作為經濟社會執行的中樞,金融、能源、電力、通訊、交通等領域的關鍵資訊基礎設施是網路安全的重中之重。隨著各類網路安全威脅的出現,關鍵資訊基礎設施在防範外部攻擊過程中亟需依靠充分有效的安全威脅情報作為支撐,以做出更好的響應決策。
綠盟科技基於多年安全經驗和情報資料積累推出了一款威脅情報分析和共享平臺——綠盟科技威脅情報中心(NTI)。該平臺可及時洞悉公網資產面臨的安全威脅並進行準確預警,並結合安全資料的深度分析全面掌握安全威脅態勢,準確地進行威脅追蹤和攻擊溯源。
平臺主要亮點
大量的資料資源
依託多個安全技術研究中心和安全工程實驗室,綠盟科技安全技術團隊始終致力於跟蹤國內外最新網路安全研究動向,持續開展安全專項研究,在安全漏洞,入侵規則,惡意樣本,安全事件等方面積累了大量業內領先的資料資源。綠盟科技NTI將這些資料資源作為重要情報來源,綜合產品探針、公網資料和第三方情報為使用者提供全面優質的情報服務。
全面的企業側網路探針
綠盟科技擁有全面豐富的網路安全產品線,為運營商、能源、金融、政府等各領域企業提供專業的安全裝置和服務,包括高效能的安全裝置,完善的SaaS模式雲服務和專業的安全運營服務等。平臺可將廣泛部署的企業側裝置探針和SaaS服務,在使用者允許的前提下將匿名資料處理結果反饋至情報中心,並將發現的惡意威脅情報與其他使用者進行共享。
持續的資產安全性監測能力
綠盟科技NTI基於持續的資產監測能力,將威脅情報與資產準確關聯,以主動推送的方式為使用者提供持續的資產安全性監測服務。一方面,依託綠盟遠端安全評估RSAS,網站安全監測MSM,極光自助掃描等優勢產品對使用者資產和漏洞進行持續掃描,結合威脅情報,為使用者提供資產威脅告警和針對性的防護方法。另一方面,結合行業高階威脅情報為使用者提供威脅通告服務,有效提高使用者資產防護的及時性、準確性和針對性。
威脅情報的量化評分
為直觀體現情報相關資產的安全性和情報的準確性,提高威脅情報的可用性,綠盟科技NTI為情報提供了多維度的量化評分,主要包括威脅性評分、脆弱性評分和置信度評分。威脅性評分體現了IP/DNS等資產對網路空間中其他資產的威脅;脆弱性評分體現了IP/DNS等資產自身的脆弱性;置信度評分體現了每條情報的可信度。
靈活的威脅情報使用模式
綠盟科技NTI預製了多種威脅情報輸出和使用模式,以滿足不同使用者和業務的應用需求。針對安全人員的使用,可提供威脅情報查詢web Portal,使用者可以輸入關鍵字進行情報檢索和各類報告檢視;針對第三方安全產品和軟體,提供API訪問介面並實現可機讀情報的輸出,包括查詢IP或域名的資產屬性,瞭解IP等惡意行為歷史等;針對使用者定製情報,提供email推送模式,及時推送新出現的威脅情報。
典型應用場景
安全威脅事前預測
綠盟科技NTI利用已知的威脅,可透過關聯分析,對未知威脅進行預測。例如,可基於已知惡意域名,透過whois分析,發現該註冊者註冊的其他可疑域名,並進行IP關聯分析,若其IP也為惡意,則這些由同一註冊者註冊的域名需列入黑產檔案,同時對駭客常用的域名註冊手段及特徵進行分析,發現可疑域名。
熱點事件實時預警
平臺可跟蹤網路空間發生的熱點事件,並提供綠盟科技安全研究團隊對熱門事件如漏洞、惡意樣本等的深度分析,幫忙使用者全面深入瞭解事件的技術原理和防護措施。
企業公網資產安全核查
平臺覆蓋數億公網資產和公網web資產,200多種應用和30多種服務以及百餘種埠協議,可與漏洞、IP、URL等進行深度多重關聯分析;透過API介面與漏洞管理、網站監測等平臺進行對接,實現資產管理和視覺化安全評估。
圖1: 基於NTI的企業公網資產安全核查
情報驅動裝置防禦
綠盟科技NTI支援將最新的威脅情報,如IP情報,URL情報,漏洞,檔案等實時推送給部署在本地的綠盟科技裝置和平臺型安全設施,並利用安全設施及時阻斷和防禦高階威脅,快速提高應急響應速度。
圖2: 基於NTI的3.4.4 情報驅動裝置防禦
攻擊事件溯源分析
依託十幾種深度關聯,機器自學習,安全評分機制和多元分析能力等,綠盟科技NTI可針對安全事件進行追蹤溯源,鎖定安全事件元兇,並進行視覺化展示。在報警分流中,平臺可依據威脅情報來區分不同型別的攻擊,從中識別出可能的APT型別高危級別攻擊,以保證及時有效應對。