當前,網路威脅情報作為高階威脅對抗能力的基石,已經成為彌補傳統安全手段不足,構建更加高效和自動化的攻擊檢測和防禦體系,有效應對規模化網路犯罪和0day等高階持續性威脅的重要基礎;是安全機構和部門間促進威脅資訊共享,在更廣泛的時空邊界採取更加積極主動的防禦策略,提高整體安全防護能力的關鍵。隨著情報應用的逐步深入,越來越多的政府客戶發現,外部安全廠商和情報廠商提供的情報資料和服務已無法完全滿足其安全業務需求,亟需構建自己的威脅情報平臺來支撐內部的情報應用需求。
綠盟威脅情報平臺(NSFOCUS Threat Intelligence Platform,以下簡稱:NTIP)是綠盟科技依託其威脅情報中心(NTI)多年的威脅情報運營和應用經驗研發的威脅情報平臺產品,著重於滿足客戶快速構建自有情報平臺、實現安全可靠的威脅情報管理和消費的核心需求。
NTIP聚焦多源威脅情報管理,全面提供多源情報接入、融合儲存、情報生命週期管理、情報共享輸出、威脅預警、情報查詢展示等能力。作為威脅情報體系的關鍵元件,NTIP支援客戶在離線、線上、雲端計算等不同環境下,融匯多方情報資料並整合應用到自身安全體系中,全面提升威脅檢測和響應能力。
綠盟科技依託強大的安全研究團隊,在全球各子公司部署威脅感測器、蜜罐系統、沙箱系統,以及利用綠盟SaaS服務的脫敏運營資料,系統性的進行知識採集、處理、分析並最終輸出威脅情報。同時,綠盟威脅情報也接入了外部開源情報和第三方情報資料,增強了綠盟威脅情報的豐富度和覆蓋度。為更好的服務政府客戶,綠盟威脅情報體系及威脅情報平臺主要具備以下優勢:
一、強大的情報運營體系
攻擊行為分析和檢測、蜜罐和蜜網等安全專項研究,在威脅指示器(IOC)、安全漏洞、APT事件、APT組織、攻擊工具等方面積累了大量業內情報資料。
綠盟威脅情報中心將這些特色情報資料作為重要來源,綜合產品探針、公網資料及其他多家商業情報源和開源情報源。
二、 豐富的威脅情報資料
依託綠盟威脅情報中心強大的研究能力,綠盟威脅情報在情報種類、數量上都非常豐富,NTIP可以無縫對接綠盟雲端優質的威脅情報。綠盟威脅情報分為四大類,分別是:
數億級失陷檢測類情報
威脅指示器(以下簡稱IOC)是重要的失陷檢測類情報,一般供安全裝置或安全裝置機讀使用,常用於失陷主機檢測、本地裝置聯防等場景。
綠盟威脅情報中心輸出的IOC含千萬惡意IP、數億惡意檔案、千萬C&C、數億惡意域名/惡意URL。威脅型別包括但不限於:殭屍網路主控端(C&C)、IP攻擊源(殭屍主機、DDoS攻擊源、Web攻擊源、掃描源、垃圾郵件源等)、惡意域名和URL(釣魚網址、黃賭毒網址等)、惡意檔案(勒索軟體、蠕蟲、木馬、病毒、廣告軟體等),以及雲沙箱動態和靜態分析結果。當發生安全事件時,可透過IOC下發給本地裝置,實現全網的快速聯防。
三十萬高質量漏洞
綠盟雲端威脅情報中心依託於綠盟科技強大的漏洞研究能力,漏洞庫目前共有數十萬條,相容NVD/CNVD/CNNVD等主要的漏洞釋出源,涵蓋了各主要廠商的漏洞。漏洞庫中包含了漏洞描述、漏洞編號、風險等級、熱度、解決方案、是否有POC等多方面資訊。
當高危漏洞大規模爆發時,綠盟威脅情報中心在第一時間提供高危漏洞預警、漏洞技術分析和相關處置建議報告,便於客戶及時進行防禦。透過綠盟威脅情報平臺的API介面可以將綠盟雲端的漏洞情報與客戶本地漏洞管理平臺進行對接,以便實現漏洞和本地資產的關聯和精確匹配,以及漏洞的全生命週期管理。
數千條APT事件情報
綠盟威脅情報中心輸出的APT(Advanced Persistent Threat,高階持續性威脅)事件情報,包括事件的概述、關聯的漏洞、關聯的APT組織、關聯的IOC等諸多資訊,不僅可以幫助客戶進行威脅檢測,還可以跟蹤到該事件的全貌。
上百個APT組織和攻擊工具情報
綠盟威脅情報中心已跟蹤到活躍的數百個攻擊組織,含攻擊者描述、別名、所屬國家或地區、針對的國家、針對的行業及關聯事件等,並可持續進行跟蹤。此類情報可用於攻擊者畫像,幫助客戶有針對性的防禦所面對的真實攻擊者。
全球網路空間測繪情報
全球網路空間測繪情報是重要的支撐類情報,常用於網際網路資產暴露面梳理和核查,為攻擊者畫像和溯源提供重要線索。
綠盟雲端威脅情報中心的資產發現能力可蒐集和分析網路空間的網際網路資產資料,透過分散式探測引擎對全球42億IPv4主機進行7*24小時不間斷探測分析,從而獲得IP指紋和Web指紋,包括:作業系統、開放埠、服務(如SSH、FTP、DNS等)、應用(如Apache、OpenSSH、IIS、Nginx等)及版本、裝置型別(物聯網裝置、工控裝置等)、網路標籤(CDN、寬頻出口、專用網路等)、行業標籤、所屬運營商、ASN等資訊;對於域名可提供banner、子域名、域名Whois等資訊。同時,綠盟雲端威脅情報中心擁有地理資訊庫、歷史PDNS庫和ICP備案庫,便於這些資訊進行深度多重關聯分析。並可透過API介面與SOC/SIEM、漏洞管理平臺、網站監測平臺等平臺進行對接,方便實現資產管理和視覺化安全評估。
戰略層面的安全報告
近年來,隨著攻擊手法的高階化和複雜化,安全事件日益凸顯,對安全事件的防範已成為重中之重。綠盟安全事件情報可為客戶提供事件預警和處置,並對安全趨勢的發展提出分析和預測。
當重要安全事件爆發時,綠盟威脅情報中心在第一時間提供事件預警、事件技術分析和相關處置建議報告,便於客戶及時進行防禦。綠盟雲端威脅情報中心可提供半年/年度趨勢分析報告等戰略情報,覆蓋威脅預警報告、網路安全整體趨勢、DDoS攻擊、物聯網、Botnet專項研究報告、IP慣犯與IP團伙專項研究報告、金融行業報告等,提供戰略層面的安全分析,使組織可以針對其面對的真實威脅,提早進行預防。
三、情報資料準確可溯源
威脅情報質量是體現情報價值,保證可用性的關鍵。綠盟威脅情報中心將威脅情報的質量保證放在情報系統建設的核心位置,將質量管理貫穿整個威脅情報生命週期。綠盟威脅情報中心不僅建立了完整的流程規範體系,同時在情報的規劃、收集、處理、分析、產生和消費等不同階段,分別利用高質量情報源篩查、多源異構情報收集、情報交叉驗證與主動核查、情報置信度評分、更新與老化、情報反饋處理等機制有效保證情報質量。
對於綠盟科技自研(非開源和商業購買)的情報,還可以還原攻擊過程,從而提供該情報的“證據”。例如,綠盟威脅情報中心將某個IP地址判定為攻擊源,可以追溯該IP曾經參與的攻擊詳情,如攻擊的目標IP、攻擊源IP和目標IP的地址位置資訊、攻擊峰值、攻擊總流量和持續時間等攻擊詳情。這些“證據”可以充分證明綠盟威脅情報的準確性。為本地安全裝置快速攔截攻擊源,提供了極為重要的作用。
四、多源情報接收技術
NTIP在威脅情報採集階段使用了多源情報外掛式接入技術,使用者可以接入綠盟情報源、其他商業或開源情報源及本地特色情報源等。因此,NTIP能夠盡最大限度的收集市場範圍內的情報。
市場中的情報消費介面是多種多樣的,為收集不同的威脅情報,NTIP提供了支撐變化多端的市場中出現威脅情報介面的技術——情報源收集外掛技術。透過對外掛的編寫,可以靈活方便的對多情報源收集服務進行方便的擴充套件來增強NTIP的情報收集能力,可支撐市場中幾乎所有主流的情報消費介面。
NTIP提供多種收集情報的方式,比如被動接收和主動拉取。透過這些方式覆蓋幾乎所有常用的威脅情報收集場景,保證NTIP儲存的威脅情報的數量。
五、異構情報融合技術
為保證不同的情報源錄入到系統中有一個比較高的情報質量,解決單一維度評估方法存在的結果不全面、資料融合結果無法綜合各方優勢的問題,NTIP引入了情報質量評估和融合技術。情報質量評估體系本著高效、實時、全面、準確的原則,對每一條經過融合的情報進行評估。每一條情報的評估會進而影響情報源本身的評分,使整個融合過程和評估過程形成一個完整的閉環。
NTIP在評估過程中,首先系統會對每條情報進行標準化處理,處理成機器可以理解的統一格式。然後對標準格式的情報進行質量分析和評估,獲得情報本身的準確性評分。其次對情報進行全面性評估,對情報的各個欄位進行評估,在評估的過程中需要對歷史情報進行回溯然後進行融合。
多源情報融合時兩個關鍵技術處理:
情報相容時:根據全面性確定基準情報,將其他情報欄位併入基準情報;
情報衝突時:多個情報出現衝突,系統根據基於證據排序融合的區域性衝突演算法及使用者自定義的情報準確度來完成對各個情報源產生情報的融合評估,最終獲取評估後證據準確性高的情報,捨棄評估後準確性低的情報,並對最終融合後的情報生成一個整體的準確性分數。
因此,經過NTIP的異構情報標準化引擎和智慧情報融合引擎的處理以後,最終變成統一的情報,情報與情報之間相互補充,取長補短。極大的提升情報的豐富程度和情報的實用性。
六、情報快速檢索技術
NTIP支援使用者對情報的快速檢索,並且提供大量的情報API供機器使用。為能夠最大限度的提升使用者的體驗,NTIP採用了快速檢索技術。NTIP為了能夠使大量的資料快速定位,使用了多級快取,以及快速索引技術。
一級快取存放的是新鮮度最高的威脅情報,能夠在使用者搜尋這些威脅情報時,快速定位到這些新生成的威脅情報。二級快取存放的是使用者經常使用的威脅情報。這兩級的快取比磁碟的速度要快很多個數量級,而且NTIP使用了智慧快取演算法對快取進行合理的分配儲存空間和快取內容判定,使快取的命中率極大的提高,從而提升檢索速度。
快速索引技術,會對威脅情報的關鍵部分進行分詞並建立倒排索引,NTIP會對索引進行分段儲存,對索引內容進行位壓縮、位合併操作來加速索引搜尋速度,從而加快系統整體的檢索速度。每當外部API觸發搜尋動作時,NTIP可以毫秒級的觸發搜尋動作並對搜尋內容從資料中定位。
七、多類情報關聯技術
NTIP提供了多達10多種威脅情報的處理和儲存能力。單獨種類的威脅情報能夠提供的安全能力有限,但是當這些不同種類的威脅情報經過關聯以後,就能發現更多的事件和情報,對提高客戶網路的安全能力起著舉足輕重的作用。NTIP具備使這些不同種類的威脅情報進行關聯的能力。NTIP能夠將收集到的所有威脅情報經過處理進行關聯,例如:指示器和惡意軟體進行關聯充分描述惡意軟體的各種行為。漏洞和漏洞利用情報關聯充分描繪事件的路徑等。透過這些威脅情報的關聯,使安全運營者能夠對客戶內部的安全有一個更立體的描述。
八、情報生產歸因技術
NTIP基於BSA底座,結合構建的攻擊團伙檔案庫本體結構進行大資料流式計算引擎的設計,定義了能夠有效支撐海量多模態資料的正規化化理解、上下文語義擴充的事件模型和關聯模型,並透過攻擊鏈關聯和威脅語義富化實現了攻擊團伙的自動化歸因,支撐分鐘級的APT組織和其他攻擊團伙的追蹤和監控,可以有效輔助研判人員進行攻擊團伙歸因和追蹤。
為客戶提供多源接入、自主管理、消費管控等一體化解決方案,產品融合了綠盟科技在威脅情報運營和應用方面的豐富經驗和技術成果。藉助NTIP,客戶不僅可以無縫對接綠盟雲端NTI的高價值情報資料,還能接入業界眾多的符合STIX標準的情報源資料,更可以擴充套件自定義情報源;同時,可及時獲取綠盟科技應急響應團隊推送的威脅預警資訊,指導安全團隊處置威脅。NTIP同時為安全人員、安全裝置和平臺提供情報消費介面,可與政府客戶的安全體系深度融合,實現安全可靠的情報管理和應用。NTIP不但能極大增強現有安全產品的防禦能力,亦能透過情報共享拉通安全資源,整合安全的專業能力,構建預警、檢測、響應、追溯一體化的立體防禦體系,有效實現及時發現和快速響應,應對高階威脅和新型攻擊。