件,只是基于数据进行分析。虽然大家有时会觉得威胁情报是不是有一种看不见、摸不着的东西,但它对安全的价值我认为没有必要做太多的争论,在国外、在大型的企业里面已经看到明显的价值。它们之间的关系其实是互相促进、结合的关系。你的扫描器、防火墙对接了某种类型的威胁情报,是不是可以变得更好、更智能?
我们是相对比较中立的厂商,也希望跟更多的友商之间展开合作。我借用“互联网+”的概念,威胁情报将来可能是无处不在的存在。
五、白帽汇视角的威胁情报
—— 白帽汇创始人兼CEO 赵武
业内威胁情报已经说了很久,去年阿里也提威胁情报,但它起码分两块,为什么会出现这种现象呢?我想起一个段子,别人问马云,说王石经常去爬珠峰是为了思考一个问题,你怎么看?马云说其实这个问题我坐在马桶上也能思考。
我再讲一个很有意思的现象,很能阐述我说的威胁情报跟现有威胁情报的区别。某一个公司,这是真实的案例,他们配合国际上的一些法制法规,招到一个很牛的技术,那个技术天天帮别人写代码,去找这个部门,搞了一个月,弄出一两个后门,高兴得不得了。后来那个部门招了一个美女,这个美女什么都没有,就坐在旁边说:“大哥,这是后门的特征,你能不能给我整一些?”那个美女一个星期整了十多个。
我想说的意思是,威胁情报有两块来源,第一块来源是实验室分析出来的,他们很酷,我真的觉得很酷,因为我们做不到。但是从另外一个角度来说,有些情报未必看数据才看得出来。我发现一种现象,我建一个群,我不分析数据,我就吼一声,就有人出来说“这事情我知道”。这种情况其实对我触发很大,我们公司叫白帽汇,我们做的思维可能跟实验室的思维不一样。
我们要讲一些别人不知道的东西:
乌云的白帽账号可以卖到一万块钱,我们发现很神奇的现象,乌云有一个机制,多少天以后什么样的用户可看什么样的内容。买白帽的账号,这个信息没公开之前可以刷一批网站,这个很夸张,我们得到信息以后,确实让我们吓一跳。
刚才提到的四个问题是让大家有一个思考的过程,我们认为的威胁情报,如果大家都在说这个东西,那一定不是威胁情报,因为你知道,别人也知道,所以我认为众人皆知的不能叫威胁情报,因为信息安全最核心的本质就是信息不对称。我们跟踪的一定是你不知道的,或者你之前没听说过的,我才把它叫威胁情报。
可能很多人都知道我们做了一些数据收集和整理的工作,但我们碰到一个很尴尬的境遇,我们确实掌握了很多情报,但是这些情报从我们目前来看根本不敢对外宣称。大家可能听说过之前的一些数据泄露的情况,每个都引起行业的轩然大波。从安全公司的层面或者是国家的层面,有些东西是不能说的。但是不说不代表没有遭受攻击,但真要说出去可能就变成出头鸟被打了。
白帽汇做什么
我们去年8月份才成立,团队主要来自于360和华为,专注于做安全大数据和企业威胁情报。我们会从很多渠道去搜集,大多数人都不知道,但是实际上已经发生危害的情报数据。Nosec网站就是我们的,我们想跟白帽换一些数据过来。之前还发布过《Redis crackit 报告》和《fortinet 后门报告》。
我们为什么成立这个公司?网络攻击并不是在减少,而是越来越多。那是不是说明安全公司是无效的?不是,大家做的工作都很棒、很酷,能够保证我们的基础安全。但情报为什么不敢报?还有很多数据为什么不敢说?因为本来这么和谐的一个社会,一说就捅娄子了,就不和谐了。
从另外一个角度思考,钓鱼网站的受害者每天都在增加,有没有一个安全企业能够帮客户解决这些问题?安全实验室所有设想的安全防护是不真实的,外部的攻击绕开了你的边界防护。而且还有一个问题,如果一个攻击者使用正常的用户名和口令登录,产生报警,如何确认它是一个威胁呢?这是一个很典型的悖论,外部的攻击,通过你泄露的信息进行的攻击,甚至没有跟你的资产有任何的交互,就把你的数据拿走了。但你今天怎么分析都分析不出来,因为那个数据一年前就流传了,这是我们遇到的很尴尬的境地。
我们统计了四类威胁:
第一类是企业不知道的隐形资产,已经弃用或者新上线的资产会导致70%的攻击源。我们认为一个可被攻击的对象不止是技术上、物理上的资产,还有人员的资产。这是我们要思考的一个问题。
第二个是Nday的问题,结合刚才提到的很多黑客买白帽账号,拿到情报,去做全网的扫描,这是很大的威胁来源。
第三个是目前在安全攻防角度很明显的思考,叫外部数据的威胁,比如撞库攻击、Github泄露、钓鱼、后门。这一系列都是从外部来的,它不是从内部,内部再做数据监控都监控不了这一块。
威胁大致来自这几方面,那我们就面临一个挑战,如何全盘了解企业的资产?如何快速了解漏洞信息,并在黑客攻击前进行响应?这么多年有一个非常不合理的情况,就是面对黑客企业只会逃跑。我们是不是应该主动出击?我们永远被动等待用户受损呢?
我经常去思考一个问题,为什么企业跟安全公司对抗的时候,落后的一定是安全公司,而不是黑客。因为我们跟踪黑客的情报的时候会发现,安全公司至今很难进行友好的联动,但是黑产至今互相的联动非常之紧密,分工合作得非常好。
我们为什么老去防护,而不能去攻击?我们能不能做一个攻防的转换,把战火烧到敌人的阵营?
这里分成四个方面:
第一是黑产的情报监控。比如数据泄露、有哪些钓鱼网站针对你企业进行钓鱼攻击。
第二就是黑产打击,比如恶意源下线、安全软件拦截。360的产品、腾讯的产品、百度的产品对它进行拦截,这是我们可以做的事情,但是黑客一直在那儿,它既没有撤退,也没有减少攻击,只是把攻击更加剧。所以我们能不能更往前走一步?
我认为还会衍生两个方面,第一是黑客画像,他通过钓鱼在攻我,我想知道这个人是谁,即溯源。黑客如何画像的呢?分为两块,一块是弱安全性,比如说邮箱信息、QQ信息,我可以沟通一个情报,就是当我们通过一些钓鱼网站注册的域名信息得到他的邮箱的时候,我认为他就是黑客,后面我发现他真的不是黑客,他只是集群黑客的一个链条。
钓鱼网站有几个链条,首先他会注册一批站群,叫“出租屋”。有人负责注册域名,有人负责搭网站,有人负责域名租给你,一个星期2000块。安全人员去定位这个人的时候,结果他是租的。还有验证数据库真实性的洗库服务。这是黑客画像的思路。
最后是黑产反制。
我在行业中没看到有人这么做过,但是我们尝试做了一个活动,在前段时间,我们针对超过1900家钓鱼网站进行了反制。受害者的数据包括用户名、银行卡号、银行卡密码、身份证号、家庭住址等,为什么洗库可以洗出100万?因为黑产的人能够通过这些信息把你的钱转走。而且钓鱼网站多少年了?今天拦截一个,明天打一个,后天又出100个。我既不知道哪些客户受损,也不知道哪些人在做这个事情,清单是没有的。
受害者数据
给大家讲一个真实的案例,在去年我们拿到几千的数据,然后就去报案,但很难受理。因为,第一受害者没报案,第二受害者不在接收报案的管辖区,第三就是成本问题。如果每一个损失小额财产的用户都去报案,公安是处理不过来的。
有很多是我们不知道的,打到最后没有钓鱼网站可打了,如果在座的遇到钓鱼网站,不妨给白帽汇提供,我们来打。截止昨天统计的数据超过1900家钓鱼网站,16000受害客户。我们为什么把自己标榜为草根阶级?我更愿意从一些最基层、最基础的安全攻击去入手,把没摸透的产品和情况进行摸底,然后进行还原。
最后再强调一下黑客画像。这是一个实际发生的案例,拿到QQ以后,我们会通过QQ做一个接入点做画像,还会分析他的线下信息,比如常用的手机号、姓名、身份证号和住址等。做这个事情的原因是什么?我们认为安全的环境一定不是等来的,而是通过打击黑色产业得到的。把攻击者进行抓获也好,进行惩罚也好,反正安全的环境等是等不到的。
财经、IT文章写作者,社会工程学名著《欺骗的艺术》译者,《财经界》杂志长期撰稿人,曾任中国计算机安全网、光芒网主编,现任安全牛主编。
活动集中营}
CSonline当前有效登录期为五天什么意思
我有更好的答案
这是活动提示 也就是说 你再连续登陆5天就可以获得活动奖品了 ok
跟他们比够详细了吧楼主给分吧
采纳率:34%
我的也有,难道是活动?累计在线时间
活动,登陆够那么多天就有奖励
都有,就是看你登录的天数
其他1条回答
为您推荐:
其他类似问题
csonline的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。谁说CS:GO仅仅是游戏?原型来源真实到你尿
CS可以说是8090一代记忆,黄金枪之类的根本不值一提。现在,新一代续作的CS:GO已经全球火爆。真实,用心,不是国内游戏可以比拟的。光光角色原型,就已经非常考究了。来看看,警与匪的原型在那里
一、炙热沙城II里面的CT——IDF
IDF,全称“以色列国防军”(Israel Defence Force)创立于1948年,是中东地区国防预算最高的军队之一,作为世界上最有战争经验的武装力量,在建国半个世纪以来参与了五场主要的大型战争和其他无数的小型冲突。在人员上,以色列国防军的主要优势是其人员训练的精良品质以及完善的制度,而不是人员的数量多寡。
以下是现实中的装扮。
二、炙热沙城II里面的T——或是塔利班
这个虽然只是可以看出是中东的,但是一推测,中东的恐怖分子,那很有可能就是塔利班了。塔利班(普什图语和波斯语:???????,英语:Taliban,意即“伊斯兰教的学生”,也意译为神学士),是发源于阿富汗的坎大哈地区的伊斯兰原教旨主义运动组织。成立之初,塔利班总共只有800人,因此许多人对其并不重视。但是这支派别高举铲除军阀、重建国家的旗帜,且因为纪律严明而作战勇敢,并提出反对腐败、恢复商业的主张,因此深得阿富汗平民的支持,使得塔利班的实力急剧膨胀,发展成为一支拥有近3万人、数百辆坦克和几十架喷气式战斗机的队伍。
目前塔利班主要由占阿富汗人口63%的普什图人组成,而普什图人又有不同的地域和派别之分。塔利班中坚力量是来自坎大哈的吉尔扎伊普什图人。巴基斯坦记者艾哈迈德·拉希德在他的著作《塔利班》中写道:“早在塔利班攻下喀布尔之前,奥马尔就曾在坎大哈召开了一个 由各部族首领、伊斯兰教宗教领袖参加的大会,并接受了‘信徒的领导者’的称号”。
以下是现实中的装扮。
三、意大利小镇、死城之谜里面的CT——GIGN
据说是法国GIGN的人物模型,法国宪兵特勤队(GIGN:groupe d'intervention de la gendarmerie nationale 直译过来是国家宪兵干预组)是一支专门从事于反恐怖活动的特种突击队,诞生于日,号称“凯旋门前的利剑”。创始人是布鲁托中尉。以下是现实中的装扮。
四、意大利小镇、炼狱小镇的T——ETA
图中的恐怖分子模型叫做分离主义分子(Separatist),原型是西班牙分离主义组织埃塔。巴斯克恐怖组织ETA埃塔(ETA)是巴斯克语中“巴斯克家园与自由”( Basque Homeland and Freedom -- ETA)组织的首字母缩略语。巴斯克位于西班牙北部同法国交界的比利牛斯山脉地区,是西班牙重要的工业区。巴斯克民族民族的重要聚居区,它在语言和习俗上都同本地西班牙人有很大差异,几百年来西班牙政府都给予巴斯克地区以相当高的自治权利。20世纪三十年代初,西班牙独裁者佛朗哥残酷镇压了该地区的独立运动,并拒绝恢复巴斯克人的自治权。这引起了巴斯克族人中强硬的民族主义分子的强烈不满,他们成立了多个组织,发动了针对西班牙政府的一系列要求独立的暴力活动。其中1958年成立的埃塔组织近三十年是巴斯克独立运动最积极的行动者。“埃塔”成立于1958年,原为弗朗哥独裁统治时代西班牙北部巴斯克地区的一个地下反抗组织,逐渐发展成为危害整个西班牙社会、以暴力从事民族分裂活动的组织。“埃塔”的政治目标是通过暴力斗争将巴斯克地区从西班牙分裂出去,建立一个包括法国南部一部分巴斯克语地区在内的独立国家。“埃塔”现有数百名成员,他们经常流窜到法国、比利时、德国、意大利以及拉美的墨西哥、乌拉圭、多米尼加等国家作案。从1968年至今,这个恐怖组织制造了无数的恐怖活动,致使近千人丧生,数千名无辜平民伤残。日,埃塔通过“加拉日报”网页发布视频和文章宣布永久停火,并强调这是“明确、坚定且永久性放弃武装对抗的承诺”, 从此被招安。
以下是现实中的装扮。
五、核子危机中的CT——SAS
特种空勤团亦译空降特勤队(英语:Special Air Service,缩写:S.A.S)是英国陆军特种部队,专门负责执行反恐及特别行动等任务,其前身为于第二次世界大战中在北非战线执行敌后任务的陆军志愿人员,人数稀少而且作风低调。自1980年伊朗大使馆包围战起,特种空勤团在全世界媒体面前获得了胜利,并且为其赢得举世声誉。在福克兰战争中的表现,亦证明了他们在传统作战与对抗恐怖份子上亦具有不相上下的能力。世界多国都以特种空勤团为楷模,美国陆军三角洲部队等就是师承特种空勤团而成立的。
以下是现实中的装扮。
六、核子危机中的T——巴尔干激进分子
作为历史上划分传统欧洲与中东、东欧的地理过渡地带,巴尔干更为人熟知的是另一个名称“欧洲火药桶”。 近代以来,除了我们熟知的“第一次世界大战”在巴尔干爆发之外,在南斯拉夫解体后的十多年里,巴尔干地区的局势也随之动荡不安。长期的冲突给巴尔干地区的极端组织和各类地下网络的发展提供了良好的机遇。有鉴于巴尔干地区极端组织和犯罪组织的合作关系,欧洲一些国家也采取了严厉打击的态势。如在2014年7月意大利警方曾经与阿尔巴尼亚警方合作,联手打掉了一个阿尔巴尼亚犯罪网络,该网络负责将欧洲境内的极端分子通过阿尔巴尼亚输送到土耳其,再经过土耳其的犯罪网络进入叙利亚和伊拉克境内,参加“伊斯兰国”等极端组织。但是由于巴尔干国家力量仍然不足,加上腐败和监管缺失,巴尔干地区恐怕仍然是极端组织连接欧洲和中东的重要通道。
以下是现实中的装扮。
七、死亡游乐园的CT——德国GSG-9
德国第九国境防卫队-- GSG第九小队建制于1972年,隶属于德国慕尼黑,有“死亡之路”的称号。对于对接连发生的恐怖事件而束手无策的西德政府来说,当务之急是必须马上成立一支训练有素的反恐作战队伍。但是,鉴于盖世太保和德国特工等纳粹分子笼罩在人们心头的阴影,不仅西德的国民,就连周边国家的人民也对在西德军队中保留特种部队的编制有所顾虑,但警察又无力胜任这一工作。于是西德政府考虑在联邦边防警卫队中创建解救人质的部队。由于西德的联邦边防警卫队不是为战争而创建的,是警察的一种,不属于军队但又是一种接近军队的组织,所以恰好符合要求。日,在事件发生后的六个月内,德国边防军第9反恐怖大队〈GSG-9〉成立,这是一个非常惊人的速度。在组建过程中,英国空军特种部队给予了他们极大的帮助。GSG-9的队员仅从边防警卫队的志愿者中选拔,参选人员必须具备3年以上边防警卫队警察的经验。此后,被选拔的队员要接受6个月(也有资料说是22周)的训练,这个训练时间与一般军队新兵接受训练的时间一样长。在这段时间内完成“空降”、“登陆” 、“山岳” 几项训练。此后,他们还要进入北约的远距离侦察训练学校接受更进一步的训练。
以下是现实中的装扮。
八、列车停放站、雨林遗迹(吊桥)的CT——SEAL Team SIX,第六海豹突击队
美国海豹第六特种部队(英文:SEAL Team SIX,缩写ST6,或译美国海军海豹部队第六小队),是美国海军的反恐特种部队 ,隶属于美国国防部美国特种作战司令部,通过美国特种作战司令部联合特种作战司令部与美国中央情报局合作进行全球范围内的隐蔽行动。1986年,美国海豹第六特种部队正式更名为美国海军特战发展大队。海豹六队成立于1980年10月,也就是鹰爪行动失败的六个月过后,一开始只是作为军人为战争预备的先行训练单位,而在这时期只有两只海豹队伍存在并且执行任务,海豹第六小队于1981年开始正式官方运作。1987年,海豹六队拥有了正式名称“海军特战开发小组”(Naval Special Warfare Development Group,另称NAVSPECWARDEVGRU,一般人称DEVGRU),关于名称为何变换,有多种说法,从运作防卫到队伍名声,所有说法都指向了海豹六队的创办人理查德·马DEVGRU主要的任务是搜集情报,进行各种反恐怖主义行动,包括海军部门以及美国特战司令部,也有进行团中的开发管理或是科技开发,主要给海军特战部队使用(如海豹部队)。在上述的DEVGRU的任务当中,有些人认为DEVGRU与陆军特种部队三角洲部队有同样的能力,事实上,这两个部队也互相训练交流,也会一起部署。现DEVGRU驻扎在弗吉尼亚州Oceana海军航空兵站Dam Neck海军训练基地,隶属于海军特战司令部。辛克。
现实中的装扮是这样的
九、死亡游乐园、列车停放站、雨林遗迹的T——爱尔兰共和军
在CS系列中,该恐怖分子形象被称为凤凰战士,因为杀死任何一个看着不顺眼的人而著名,是东欧最使人胆战心惊的恐怖分子。于苏联解体不久后组建 正如其组织名称一样,冷酷的外表是他们的伪装。但在现实中,其实他们是爱尔兰共和军(Irish Republican Army),反对英国政府的武装组织,长时间通过暴力活动实现政治诉求,故被许多国家视为恐怖组织。1919年由旨在建立独立的爱尔兰共和国的民族主义军事组织“爱尔兰义勇军”改编而成,目的是与驻在爱尔兰的英军作战。曾为爱尔兰独立、现为统一北爱尔兰而战斗,分为正统派和临时派,英文简称IRA。1937年爱尔兰独立后,北爱尔兰仍处于英国的统治下。爱尔兰共和军宣布继续为实现南北统一而斗争,并实行暴力活动。到20世纪60年代中期,组织已基本解体。虽然前前后后多次宣布停火,但直到日,爱尔兰共和军政治组织新芬党的领袖格里·亚当斯在英国北爱尔兰贝尔法斯特出席新闻发布会。当日,负责监督爱尔兰共和军解除武装工作的国际独立委员会宣布,爱尔兰共和军已完全解除武装,全部武器被列为“永久不可使用”或“永久无用”,所有用于准军事化活动的武器也都被收缴。
十、殒命大楼的CT——洛杉矶特警
洛杉矶警察局被认为是现代美国特警队的发源地,因为洛杉矶特警队是全球最早建立的一支特警队,也是首屈一指的特警队。该特警队在建立初期被命名为SWAT,后来,SWAT逐渐成为特警队的统称,为了加以区分,洛杉矶特警队更名为LAPD SWAT( 即Los Angeles Police Department Special Weapons And Tactics)。SWAT是“特种武器与战术”(Special Weapons and Tactics)的英文缩写,也可简单翻译为“特警队”。特警队的成员是警察中的精英人物,主要负责应对和处理各类突发事件和危险事件,如解救人质、搜查逮捕危险人物、围攻恐怖分子或有强大火力武器的匪徒等,是反暴力、反恐怖的特别执法单位。
以下是现实中的装扮。
十一、殒命大楼的T——Professional
名字就叫“专业”,背后的钱袋很容易让人想起PAYDAY这款游戏,他们有几分冠冕堂皇的纽约口音。根据WIKI中描述,人物灵感可能来自于1992年昆汀·塔伦蒂诺执导的电影落水狗“好家伙”艾迪(克里斯·潘饰)是黑帮老大乔·卡伯特(劳伦斯·蒂尔尼饰)的儿子,为了到珠宝店抢劫一批钻石,艾迪召集了六个互不相识的人进行这次行动,并让他们以颜色为代号。他们分别是白先生(哈维·凯特尔饰)、橙先生(蒂姆·罗斯饰)、金先生(迈克尔·马德森饰)、粉先生(史蒂夫·布斯塞米饰)、棕先生和蓝先生,为了保密,他规定这六个人不允许透漏自己的私人信息。虽然保密工作做得很严格,但他们还是中了警察的埋伏,蓝先生和棕先生当场死亡,白先生冒死将深受重伤的橙先生带回约定的仓库。路上,白先生对橙先生表现了高度的信任与关怀,还将自己的私人姓名告诉了他。在约定的仓库里,渐渐等来了 “好家伙”艾迪,埋藏钻石的粉先生和抓到一个警察的金先生,他们等待着黑帮老大乔的分配。在等待的过程中,他们仔细回忆事件的整个经过,发现六个人中一定有内奸,否则警察是不会及时赶到的,在对金先生抓来的警察严刑拷问之后依然未果,就在他们决定烧死警察的时候,橙先生将手枪对准了金先生,到底谁才是卧底,事态的发展越来越严重,一场血腥的较量开始了。(摘自百度百科影片介绍)
以下是现实中的装扮。
十二、办公室的CT——FBI
美国联邦调查局,隶属于美国司法部,英文全称Federal Bureau of Investigation,英文缩写FBI。“FBI”不仅是美国联邦调查局的缩写,还代表着该局坚持贯彻的信条——忠诚(Fidelity)、勇敢(Bravery)和正直(Integrity),象征联邦警察。FBI的任务是调查反联邦法罪犯,支持法律,保护美国,调查来自于外国的情报和恐怖活动,在领导阶层和法律方面执行。对联邦、州、当地和国际机构提供帮助,同时在响应公众需要和忠实于美国宪法的前提下履行职责。五大影响社会的方面享有最高优先权: 反暴行,毒品/有组织犯罪,
十三、办公室的T——blackbloc
传统意义上的“黑块”起源于二十世纪八十年代在德国兴起的“自治运动”,在”盘踞“活动中,自治主义者身着黑色的赤军服饰参与到对抗和声援示威中。自治主义者选择穿着黑色皮质外套的一种解释是外套可以为盘踞者保暖且缓解警察用警棍殴打所造成的伤害,而滑雪面具可以过滤催泪瓦斯并掩盖身份。德国媒体最早称这些人为“Der Schwarze Block”。“黑块”真正被广泛运用是由一支北美无政府革命组织于1991年2月进行反对美国对伊拉克发动海湾战争活动的时候,它的主旨是“爱和愤怒”。黑色历来被视为无政府主义的象征,最早可追溯到巴黎公社时期,那时黑旗往往飘扬在那些无产阶级的暴动当中。“黑块”和其他反全球化的团体的区别在于他们通常利用暴力和对公共设施的破坏传达出他们对跨国公司及其享有的西方政府的资助的不满。1999年的反世贸活动中,The Gap,Starbucks,Old Navy以及其他国际零售品牌的店面在西雅图市中心所受到的破坏就是很好的例子。该战术兴起于20世纪80年代的欧洲自治运动中反对驱逐盘踞者、核电站以及限制堕胎等政策的抗议活动中。在1999年西雅图的反对世界贸易组织(WTO)的抗议活动中,一个黑块群体破坏了西雅图市中心的GAP、星巴克、老海军以及其他跨国集团零售点的财物,黑块随之获得了在欧洲以外更广泛的媒体关注。在CSGO的无线电中也有“Let's burn the whole place down!”的句子,原型应该是他没跑了。
以下是现实中的装扮。
十四、凶厄游轮中的T——索马里海盗
索马里海盗,是一群专门在海上抢劫其他国船只的犯罪者。随着1991年索马里内战的爆发,亚丁湾这一带海盗活动更趋频繁,曾多次发生劫持、暴力伤害船员事件。索马里海盗有四大团伙:邦特兰卫队、国家海岸志愿护卫者、梅尔卡、索马里水兵。2009年12月,索马里海盗当选为时代周刊2009年年度风云人物。日,联合国安理会决定在索马里境内和境外设立特别法庭,负责审判在索马里附近海域实施海盗行为的嫌疑人。索马里海盗,泛指在东非的索马里海外的亚丁湾(红海与阿拉伯海之间),进行打劫或掳人勒索的海盗群。是一群专门在索马里附近海域抢劫过往船只财物的犯罪者。1991年索马里内战的爆发,令亚丁湾这一带海盗活动更趋频繁,曾多次发生劫持、暴力伤害船员事件。索马里海盗有四大团伙:邦特兰卫队,他们是索马里海域最早从事有组织海盗活动的团伙;国家海岸志愿护卫者,规模较小,主要劫掠沿岸航行的小型船只;梅尔卡,他们以火力较强的小型渔船为主要作案工具,特点是作案方式;势力最大的海盗团伙叫索马里水兵,其活动范围远至距海岸线200海里处。
以下是现实中的装扮。
反恐精英,顾名思义就是反恐战争中的精英分子,CS取材的是真实的世界。过去,CS1.6受到技术限制,很多不合理的东西,在CS:GO都得到了修改,虽然CS:GO也可以买皮肤,开箱,但是,真正影响成绩的,只有你的技术
电竞游戏的好处在于公平,真正的电竞游戏不会让你靠充钱变强,只有经常玩,经常对战才能提高水平。相比而言,电竞装备倒是对游戏有帮助CS:go相信会取代MOBA游戏成为新的电竞一哥。
责任编辑:
声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
今日搜狐热点首登世界cs王座的中国女孩
闪光弹、手雷、主战步枪(AK、M4)、瞄准、射击、敌人倒地……这不是真实的战场,但是紧张的气氛、惨烈的战况,让每个参与者都以为自己是真正的战士,无论是警、还是匪。
虽然,内有代父从军的花木兰,外有被法国人喻为“圣女”的贞德。但是,在古今中外的战场上,男人总是占绝对多数。即使在虚拟的网络世界,亦然。
CS(反恐精英)游戏的拥趸也是男性居多。各大CS游戏论坛,从建立者到版主、“灌水人”几乎是清一色的男性玩家。从全球第一强队SK,到中国的wNv战队,国内CS职业竞技选手和游戏爱好者谈论最多的,也是男子战队。然而,中国CS游戏历史上的第一个世界冠军却是五位巾帼——Swan[5](5只天鹅)获得的。其中,身为队长的邹璇,当年只有17岁。
幸福地去战斗“我觉得在年轻的时候,还有充沛的能量去奋斗的时候,就要多付出一些。否则,老了也心有余而力不足了。能为自己喜欢的东西付出,是幸福的。幸福的奋斗虽然也会有苦涩,但是其间复杂、美妙的滋味只有奋斗过的人才会真正懂得。”
从初中二年级开始接触CS游戏的邹璇,当时只是把它当作“周末娱乐”而已。后来,因为一些天津CS高手的传道授业,还有邹璇“年龄小,学东西快,又比较执着”,她参加了天津的多场比赛,拿了几次冠军,就此树立起属于她的自信。2004年“五一”假期,为了参加北京的ESWC(电子竞技世界杯),邹璇通过QQ联系了几个CS“战友”。不顾父母的反对,只身跑去武汉参加集训,开始了她的职业电子竞技生涯。
“当时是自费训练,只有房子和训练机器是免费的。”邹璇说,她们是一群怀揣着共同梦想的花季少女,用积攒的零花钱作为自己的“军需资金”。
每天14个小时的高强度训练,让刚满16岁的邹璇早早地患上了颈椎病。相对于身体的这点儿小病痛,邹璇更在意的是,她离自己的目标还有多远?
然而,邹璇的父母并不看好女儿的梦想,甚至曾强烈地反对过。
网络游戏一向被很多中国家长视作洪水猛兽,邹璇的父母也曾这么认为。
每次大赛前要有两三个月的训练时间,邹璇又多了项三个月没进校门的记录。因为打比赛,邹璇主动辞去担任了好几年的班长职务。对于女儿越来越沉迷于CS游戏,邹璇的父母生气过、无奈过。
“我有时候在家通宵练习,我爸为此砸过好多次鼠标,弄断过很多根网线。”
看着老爸的愤怒和无奈,虽然心里有些不忍,但是邹璇的表情“当然不服软”!因为,她清楚地知道自己在做什么。
邹璇15岁时,父母离异。对于家庭的分裂,邹璇看得很开。“父母离婚是经过我同意的。当时父母已经没有感情基础了,他们俩的性格也都已不适合彼此。我觉得他们分开对双方都会更好些。”
对于这个清楚自己想要什么、需要什么的孩子来说,任性是必然的。她不甘心在理想还未疲倦的时候,就被压进“典型道路”中去,所以总是挣扎着,憧憬那海阔天空的境界。邹璇从没觉得追求自己想要的东西有什么错误。“我只想追求属于自己的成功感觉,证明给自己看——我可以做到最好。虽然CS是男孩子擅长的东西。”
中国CS游戏历史上的
第一个世界冠军因为邹璇对CS游戏的执著追求,还有在这方面的过人之处,父母最终妥协了。“父母从我获得2004年中国ESWC冠军的时候,就开始支持我。”
邹璇她们以前去参加比赛的时候,坐的都是硬座火车。晚上,好几个人挤在一个屋子里睡,环境也不卫生。即使在这种情况下,她们对CS游戏的执著依然。父亲看着几个女孩子太苦了,而且也希望能帮助自己的女儿在这条路上走下去。因此,2005年,中国女子反恐精英战队Swan[5]去西班牙参加比赛的15万元花费,都是由邹璇的父亲赞助的。这其中包括训练费、CPL(电子职业联赛)西班牙站的所有路费、住宿费,还要给几个女孩子开工资。
父亲的支持,让邹璇倍受鼓舞,她要用冠军奖牌致敬伟大的父爱。
2005年,中国女子反恐精英战队Swan[5]在CPL西班牙站的比赛中,以全胜的成绩获得了冠军。这是中国CS游戏历史上的第一个世界冠军。喜讯传回国内后,在游戏、电子竞技爱好者中引起了空前的关注,网友纷纷向这些“女警”们表示祝贺。尤其是作为队长的邹璇
(ID:Swan[5].VaLeN)更是因其靓丽的外形、稳健的作战风格赢得了无数国内CS游戏爱好者的喜爱。
句号后的逗号如果说当初邹璇的执着,成就了一个中国首位CS世界冠军。而伴随着这个冠军的辉煌,竟是邹璇出人意料的华丽转身。她开始追寻一项新的人生桂冠。
“我这个人就是这样,每个时期有自己明确的目标。人在不同的时期有不同的梦想。”邹璇现阶段的梦想是要做个女强人。她说,要成为上《时代》杂志封面的那种人。从小跟随父亲的创业脚步一起成长的邹璇,将未来的方向瞄准了从商。
由于邹璇将大部分精力都放在了CS练习上,因此,高考也没出意外地成绩平平。在上海的一所大学读了一年设计专业后,邹璇决定退学。“因为设计不是我的兴趣。我真正喜欢的是经商。”邹璇决定去英国留学,准备申请伦敦政治经济学院。现在,她参加了一个为期4个月的雅思补习班。每天上午9点到下午3点上课,回家后还要学习到深夜12点。“现在的目标是努力考好雅思。我要全力以赴。”
虽然现在不怎么玩CS游戏,但邹璇依然很珍惜那段属于CS的美好记忆。她觉得自己在“CS的人生”中,学到很多在学校里学不到的东西。她学会了自信、不紧张,懂得了个体与集体的关系。“我觉得teamwork(团队合作)是最重要的,经商是非常讲究团队配合的!”
5个“警花”,一顶世界CS游戏的“皇冠”,让全球的游戏爱好者知道中国有个声名赫赫的“美女战队”。邹璇由此进入国人的视野,并引发更多的人开始思考电子竞技和网络游戏的利弊。
日,在北京人民大会堂举行的“中国数字体育互动平台启动仪式”上,时任中国奥委会副主席的何慧娴女士宣布:国家体育总局已正式批准电子竞技为我国第99个正式体育项目。
很多游戏玩家终于可以吐气扬眉,称自己为“电子竞技选手”了。然而,无论是电子竞技选手还是游戏爱好者,邹璇都认为,“如果你生命中只有游戏就太单调、狭隘了。虚拟世界只能让人暂时感到满足,但是人不可能不回到现实世界。其实,离开了游戏,才发觉生活更加精彩。”
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。由安全牛举办的“CS 3:威胁情报解决方案峰会”于昨日在京举行,360、IBM、谷安天下、微步在线、白帽汇,这国内五家在威胁情报应用技术上领先的安全厂商和安全咨询公司悉数到场。
据安全牛主编 李少鹏 介绍,CS系列论坛是“专注安全解决方案的大会,我们面向的主要是用户,讲的是自己的产品,解决的是甲方面临的安全问题。我们不怕打广告,但我们演讲的产品和方案,都是经过安全牛精心选择过的,值得推荐的优秀产品和方案。”
“威胁情报众所周知是目前最为火爆的安全防护技术,但它的落地和应用在国内并未全面成熟,为此安全牛定向邀请了在威胁情报的技术、落地及应用方面非常优秀的几家公司,来为大家作演讲,听一听这几家在威胁情报应用方面处于国内领先地位的技术大咖的声音。”
一、从基础到实战 – 威胁情报生产与应用
—— 360网络安全研究院院长 宫一鸣 & 天眼实验室负责人 韩永刚
“在某种意义上我认为威胁情报有点像金字塔的塔尖,大家都在谈论塔尖的东西,但是如果没有解决基础,这个塔尖是不存在的。怎么去达到塔尖上?就要用基础数据。在某种意义上有点像是造砖头,我给你造各种各样的砖头、各种尺寸的砖头,有砖头才能盖楼。”
基础数据三大件:PassiveDNS、whois、md5
(以下内容过于敏感,原谅小编不发,下次请亲临现场听会)
如何对基础数据进行收集和处理,并作为威胁情报的基础进行搭建,然后再产出和真正地应用到客户?
APT的追踪和发现。2015年我们的APT年度报告,可以看到总共监控了29个高级威胁的黑客组织,其中14个是首先在国内发现的。在地域的活跃分布上可以看到北京、广东这些地方比较活跃。手法上有非常传统的,也有通过物理设备的接入去做劫持的,还有一些特殊手法。大部分是利用已知的漏洞来做,但也有用到0day的例子。
2015天眼实验室APT报告中的数据
有的是为国内定制的,还有一些扩展到对移动端的信息窃取,结合并利用很多的环境和方法。但是我们通过数据分析和威胁情报,把攻击挑出来,然后去落地。帮助不具备很强分析能力的客户定位找到这些攻击。
其实我们在做拼图
我们希望找到更多的线索,通过我们拥有的能力,把事件还原。就像做拼图一样,不管是攻击者还是被攻击者,用的什么样的战术、方法和过程,我们都把它找出来,找到攻击特征,最终把威胁情报给组合起来,拼成威胁情报的拼图应用到客户,以及带给业内的分享。
威胁感知拼图
我们很多精力都集中在发现这个环节上,除了发现和响应之外,我们还能够做到取证、拓展、溯源等过程。原来在没有大数据分析方法的时候,后面的半圈基本上很难做到。
响应的重要性
还有一个点,就是在响应的环节上,因为原来在这个环节上是做阻断。但现在大部分的攻击,尤其是高级威胁不可能在当时做实时的阻断。所以响应变得非常重要,这种响应可能不一定非常实时,但是也一定是即时的。
我们需要把对安全的可预见的发现和能力结合起来。今年五六年的时间里,企业在这方面的投入预算可能会占到60%,而不再是实时防护的点上。
源数据 –& 自动化分析 –& 威胁情报
威胁情报的关键就是,是否能够真正拥有数据,和对数据分析处理的能力。数据量和分析能力不同,同样的去做样本处理,得到的东西是不同的。
情报数据处理
从威胁情报警报的分析基础来讲,首先是基于源于数据的,源于所谓的可以用于威胁情报的数据,不管是样本还是在防护过程中所产生的日志、DNS记录,以及一些网址等等,这些数据是我们分析的基础。
有了这些源数据,就要进入到数据处理过程。在这个过程中,关键的是数据的挖掘和分析。我们每天新增900万的样本量,用自动化把900万的数量处理分析降到数千的级别,再从中找到一些异常的网络行为样本,最终输出的威胁情报可能是只是百级别。这个过程需要人的参与,但依赖的是自动化。
最终产生的情报需要用到产品上,不管是发现的产品,还是边界或终端。就是这样的一个过程,真正能够把所谓的源数据,武器级的数据和一些组织和实践不断地进行关联,最终产生的情报其实才是最有意义的内容。
威胁情报的落地
它可以包含几个方面,检测、发现、溯源都可以。但我们需要在一个非常完整的、互联网级的大数据里面进行分析,才能找出真正有意义的情报,而且还需要在客户这一端收集非常多的数据。所谓本地轻量级的数据平台,其实和自适应安全的体系还是非常相符的。在客户的本地,我们能够把不同方面的数据收集起来,最终在传统防护的四个纬度里面加上一个核心,即持续的监测和分析。
威胁情报落地——本地数据平台
具体落到应用上,就是在云端分析数据,产生情报,在本地帮助客户建立轻量级的大数据平台,把网络的、终端的各种数据全盘用大数据的方法把它形成轻量级的数据平台,去做响应和处置,这是一个完整的过程。
有些传统安全这方面做得好的,他们也可以把威胁情报和自动化分析和运营过程相结合,包括用数据库处理一些数据,包括在情报上与IOC(入侵指征)和响应的结合。不管是网络的还是主机的数据,都收集起来进行分析,然后应用情报,最终找到威胁,这才是真正的落地,也是一个比较实际的能力。因为毕竟不可能每个公司都有非常多的安全分析人员,如果有简单的方法,能够让他们快速运维情报,在本地找到威胁,我觉得还是非常重要的。
响应和溯源
有了发现威胁的能力,另一个很重要的能力就是响应上,即EDR(应急需求响应)。作为全盘数据采集的探针,终端数据分析和威胁情报结合起来之后,把策略在终端上执行,在终端的执行响应上就能做更多的事情。
终端检测与响应(EDR)
不管是需要做阻断还是隔离,甚至是持续的观察,在终端上其实都是可以做的。大家知道,很多时候网络上需要加密,因为很多东西在网络上看得更真。但如果同时能够看到更多的网络和终端上的差异,这个事就会更加有意思了。所以在终端上我们其实可以做很多的事情,包括对全盘数据的记录,包括获取线索,在系统中做更多的探索,结合起来这个场景也非常关键,就是在响应上。
另外一个就是溯源,在情报或数据系统里面,可以把很多信息关联起来。通过样本关联,找到它对应的域名信息等过程,除了发现以外,还能真正地进行回溯和追查。甚至通过分析,我们去搞定一个溯源,去搞定一个案件,比如上面举过的例子。
威胁情报的共享和应用
威胁情报的数据可以共享出来,和业内一起配合使用。在360的威胁情报中心上,不管是威胁判定数据,还是关联数据、样本类数据等基础数据都会有。之前由于一些系统问题,开放的注册量相对做了一些控制,后续会逐渐放得更开,希望有更多的业内的同仁能够一起在情报中心上面进行分享和协作。
威胁情报基础数据查询
另外,威胁情报还有着更为广泛的应用。APT、DDoS,以及网站钓鱼等。我们把它落地到我们真正能够落地的系统里面,帮助客户去对日常的攻击情况进行监测,这个时候其实已经是用落地的系统来帮助日常的运维,包括对网站安全平台的网站安全状况的监测。
在客户端数据的平台上,要能够把威胁情报双向应用起来,不管是推动起来,还是在查询和溯源上结合起来。情报是从数据中来,最后还要回到数据中去。威胁情报又是最终能够回到客户那边才能发挥它的作用,不管是安全和威胁的发现上,还是在自动化的响应过程当中,我们都把它结合得更好。
二、X-Force 2016:IBM威胁情报共享和协同防御
—— IBM中国区安全技术高级工程师 刘璐莹
X-Force的历史
IBM做安全应该可以追溯到上世纪80年代,从主机安全开始,IBM进入了安全领域。从那个时候开始,一步一步走到今天,包括收购等环节,建立了现在的安全体系。
IBM的安全历史
X-Force从何而来的呢?2006年,IBM收购了一家网络安全公司,ISS(Internet Security System)。这家公司主要做的是网络安全防护,X-Force就是IBM收购了ISS之后获得的名字。自从收进来以后,IBM所有的安全的研发机构,甚至包括后面收购的其他公司的研发机构,全部都叫X-Force。ISS的创始人原本就是一个安全漏洞的研究者,他是世界上首款商用漏洞扫描工具的发明。从那个时候开始,X-Force就开始研究历程,今天IBM主要的威胁情报来源就是X-Force的团队。
IBM是一家安全公司
经过不断的整合和收购,到了今年,IBM已经形成了一整套安全体系架构,在整个安全市场里,目前IBM排名第三。所以可以说IBM是一家安全公司,而且还是一家很大的安全公司。
2011年RSA发布了一个非常重要的报告,报告认为APT攻击将成为常态。当时,IBM也收购了另外一家做安全智能的公司,基于这样事情,IBM在2012年之后专门成立了安全系统部。而之前虽然我们收购了很多公司,但实际上这些公司分散在IBM各个子部门,但从2012年开始我们开始整合,市场上也逐渐出现了IBM安全的声音。之所以把它整合的原因是在于,原来我们觉得每一个部分都能够解决这部分的问题,但是当APT攻击变成一种常态,我们发现单纯做某一个领域的安全已经不足以帮助客户去维护他现在的安全环境,整个防护机制从检查清单式变成安全框架的思路上来。
IBM从2012年开始整合所有的安全类产品,把它变成一整套的框架。到今天,我们已经涵盖从数据、应用、网络、终端、移动一系列的安全框架,同时它们之间不再是分立的,而是可以互相联动,可以分享信息的。它们之间使用我们的安全智能平台作为大脑、总控,是安全运维中心的一个基础核心组件。这一系列所有的安全解决方案也好,产品也好,服务也好,实际上最终的核心或者基础都是我们今天的主角——X-Force。
IBM X-Force“大脑”
我们知道,对于安全解决方案来说,功能和性能永远是考量的第一目标。而大脑,你的安全产品的大脑才是成功防护的关键。
X-Force的四大目标
1. 监控,监控和评估瞬息万变的威胁形势;2. 研究,研究新的攻击技术,以及针对这些新攻击技术的保护方案;3. 培训客户和公众,用定期出报告的形式来培训公众。4. 集成,把X-Force的研究成果、防护技术和获得的情报进行产品化集成,使得我们的产品能够更加智能,帮助客户来做安全保护。
基于以上这些使命,X-Force有一系列的输出,包括漏洞研究、漏洞保护、恶意软件分析、IP信誉、URL过滤、Web应用控制和反垃圾邮件等等。
IBM的安全管理中心(SOC)
IBM现在依托的全球40多家安全研究机构,其中最值得一提的是IBM的SOC。据最新的数据,IBM目前有12家SOC,他们为客户做安全托管服务,帮助客户来运维安全。客户经常都会遇到APT攻击、DDOS攻击,SOC必须调用一切手段、资源或情报来完成运维工作。
我们目前的安全托管服务客户涵盖100多个国家4000多个客户,也就是说这些SOC每天可以收到来自于这4000多个客户的<span style="font-size: 16 color: #亿多个事件,通过<span style="font-size: 16 color: #亿个端点上去收集这样的一些数据,经过这些最真实的数据的整理、发现和提炼,来发现最新的安全态势。
基于十几年的积累,IBM目前记录的完全独立的、真实的漏洞,超过9万,是全球最大的漏洞库之一。目前恶意IP数量86万,URL和域名分析数据库的量在250亿以上。基于这些数据能够监控到全球高发的、严重影响的安全事件。
2013年到2015年重大安全事件整理
AOTT(先于威胁的保护)
通过不断的收集,X-Force本身的漏洞库的数量也在不断增加。在将近二十几年的积累之上,X-Force给自己出了一道题,我们的研究效果到底是什么,即AOTT(先于威胁的保护)。
什么叫先于威胁的保护?就是说在某一个漏洞被暴露或者公布之前,X-Force团队就已经知道了这个信息,并且已经把修补的方案内嵌到我们的产品里边,使得当这个漏洞真正爆发的时候,或者真正有一个CDE编号赋予这个漏洞的时候,我们客户之前已经获得了相应的保护。
X-Force最近还做了一张表,统计出百大漏洞和百大AOTT,所有都是超前的。同时给自己定了一个标准,即什么才算是真正的AOTT:
1. 防护必须要早于漏洞真正被揭露或者爆发90天,也就是三个月之前我们的客户就要能够防御这个还没有被爆发、没有被揭露的漏洞;2. 研究成果要内嵌到产品里面,并且默认打开,否则客户得不到防护;3. 启用 Trust X-Force;4. 需是重要厂商;5. 需要是近期的,太久远的不放在里面。
通过这些标准把自己变成一个安全研究机构的领导者,而不是尾随者。在某漏洞2014年爆发的7年前,X-Force就可以防御这样的攻击。
X-Force 前100 AOTT
X-Force的威胁情报
我觉得情报最重要的有三点:第一,要有,要查得到,数据相对来说比较完整。第二,要能够触发到我,因为很大的数据库可能放在某个地方,可能没有办法跟我实际的情况联系起来。第三个是要能够自动化地利用起来这些库,而不只是查询。相信很多厂商都在向这个方向努力,X-Force也一样。
我们努力的第一个方式就是和产品的结合。因为目前我们的漏洞库也可以称为威胁情报库,包括几个方面的信息:漏洞、域名、APP应用、IP信誉和URL信誉、恶意软件,还有垃圾邮件的信息。这些信息都可以和我们现有安全类的产品做结合。
比如很多网站担心被恶意注入,客户在访问网站时可能会跳到一个恶意网站上。我们在做应用扫描的时候,除了帮助用户寻找应用本身的漏洞,还可以跟威胁情报做自动的关联。当我在扫描你的网站的时候,我可以看到这个网站和恶意URL对比的情况,并且自动提醒用户,网站上已经有一个恶意的URL。
另外,我们有很多网络流量监控工具,这些工具可以看到客户在整个网络上的通信,它也可以跟威胁情报相结合,发现一些本来看不到的流量联系。可能这些流量不是恶意的,但如果那些IP、域名是有问题的,或曾经发生过问题的,就可以怀疑它是在进行攻击尝试。这些都可以跟威胁情报作集成,在产品这个层面上,可以提供实时的IP、URL漏洞分析情况,也可以根据企业本身的情况来做结合,把它变成企业自己安全策略。
威胁情报分享平台:X-Force Exchange
威胁情报的分享和利用,主要有三个重要的方式:第一个方式是你要有,你要查得到;第二个要有推送;第三个最好是自动化的方式。
IBM X-Force Exchange 就是一个开放的、可操作的、社交的情报平台,它把X-Force这么多年的积累,可以说是完全无偿开放给公众。你可以在这个平台上查询IP地址的信誉,查询某一个域名是否问题,某一个APP是不是曾经出现过问题等等一些情况。
IBM X-Force Exchange 平台
目前 X-Force Exchange 完全免费为公众开放,当然这个开放主要是基于研究和学习用途,如果是商用我们有商务的版本。同时,它也是一个可操作的一个平台。目前这个平台支持一些业界通用的威胁情报交互格式。你可以通过标准格式和自己现有的产品方案、学习工具来进行集成。同时,它还是一个社交平台,可以进行思路上的分享,多向沟通。
它实际上是一个门户,是一个向公众开放的接口,当然我们也会有商用的接口,可以和产品化来做集成。目前我们也在国内有这样的一些合作的意向,这就是我们的威胁情报分享平台。
安全领域的应用商店:APP Exchange
即然还是Exchange,所以还是共享的概念。它是什么呢?它很像是苹果的 App Store。但这是安全领域的应用商店,这里面可以看到一些安全智能合作的新平台。可以使IBM的工具和其他厂商的工具,IBM的威胁情报和其他厂商的威胁情报,形成网络互通的关系。比如我们自己的应用智能分析的APP,就是直接引入了威胁情报。
IBM 安全App Exchange 平台
通过 APP Exchange 这样一个开放的框架,可以非常方便地引入其他厂商提供的威胁情报。比如说你现在有一套安全平台,不同的领域,网络、终端、数据库、应用,可能使用了不同厂商的安全产品,或者是防护措施。我们希望这些产品都能够和现在非常火热的,而且是比较有效防止APT攻击的威胁情报做联动。
原本这件事情是很困难的,因为需要所有的厂商都去支持威胁情报。但通过这样的一个平台,你可以把下面的所有的信息收集上来之后,由这个平台来帮你和IBM,或者是其他厂商的威胁情报信息来做联动。
比如网络里面发现一个信息,但是这个网络厂商可能并不存在威胁情报的能力,这时你就可以通过这个平台,把它和IBM库里面的威胁情报信息做关联,以发现问题。这只是一个方向,你还可以做更多的事情。比如企业希望能够对内部安全事件做进一步的分析,就可以通过这样的平台来展示内部的一些安全态势。APP Exchange 就是来做这种集成的平台。
我们也可以和其他的合作伙伴来做集成。IBM即将收购一家专门做安全应急响应的公司Resilient,当你的SOC平台或者安全管理平台希望能够和专业的安全应急响应的平台做联动的时候,APP Exchange 可以帮你做这件事情。企业这边发现安全事件之后,可以直接在Resilient里来响应并跟随。
IBM 合作伙伴应用(Resilient)
再比如,和一些厂商进行合作,以往的困难在于数据格式的统一。因为有很多系列的产品,每个系列又有很多型号,为了和它集成,需要FOLLOW所有厂商的所有产品线的所有型号,这个工作量是巨大的,尤其在客户,更可能会用很多型号的产品,而Follow永远都是慢一步的。
APP Exchange 就可以帮助我们做这件事情。每出一个新的产品,一个新的版本,如果数据格式有变化的话,APP Exchange 就会自动发布,如同 App Store。当你想要这个新版本、新产品线的数据的时候,只要去上面下载即可,最新的适配器也好,格式的转化也好,新买的设备可以直接地无缝集成到我们的SOC平台上去,而不会有滞后的现象。这就变成了合作,我们叫作生态系统,希望能够通过这样的方式来去解决威胁情报,或者是说我们的安全信息交互问题。
AppExchange 平台应用外挂程序
目前 APP Exchange 上已经有超过数十个应用,还有大量的应用正在审核过程中,而且审核过程也和App Store 的审核流程相似。如果大家有一些产品,或者解决方案,希望能够跟威胁情报或者其他厂商的产品来做一些联动的话,也可以基于这个框架来做开发,并且上传到这个平台。
数据永远是分享、利用起来,才能发挥它最大的价值。
三、安全值-5分钟量化企业安全风险
—— 谷安天下安全值产品总监 赵毅
安全值是怎么来的?
谷安天下是一家信息安全咨询公司,借助“威胁情报”这一前沿技术,打造了一款产品,通过这款产品可以实现五分钟量化企业的信息安全风险。
我们关注威胁情报这个领域已经有两年的时间,通过调研发现,国内国外有非常优秀的数据资源,威胁情报的本质就是数据。但数据的纬度是不同的,因此如何把数据用好,是我们想要解决的问题。数据分析和处理或者是机器学习,不是谷安的长项,但我们可以基于威胁情报生成一些信息,并形成产品。威胁情报有了,但它的价值何在,如何使用这才是我们在做的事情。
信息安全领域,好多技术聚焦在攻防对抗、应急响应、事件处理和漏洞挖掘等方面。但谷安想解决的是上层应用,即用数据威胁情报做风险管理。这方面谷安天下就非常专业了,我们本身就是做IT风险的,所以建立一个比较好的风险评估模型,把数据玩好,还可以输入到SIM、SOC,发挥我们咨询顾问的优势,从风险评估管理这个角度来做解决方案,这就是安全值的思路。
安全值的数据基础
谷安是咨询公司,数据从哪里来呢?我们历经两年的时间,整合了全球顶尖的数据资源,一共<span style="font-size: 16 color: #多种,然后通过安全值来进行对这些实时的数据数据源进行查询和分析。这些数据有收费的也有免费的,有威胁情报数据,还有一些互联网通信类的基础数据。因为我们是第三方咨询公司,所以能够跟大家进行广泛的数据合作,这就是安全值的基础。
1. 互联网开放带来的新风险到底有哪些?
2. 如何定性企业的安全做到什么程度,每年的投入到底有什么效果?
3. 由于缺乏直观形象化的数据来支撑,管理者如何做好安全预算?
二个案例和三个价值
案例一:某银行数据中心,有一天跟国外的数据中心通信中断。检查网络、检查系统,都没问题一切正常。费时、费力干了很长时间,最后发现由于国内一些IP出于一些原因被国外放到了黑名单里,放在欧洲的防火墙黑名单里,所以造成与欧洲通信的中断,如此简单的一个问题。
以前看事情的角度都习惯于站企业内部去看,有可能还自我感觉良好,但换一个角度看问题就不一样了。从这个角度出发,我们必须换一种方式,不能光用传统的扫描检查等方式,还需要有新的方法。这个时候数据分享的价值就出来了,假如我们能够得到实时的情报数据,我们马上就能解决上面的这个案例中遇到的问题,根本没有必要投入到那么无用的网络排查当中。因此需要全方位的整合一系列数据资源,来帮助大家看到这样的未知风险。用外部的方式来看,换一个视角来看,通过安全值来看。
从这个案例中可以看到,我们所有的数据必须要实时的或至少是即时的,但谁的数据也不可能说是百分之百特别全的,怎么办?谷安不是安全厂商,既然我们是中立方,为什么不能跟大家合作,帮助企业整合数据资源呢?在实时数据的基础上,用安全值的平台做分析,最后得到量化的风险评估,这就是通过安全值来看自己。
我们把域名、主机、IP作为企业资产,然后通过100多个数据源,从业务、隐私、应用、主机、网络和环境六个纬度识别安全风险,通过建立比较完善的算法,用这六个纬度打分,最终量化风险。这些风险指标包括了IP、域名、协议在外面有没有被人封掉,域名是否被劫持,外面是不是有人曝光了你的漏洞,有没有僵尸网络,自己有没有恶意代码,甚至托管在公有云上的服务是不是有风险等等。
安全值界面
现在我们有9个指标,后续随着数据源接入的越来越多,分析、挖掘能力的强,我们会有更多的指标参与计算。帮助大家揭示风险,这是谷安所擅长的。
还有一个很关键的就是定量问题,安全值的分数是一个千分制,分越大越好。每天都去计算一下,就可以形成一个趋势,直观简单的发现新的风险。这就是我们带给大家的第一个价值,用安全值看自己。
案例二:分享一下某集团公司信息安全管理部进行量化安全考核评价的经验。大家知道,集团管理的下属单位都有安全考核的机制,用什么方法能够帮助实现这样的绩效考核呢?如果用分数进行量化,而且是自动化的操作,就能计算出来进行评价呢?
安全值在这个集团公司进行了很好的应用,可以对全国范围内的公司进行安全绩效的评价。直接实现,而且是自动化。这个纬度上,就不是用安全值看自己了,而是站在全行业的角度上去看。
这个平台3月27号运算的数据,银行业是854分,后续不光是银行业,还会有证券、基金、保险,我们都会连续的出行业分析报告,希望通过安全值的简单方式就能了解行业的基本安全情况。
这个分是怎么算的呢?平台从网上采集到了207家金融机构的数据,基本是在10亿资产以上的。把它的安全值都算出来,取平均值,即854分。有114家属于800到1000分这个区间,这是“良好”。还有8家单位扣分扣得多,评价是“较差”。我们还把它进行分类分析,大家知道有很多资产不一致的单位,它之间的可比性较差。因此我们细分了股份制、政策性、城商行、农商行等等,后续我们会根据这些细分去做详尽的分析报告。
通过这种方式,我们也摸了一下这207家银行的资产情况,发现2000多个域名、主机,4000多个IP,通过9个风险指标我们进行了高、中、低的定义。最后发现在这里边最高的风险类型,就是域名被封、IP被封和僵尸网络这三类。这就是行业需要优先解决的问题,最大的风险就在这些方面。
银行业安全值报告
说到这儿有些人可能会问,你的数据你的平台反应的就是全貌吗?这个行业就是这样吗?你只是从外部的数据去看,能代表银行业的问题吗?
这里的关键在于,所有的行业都是在同一个综合数据平台的基础上,同一个评价体系的标准之上进行分析量化的,因此至少它的相对分数是客观的。而且我是第三方,大家作为行业监管也好,集团管理也好,反正有行业需求的话,我们就可以通过外部的方式进行量化的评价,对整个行业进行评价。我们会在安全值平台的首页上,把各行业的安全值公布出来,大家可以做一个参考,这就是我们如何做绩效考核和行业分析的思路。
三是我们要在同一个尺度下衡量风险,这是很重要的事。这就是我们要给大家带来的第三个价值,通过安全值看差距。如同比大小,关键是要在一个尺度下面进行衡量,用同一组数据、同一个算法、同一个尺度看差距。我们希望通过这种大数据的方式建立统一的量化风险评价的标准,让大家在同一尺度上有比较,以获得收益。
安全值“差距分析”
比如上卖弄这张图,蓝色代表自己,红色代表行业水平线。通过这个,就可以知道哪方面比行业做得还好,哪方面有所不足。不足的就是要改善的地方,也是安全需要投入的重点。我们还把差距部分进行了详细的表述,包括数量、频率、相对时间、影响等等,多个纬度的指标系数都可以进行比较。所以通过这种量化的方式就能够让大家在同一尺度下进行对比,这是一个非常大的价值。
通过安全值可以看自己、看行业,也可以看差距。我们希望通过安全值这样的产品,能给大家带来专业的数据服务,并且利用我们整合资源的能力,帮助大家把多个资源进行整合起来,发现未知风险,对风险进行量化,并且跟行业还可以做差距的分析。这就是我们把风险管理通过数据这个桥梁带给大家的思路。
四、攻陷指标(IOC)不等于威胁情报
— 微步在线创始人兼CEO 薛锋
微步在线应该是国内第一家专门做威胁情报的公司,去年6月份成立的时候,国内对威胁情报的实践几乎没有,大家对这个概念还是处在学习和观望的阶段。即便到了今天,大家还是对威胁情报的理解有一些不同,但这种百家争鸣、百花齐放的环境是非常好的。我们的定位是一个专注于做数据的公司,我们做威胁情报最核心的就是两个东西,一是数据,第二个就是对数据的分析,分析之后提炼出来有价值的东西。
Norse的可视化做得非常好,但它的失败是在比较重要的威胁情报事件里做了很多严重的误判。所以威胁情报公司还是应该比较严谨的。比方说索尼影业被黑,说这不是朝鲜干的,是伊朗干的,如果连续有几次这样的事件离关门就差不远了。
做威胁情报分析是一件很苦逼的事情,但对于我们做的人来说是很有乐趣的。我们做网络安全真的不止是漏洞,也不止是病毒,对这些东西的进行有效的关联和展示才是最有意思的。因为只有把这些东西串到一块才是一个故事,如果只看病毒,只看代码,是没有价值的,或者说价值非常有限,尤其是对做应急响应来说。
作为比较年轻的公司,在威胁情报方面有哪些实践和应用,其中我挑第一个和第三个单独说一下。第一个事情是在咱们这个圈里面非常有名,去年9月份的Xcode事件。有人设法控制了全国大部分的iPhone,但是我看到一个有趣的现象,很多安全厂商,友商在做各种不同的分析,有人做病毒功能的分析,有人分析有多少APP被感染,有人分析背后的作者是谁,形成了百花齐放的局面。
XcodeGhost事件
威胁情报在这个事情上有什么应用呢?其实就是结合了PDNS的数据做了简单的挖掘。在Xcode事件里面带了三个域名,都是三级域名,我们当时想去通过这个小小的木马去分析背后的团伙是谁,以及它的动机是什么,我们拿到这个数据就查到了一些信息,发现信息全是匿名的,这个事情如果只是这么查肯定是查不下去的。但我们用威胁情报的思路,通过查IP的出现时间,和一些域名等信息,最终找到有价值的信息。
之后我们想分析一下这些人到底是好人还是坏人,他们在微博上注册了微博,说他们做研究,不干坏事。虽然木马里有比较复杂的功能,但是没有人目击见证它干坏事。我们当时做了一些分析之后发现,这个木马跟一个iOS的木马、PC上的木马有关系,最后经过细致、精心的分析之后发现它跟iPhone上的病毒没有关系,但是它以前是写过PC上病毒。这就是通过反病毒,结合网络上的分析,怎么样在应急响应,在实践中发挥作用。
去年12月份,我们发现了一个国外的组织,对境内一些目标的攻击。这个案例里面通过发送一个Word附件,只要你点开链接就会中毒。我们通过一些对比,包括常见的,喜欢什么样的域名,喜欢搞什么样的目标,它的木马跟以前有什么不一样的地方,服务器的框架是不是使用同样的框架。最后我们发现这是一个团伙,主要是针对境外攻击比较多一些。这是比较真实的境外的组织对国内APP的攻击。这个攻击还有一个有意思的地方,我们从Flash文件入手,第一步先挖出来,第二步再往前走一步,挖出来他到底是什么人,当然也离不开木马的分析,这部分的信息我们并没有公开。
威胁情报还是离不开数据的。现在的数据着重在几个方面,一个是在木马病毒方面的白名单和黑名单,我们有4亿白名单,这是跟微软厂商合作的,也有一些对全球域名的数据,比如全球有多少域名,每年新增有多少几百万,包括三级、四级域名,和过去五年中的IP信息变化,还包括跟国内,包括像百度、360这样的杀毒软件合作。
数据来源也是多种多样的,包括跟电信运营商的合作,跟云计算厂商的合作,有很多不同的渠道,我们自己也布了一些点,但是我们开始的时间不长,所以基本所有的数据里面,我们自己布的点的数据并不是很多,我们的工作主要集中在加工和整合的部分。
说到数据,作为情报一定离不开数据,但是大家强调的比较多的,认识比较深的是数量,就是你有多少条,这个条数其实没有太大的意义,因为1000条和10000条是很难去比对的。我觉得除了数量大小以外还有数据的多样性,有的厂商有网络数据,但是没有木马病毒的信息,比如有的厂商有特别多的云端的数据,但是他并不一定有客户端的数据,数据的多样性是特别重要的,不然你只能做特别细分的,掌握故事的一个方面。
另外还有时效性。数据的变化是瞬息万变的,如果你掌握的都是别人拿到的木马也好,网络信息也好,都是上一分钟、上一小时,甚至是几天前的,这个数据就没有价值。接下来是区域性,每个厂家的位置不同。你有上海的数据,或说有全国的数据,但是你没有全球的数据,或者欧洲的数据,这里的区域性也很明显。现在的网络攻击,不能只关注中国的攻击信息,区域性非常重要。还有关联性,不能有效地把这些信息关联起来,在做分析的时候其实是很痛苦的一件事情。
最后一点也是最最重要的,就是分析。一个团队,我之前的一个在互联网公司管威胁情报的同事讲过,威胁情报最重要的是分析师,尤其是对甲方,如果没有很好的分析师的话,其实买再多的设备、雇再多的人也没有什么用。
另外一点,因为最近勒索软件比较流行,很多客户发现他装了杀毒的解决方案,但是勒索软件用JS脚本发给每个人的都是不一样的。而我们因为跟所有的厂商有合作,所以我们经常会看到一些比较可疑的附件,有的360查不出来,IBM能查出来,有的是两家、三家能查出来,这是对付勒索软件比较有效的措施。这就是我们跟国内、国外厂商之间的合作,尤其是在杀毒引擎和一些数据方面的合作。
攻击指标(IOC)不等于威胁情报
很多人问我IOC跟黑名单有什么区别?我举一个例子,有人报警说访问了一个木马网站,传统做应急响应的话处理效率不高。而我们会给这个网站打上很多标签,包括为什么说它是一个恶意网站,就像一个百度百科一样告诉你它现在的一些基本档案情况和一些基本信息。而且在做可视化分析的时候,能看到这个域名跟其他的域名关联。这样做应急响应工作就会变得非常容易。
IOC不等于威胁情报
美国的威胁情报实践和应用比咱们还是要快一些的,所以他们已经不满足于IOC。IOC虽然跟过去的传统方案配合,能够提高检测率,但是它毕竟不能解决所有的问题。即便是这样,在国内对IOC的应用也并不是非常广泛,并不是说IOC用途不大,我之前在微软做安全的时候,IOC这种方式还是帮我们发现了很多发现不了的问题。
微步在线提供的服务
微步在线提供的服务
第一个是IOC,如果你有NGFW、威胁情报平台,我可以帮你做一些报警、试点。数量的意义其实不大,我们每天生成质量比较高的IOC在200条左右,但误报很低,建议如果命中这200条以内,就需要关注了。
第二个是威胁分析平台,后面有一个DEMO视频演示(视频略)。
威胁分析平台
第三个是免费的服务,就是高级入侵事件检测。
另外,就是我们针对现有的客户有一些响应的溯源服务。在十年前中一个木马,把这个木马删了就好。一个电脑中了木马不能满足于重装或者删除木马,可能还想搞清楚是谁黑了你,怎么黑的,为什么要黑?我们针对客户也提供这样的溯源服务。
威胁情报中心
这块是我们的威胁情报中心,就是刚才表格里面的第一项服务,推的就是IOC,画的图是结和以前的IOC格式。我们跟友商的分享都是基于HTTP的分享,这样更轻量级。
威胁情报IOC服务关系图
这个图是简单的关系图,生成的情报通过人和一些简单的算法和规则统计之后生成的情报。我们的人会跟友商或者客户之间,防火墙或者其他的系统发生交互,产生报警,应急响应人员可以根据这个东西做一些响应,包括去查它的上下游,很快能搞明白优先级高不高,是大事情还是小事情,然后再进行决策。
之前在上海的会上我们提出一个概念叫威胁情报+,因为我们公司即不做软件,也不做硬件,只是基于数据进行分析。虽然大家有时会觉得威胁情报是不是有一种看不见、摸不着的东西,但它对安全的价值我认为没有必要做太多的争论,在国外、在大型的企业里面已经看到明显的价值。它们之间的关系其实是互相促进、结合的关系。你的扫描器、防火墙对接了某种类型的威胁情报,是不是可以变得更好、更智能?
我们是相对比较中立的厂商,也希望跟更多的友商之间展开合作。我借用“互联网+”的概念,威胁情报将来可能是无处不在的存在。
五、白帽汇视角的威胁情报
—— 白帽汇创始人兼CEO 赵武
业内威胁情报已经说了很久,去年阿里也提威胁情报,但它起码分两块,为什么会出现这种现象呢?我想起一个段子,别人问马云,说王石经常去爬珠峰是为了思考一个问题,你怎么看?马云说其实这个问题我坐在马桶上也能思考。
我再讲一个很有意思的现象,很能阐述我说的威胁情报跟现有威胁情报的区别。某一个公司,这是真实的案例,他们配合国际上的一些法制法规,招到一个很牛的技术,那个技术天天帮别人写代码,去找这个部门,搞了一个月,弄出一两个后门,高兴得不得了。后来那个部门招了一个美女,这个美女什么都没有,就坐在旁边说:“大哥,这是后门的特征,你能不能给我整一些?”那个美女一个星期整了十多个。
我想说的意思是,威胁情报有两块来源,第一块来源是实验室分析出来的,他们很酷,我真的觉得很酷,因为我们做不到。但是从另外一个角度来说,有些情报未必看数据才看得出来。我发现一种现象,我建一个群,我不分析数据,我就吼一声,就有人出来说“这事情我知道”。这种情况其实对我触发很大,我们公司叫白帽汇,我们做的思维可能跟实验室的思维不一样。
我们要讲一些别人不知道的东西:
乌云的白帽账号可以卖到一万块钱,我们发现很神奇的现象,乌云有一个机制,多少天以后什么样的用户可看什么样的内容。买白帽的账号,这个信息没公开之前可以刷一批网站,这个很夸张,我们得到信息以后,确实让我们吓一跳。
刚才提到的四个问题是让大家有一个思考的过程,我们认为的威胁情报,如果大家都在说这个东西,那一定不是威胁情报,因为你知道,别人也知道,所以我认为众人皆知的不能叫威胁情报,因为信息安全最核心的本质就是信息不对称。我们跟踪的一定是你不知道的,或者你之前没听说过的,我才把它叫威胁情报。
可能很多人都知道我们做了一些数据收集和整理的工作,但我们碰到一个很尴尬的境遇,我们确实掌握了很多情报,但是这些情报从我们目前来看根本不敢对外宣称。大家可能听说过之前的一些数据泄露的情况,每个都引起行业的轩然大波。从安全公司的层面或者是国家的层面,有些东西是不能说的。但是不说不代表没有遭受攻击,但真要说出去可能就变成出头鸟被打了。
白帽汇做什么
我们去年8月份才成立,团队主要来自于360和华为,专注于做安全大数据和企业威胁情报。我们会从很多渠道去搜集,大多数人都不知道,但是实际上已经发生危害的情报数据。Nosec网站就是我们的,我们想跟白帽换一些数据过来。之前还发布过《Redis crackit 报告》和《fortinet 后门报告》。
我们为什么成立这个公司?网络攻击并不是在减少,而是越来越多。那是不是说明安全公司是无效的?不是,大家做的工作都很棒、很酷,能够保证我们的基础安全。但情报为什么不敢报?还有很多数据为什么不敢说?因为本来这么和谐的一个社会,一说就捅娄子了,就不和谐了。
从另外一个角度思考,钓鱼网站的受害者每天都在增加,有没有一个安全企业能够帮客户解决这些问题?安全实验室所有设想的安全防护是不真实的,外部的攻击绕开了你的边界防护。而且还有一个问题,如果一个攻击者使用正常的用户名和口令登录,产生报警,如何确认它是一个威胁呢?这是一个很典型的悖论,外部的攻击,通过你泄露的信息进行的攻击,甚至没有跟你的资产有任何的交互,就把你的数据拿走了。但你今天怎么分析都分析不出来,因为那个数据一年前就流传了,这是我们遇到的很尴尬的境地。
我们统计了四类威胁:
第一类是企业不知道的隐形资产,已经弃用或者新上线的资产会导致70%的攻击源。我们认为一个可被攻击的对象不止是技术上、物理上的资产,还有人员的资产。这是我们要思考的一个问题。
第二个是Nday的问题,结合刚才提到的很多黑客买白帽账号,拿到情报,去做全网的扫描,这是很大的威胁来源。
第三个是目前在安全攻防角度很明显的思考,叫外部数据的威胁,比如撞库攻击、Github泄露、钓鱼、后门。这一系列都是从外部来的,它不是从内部,内部再做数据监控都监控不了这一块。
威胁大致来自这几方面,那我们就面临一个挑战,如何全盘了解企业的资产?如何快速了解漏洞信息,并在黑客攻击前进行响应?这么多年有一个非常不合理的情况,就是面对黑客企业只会逃跑。我们是不是应该主动出击?我们永远被动等待用户受损呢?
我经常去思考一个问题,为什么企业跟安全公司对抗的时候,落后的一定是安全公司,而不是黑客。因为我们跟踪黑客的情报的时候会发现,安全公司至今很难进行友好的联动,但是黑产至今互相的联动非常之紧密,分工合作得非常好。
我们为什么老去防护,而不能去攻击?我们能不能做一个攻防的转换,把战火烧到敌人的阵营?
这里分成四个方面:
第一是黑产的情报监控。比如数据泄露、有哪些钓鱼网站针对你企业进行钓鱼攻击。
第二就是黑产打击,比如恶意源下线、安全软件拦截。360的产品、腾讯的产品、百度的产品对它进行拦截,这是我们可以做的事情,但是黑客一直在那儿,它既没有撤退,也没有减少攻击,只是把攻击更加剧。所以我们能不能更往前走一步?
我认为还会衍生两个方面,第一是黑客画像,他通过钓鱼在攻我,我想知道这个人是谁,即溯源。黑客如何画像的呢?分为两块,一块是弱安全性,比如说邮箱信息、QQ信息,我可以沟通一个情报,就是当我们通过一些钓鱼网站注册的域名信息得到他的邮箱的时候,我认为他就是黑客,后面我发现他真的不是黑客,他只是集群黑客的一个链条。
钓鱼网站有几个链条,首先他会注册一批站群,叫“出租屋”。有人负责注册域名,有人负责搭网站,有人负责域名租给你,一个星期2000块。安全人员去定位这个人的时候,结果他是租的。还有验证数据库真实性的洗库服务。这是黑客画像的思路。
最后是黑产反制。
我在行业中没看到有人这么做过,但是我们尝试做了一个活动,在前段时间,我们针对超过1900家钓鱼网站进行了反制。受害者的数据包括用户名、银行卡号、银行卡密码、身份证号、家庭住址等,为什么洗库可以洗出100万?因为黑产的人能够通过这些信息把你的钱转走。而且钓鱼网站多少年了?今天拦截一个,明天打一个,后天又出100个。我既不知道哪些客户受损,也不知道哪些人在做这个事情,清单是没有的。
受害者数据
给大家讲一个真实的案例,在去年我们拿到几千的数据,然后就去报案,但很难受理。因为,第一受害者没报案,第二受害者不在接收报案的管辖区,第三就是成本问题。如果每一个损失小额财产的用户都去报案,公安是处理不过来的。
有很多是我们不知道的,打到最后没有钓鱼网站可打了,如果在座的遇到钓鱼网站,不妨给白帽汇提供,我们来打。截止昨天统计的数据超过1900家钓鱼网站,16000受害客户。我们为什么把自己标榜为草根阶级?我更愿意从一些最基层、最基础的安全攻击去入手,把没摸透的产品和情况进行摸底,然后进行还原。
最后再强调一下黑客画像。这是一个实际发生的案例,拿到QQ以后,我们会通过QQ做一个接入点做画像,还会分析他的线下信息,比如常用的手机号、姓名、身份证号和住址等。做这个事情的原因是什么?我们认为安全的环境一定不是等来的,而是通过打击黑色产业得到的。把攻击者进行抓获也好,进行惩罚也好,反正安全的环境等是等不到的。
财经、IT文章写作者,社会工程学名著《欺骗的艺术》译者,《财经界》杂志长期撰稿人,曾任中国计算机安全网、光芒网主编,现任安全牛主编。
活动集中营}
我要回帖
更多关于 csmoney无法登陆 的文章
更多推荐
- ·生命不能承受之重感悟是什么意思生命不能承受之重感悟的解释
- ·电带动雾炮车的作用和水压带动雾炮车的作用区别在哪?
- ·这个是正确的吗,如果是错误的最后得出的这个数额定功率750w是什么意思? 750瓦电源,总价579元,平均1.3元1瓦
- ·wps怎么一页显示多页添加新的一页?
- ·活佛济公第三部剧情分集介绍季第几集女人怀抱婴儿
- ·又一个案子隐藏章攻略解决了第四章怦然消失攻略
- ·跑跑火神辅助官网封号吗?
- ·qq德州扑克辅助助,可以吗?
- ·天天传奇怎么上现在我上就是获取客户端版本号号不附为什么
- ·赌神2删减了什么 德州扑克,求助了?
- ·零佣宝新宝gg娱乐开户流程程
- ·谁有传奇幻境补丁7脚本
- ·瑞兴恒方源珠宝质量如何
- ·可不可以在买米米卡的商店里充值米币充值返利活动
- ·火麒麟的荣耀之迷你世界江叔生化酒店店
- ·dnf哪个职业和鲁鲁修头像像
- ·生死狙击的百万礼包微信摇一摇在哪里找
- ·gta5崔弗邪教任务触发脱衣舞的家怎么找不到
- ·天龙八部神节碎片不够二百美人可以用通用美人碎片合成美人吗
- ·勇者大冒险2 动漫主副猎人交换就进不去游戏
- ·现在登cs可以获得什么东西。
- ·龙之谷对阴阳师 平衡性调整做了哪些调整呢?
- ·现在中变内挂传奇传奇基本都是开什么挂
- ·暗金炎魔和赛尔号火系精灵王王那个厉害
- ·龙之谷93版本刺客烈版本更新后有什么调整啊?
- ·葫芦侠我的世界旧版本怎么多人游戏
- ·智力逃脱第六关怎么过12关怎么过
- ·7座车型湘mni7 3537u最近二个月违章实况从太平洋保险公司查询
- ·拳皇97风云再起键位q1爆气是什么键?
- ·为什么iOS虚荣一快速返回桌面快捷键游戏就退出来了
- ·天龙八部美人阵法搭配不够二百美人可以用通用美人碎片合成美人吗
- ·一进游戏就出这个 是魔兽进出频道怎么回事事
- ·最近什么网络游戏好玩游戏比较好玩?
- ·我的世界服务器ip怎么联机。求有用ip服务器
- ·LOL卖号100--300之间 一区 十二区 十九区 十七区 十四区 都转区多久可以卖号 要英雄多 符文好 有没有皮肤都无所谓
