傳統(tǒng)的防御機制往往是根據(jù)以往的“經(jīng)驗”來構(gòu)建安全防御策略����,即使是基于機器學(xué)習(xí)的檢測算法也是如此��,都難以應(yīng)付未知攻擊。在網(wǎng)絡(luò)攻擊呈現(xiàn)多樣化���、復(fù)雜化、專業(yè)化的趨勢下��,我們需要一種能夠根據(jù)過去和當(dāng)前網(wǎng)絡(luò)安全狀況動態(tài)調(diào)整防御策略的手段�,威脅情報應(yīng)運而生。
在對威脅情報進行收集及處理后��,可以直接將相應(yīng)的結(jié)果以機讀的形式分發(fā)給安全設(shè)備�,實現(xiàn)精準(zhǔn)的動態(tài)防御,達到“未攻先防”的效果�,實現(xiàn)從傳統(tǒng)“靜態(tài)被動防御”到“動態(tài)積極防御”的轉(zhuǎn)變升級�����。
什么是威脅情報?
根據(jù)Gartner對威脅情報的定義:威脅情報是一種基于證據(jù)的知識���,包括了情境、機制���、指標(biāo)、影響和操作建議�。威脅情報描述了現(xiàn)存的�、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險�����,并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng)。或者也可以簡單來理解,對企業(yè)產(chǎn)生危害或者利益損失的信息�����,就可以稱之為威脅情報�����。
威脅情報的核心價值在于:加快檢測和響應(yīng)���、掌握威脅根源�����、輔助安全決策、讓威脅治理更高效。
安恒威脅情報檢測平臺:動態(tài)防御
如何利用威脅情報,實現(xiàn)精準(zhǔn)動態(tài)防御��,達到網(wǎng)絡(luò)安全“未攻先防”的效果�?
安恒信息發(fā)布:安恒威脅情報檢測平臺(TIDP—Threat Intelligence Detection Platform)。
TIDP是一款由威脅情報數(shù)據(jù)驅(qū)動,對網(wǎng)絡(luò)流量進行實時分析和檢測���,對可疑網(wǎng)絡(luò)行為進行告警,旨在全方位發(fā)現(xiàn)失陷主機、從海量攻擊事件中識別針對性攻擊的網(wǎng)絡(luò)流量檢測產(chǎn)品。
圖:產(chǎn)品功能圖
TIDP的特色與亮點:
1. 豐富威脅情報數(shù)據(jù)支撐��,日更新高活躍80萬條
安恒安全數(shù)據(jù)大腦豐富的威脅情報數(shù)據(jù)��,是TIDP網(wǎng)絡(luò)流量分析檢測的重要基礎(chǔ)��。安恒安全數(shù)據(jù)大腦依托玄武盾SaaS云防護、蜜罐網(wǎng)絡(luò)、全球資產(chǎn)探測等能力����,國內(nèi)外數(shù)百家情報源集成����,通過大數(shù)據(jù)���、機器學(xué)習(xí)與文件自動化分析等技術(shù)���,提煉形成涵蓋C&C�����、僵尸網(wǎng)絡(luò)�����、惡意代理等60余類的情報數(shù)據(jù),以及全球的網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)數(shù)據(jù),日更新高活躍情報數(shù)據(jù)80萬條����。
圖:威脅情報驅(qū)動
2. 多維度����、全方位發(fā)現(xiàn)失陷主機
TIDP中不僅內(nèi)嵌了多種遠控類型的情報指標(biāo)��,而且也結(jié)合了安恒信息在網(wǎng)絡(luò)流量分析領(lǐng)域的長期積累�,引入了包括利用機器學(xué)習(xí)檢測DGA域名請求�、遠控工具指紋庫、漏洞利用庫,以及多個隱蔽信道通信檢測模型,可以全方位發(fā)現(xiàn)失陷主機�����。并通過可視化的方式��,從失陷主機��、威脅類型、黑客組織等多個角度進行關(guān)聯(lián)展示����,呈現(xiàn)當(dāng)前網(wǎng)絡(luò)環(huán)境中所有的失陷和受控情況。
3. 從海量隨機性掃描中識別針對性攻擊
網(wǎng)絡(luò)環(huán)境中時刻在發(fā)生大量自動化隨機掃描事件��,這些隨機掃描事件在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備上��,將同步產(chǎn)生大量告警�。TIDP通過對網(wǎng)絡(luò)雙向流量進行實時分析�����,準(zhǔn)確識別針對服務(wù)器的針對性攻擊事件��,使安全分析人員能從大量隨機性掃描攻擊事件中解脫出來,第一時間對針對性攻擊事件進行響應(yīng)��,極大提升安全團隊對網(wǎng)絡(luò)攻擊事件的響應(yīng)效率�����。
4. 對攻擊事件雙向視角展現(xiàn)和回溯能力
TIDP不僅以受攻擊主機(包含失陷主機)為視角����,同時也以攻擊源為視角�����,全局展現(xiàn)攻擊事件動態(tài)過程��,無論是攻擊源還是受攻擊者,都可以多次鉆取更為詳細的攻擊事件信息�����,并可進一步從安恒數(shù)據(jù)大腦在線關(guān)聯(lián)獲取IP���、域名和黑客組織等詳細信息�����,以供進一步取證回溯分析。
圖:威脅事件關(guān)聯(lián)分析
5���、“以一敵百”超大流量檢測能力,可達Tbps級
TIDP能在僅鏡像DNS流量時發(fā)揮強大檢測能力,因DNS流量在整體流量中占比極低���,如某城域網(wǎng)項目中的DNS流量占整體流量僅為五萬分之一��,這使TIDP單設(shè)備所對應(yīng)檢測的整體吞吐量達到數(shù)百Gbps、甚至Tbps級別���,可匹配其他數(shù)十甚至數(shù)百臺全流量檢測產(chǎn)品類設(shè)備,適用于企事業(yè)單位出口�、尤其適用于城域網(wǎng)威脅監(jiān)測����。
圖:支持超大流量檢測
(責(zé)任編輯:王治強 HF013)
【免責(zé)聲明】本文僅代表合作供稿方觀點���,不代表和訊網(wǎng)立場�����。投資者據(jù)此操作��,風(fēng)險請自擔(dān)。
最新評論