伴随网络威胁的日益升级,企业要想在网络攻防战场上成功抵御入侵,必须要做到“知己知彼”,因此如何规划、收集、处理、分析安全威胁情报就变得相当重要。而作为高级威胁对抗能力的基石,威胁情报更成为企业快速响应网络攻击的关键筹码,受到业界以及机构管理层的的充分重视。
那么什么是威胁情报呢?
威胁情报是基于证据的知识,包括上下文、机制、指标、可能的结果和可操作的建议,涉及资产面临的现有或新出现的威胁或危害,可为主体威胁或危害的响应决策提供依据。
威胁情报应包括安全威胁相关的五方面信息:
1、 上下文(context):亦可理解为条件或环境,指具体威胁存在的环境或起作用的场景。
2、 机制(mechanism):指情报所涉及威胁所采用的方法和途径。
3、 指标(indicator):主要指威胁目前是否正在作用于目标的识别特征。
4、 可能结果(implication):指威胁可能对目标造成的破坏性结果。
5、 可操作建议(actionable advice):指可用于指导安全人员采取措施阻止或避免被威胁影响的有效建议。
威胁情报根据获取的难易程度、应用场景和价值的不同,主要分为如下三种类型的情报:作战情报、战术情报和战略情报。如从威胁情报的生命周期来看,一般包括情报的规划、收集、处理、分析、产出和消费六大阶段。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center,NTI)是绿盟科技依赖多年的安全经验和情报数据积累推出的一款威胁情报分析和共享平台,可为用户提供及时准确的威胁情报数据。借助NTI的威胁情报支撑,用户可及时洞悉公网资产面临的安全威胁进行准确预警,了解最新的威胁动态,实施积极主动的威胁防御和快速响应策略,结合安全数据的深度分析全面掌握安全威胁态势,并准确地进行威胁追踪和攻击溯源。
依托绿盟科技设备网络的海量监测数据和先进威胁分析与攻防研究成果,以及在网络安全领域的丰富经验和威胁情报积累,成就了绿盟科技在威胁情报领域强大的数据源,也是一个区别其他厂商的重要优势。
NTI依托绿盟在安全领域的长期积累,情报来源不仅包含绿盟漏洞库、样本库、安全分析数据、产品运营反馈数据等绿盟特有的数据源,同时也涵盖全面的互联网情报采集和广泛的第三方情报合作机构;基于绿盟大数据分析平台,结合安全情报专家对情报数据进行深度挖掘分析,获得高质量的多维度威胁情报,覆盖网络资产基础信息、指纹、漏洞库、安全信誉、TTP、高级威胁分析结果等不同层面;通过NTI portal界面、API接口、订阅推送等不同输出方式将威胁情报与安全设备、客户和安全厂商进行共享,可有效保护了客户的网络安全。
NTI的体系架构
绿盟威胁情报中心(NTI)体系架构主要包括四层:情报收集、情报分析处理、情报存储、情报输出、情报使用。
绿盟威胁情报中心(NTI)体系架构
威胁情报体系第一步是要收集来自各种渠道的数据,用以获得的保护系统核心资产的安全线索的总和。绿盟威胁情报安全专家会收集来自如下三方面的数据:内部数据、互联网数据和第三方数据。
在情报分析处理上,NTI主要基于绿盟大数据分析平台和安全专家对原始数据和威胁情报进行处理和分析。
在情报存储上,NTI可基于大数据分析平台的数据存储功能,实现威胁情报的存储,存储的情报类型包括基础情报,高级威胁情报,定制情报等。
在情报输出上,绿盟威胁情报中心支持在线情报搜索,用户可交互式查询了解IP威胁、Web威胁、恶意文件、漏洞威胁信息,并可对查询结果进行统计分析,展示威胁态势。
在情报使用上,目前绿盟多款产品,包括绿盟抗拒绝服务系统(NSFOCUS ADS)、新一代绿盟网络入侵检测系统 (NSFOCUS NIDS)、绿盟态势感知平台等均消费了相应类型的信誉情报数据用以增强安全防御能力。使用威胁情报提高安全性的场景,则包括:产品联动、安全服务、安全运维、威胁响应、资产监控、安全预警、情报共享等。
关键技术与亮点
在关键技术上,绿盟威胁情报中心具有多源数据分布式采集技术、多源情报清洗与归并技术、基于情景感知的威胁情报提取技术、基于大数据分析的威胁情报挖掘技术、威胁评分技术、情报生命周期管理体系等。
作为国内最早从事网络安全业务的企业之一,经过十余年的发展,绿盟科技在安全漏洞、入侵规则、恶意样本、安全事件等方面积累了大量业内领先的自有数据,更支持全面的企业侧网络探针,持续的资产安全性监测能力,基于威胁情报的量化评分,灵活的威胁情报使用模式以及情报质量的全生命周期管理等方案亮点。
绿盟威胁情报中心可以做什么?
根据SANS的网络安全滑动标尺模型,威胁情报是继结构安全、被动防御、积极防御后更为高阶的网络安全方法。绿盟的威胁情报能有效增强现有结构安全、被动防御、积极防御体系的防御能力。绿盟威胁情报中心解决方案可为企业提供安全威胁事前预测、热点事件实时预警、企业公网资产安全核查、情报驱动设备防御、攻击事件溯源分析等技术支持。
未来,绿盟威胁情报中心将不断投身于助力企业网络安全防护的事业中,并将聚焦于进一步扩展互联网层面的情报采集,丰富情报内容;进一步研究更高级的情报分析和理解算法、情报数据隐含的威胁行为和发展态势分析技术;推动情报共享标准和技术规范的制定,构建绿盟与企业用户的情报共享平台和网络等各个项目上。