前些天,360网络安全研究院放出了个大招,一下子拿出了19条评估威胁情报的硬核标准,说是要给这个混乱的行业定个尺子。说实话,IOC这个指标确实太重要了,毕竟现在的网络威胁情报市场规模都到了52亿美元了,可怎么算它值不值?这事儿其实挺让人头疼的。 之前大家搞威胁情报,说白了就是乙方拼命往情报里塞字段,甲方就盲目地看数据多少,根本不管什么误报率、更新频率。这种情况下,花钱买情报的人心里没底,卖情报的人心里也发慌。所以这次360直接把问题给解决了,在ISC 2020大会上拿出了这19条标准,里面既有静态指标,也有动态指标,全是用每天处理1000亿条DNS请求、覆盖超2000万真实用户的数据跑出来的。 这套标准到底牛在哪儿呢?说白了就是把IOC放进真实的网络环境里去检测,就像体检一样测心跳、测血压。以前大家只能凭空猜测好不好,现在直接看实际表现。这19条里面的静态部分主要看“家底”扎不扎实,比如字段全不全、能不能追溯源头、时效性怎么样、更新快不快等等。动态部分则是看实战能不能打,比如命中率高不高、有没有实时回传功能、能不能支持物联网这些场景。 为了让效果更直观,360还用自家的PassiveDNS数据库做了个实验。他们每天从DNS洪流里捞黑域名、高可疑域名,再生成DGA域名,让IOC在实战里跑个分。这一年下来,他们已经用这套标尺把4家公开情报源都测了一遍,结果全部公开透明。 当然,这套标准也不是谁都能玩得起的。张在峰就说,想做这个测试,数据量是最硬的门槛。要是没有海量的实网数据撑着,再漂亮的PPT也站不住脚。好在360netlab手里握着国内最大的PassiveDNS库和成熟的DNSMon系统,在僵尸网络、物联网后门这些领域已经摸爬滚打了十年。 这十年里的成绩也是有目共睹的。从2017年协助FBI破获Mirai,到2018年美国司法部公开致谢,再到首发披露iot_reaper这些大案,360netlab的实战经验已经成了全球参考系。这次把标准公开出来,目的只有一个:让甲方花钱买得值,让乙方做出来的东西够硬。