自古至今,情报对于战争都是珍贵的信息资源,可以预先知晓对方的策略、手段、决策等信息,有些情报会对战争的结果起到决定性的作用,更有甚者可能直接影响历史的走向。而在网络安全的世界,攻防信息不对称一直是亟待解决的问题,而威胁情报在这几年开始渐渐走入人们的视线,从理论研究进入落地实践,对企业安全防御来说“化被动为主动”,可以预先获取攻击者的攻击工具、攻击途径、攻击意图等信息,进一步在企业安全防御中发挥重要作用。本文将结合绿盟威胁情报中心(NSFOCUS Threat Intelligence center, 简称“NTI”)的发展介绍目前威胁情报的实际落地应用场景。

知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必殆。

——《孙子·谋攻篇》

情报是我们了解敌人和敌国的全部材料,是我们一切行动和想法的基础。

——《战争论》第一卷

 

绿盟威胁情报中心是绿盟科技依赖多年的安全经验和情报数据积累推出的一款威胁情报分析和共享平台,可为用户提供及时准确的威胁情报数据。借助NTI的威胁情报支撑,用户可及时洞悉公网资产面临的安全威胁进行准确预警,了解最新的威胁动态,实施积极主动的威胁防御和快速响应策略,结合安全数据的深度分析全面掌握安全威胁态势,并准确地进行威胁追踪和攻击溯源。

依托绿盟科技在安全领域的长期积累,结合客户实际安全需求,绿盟威胁情报中心可为客户实现以下应用场景:

安全威胁事前预测

绿盟威胁情报中心结合绿盟科技自研情报、互联网情报以及第三方合作机构共享情报进行深度挖掘和关联分析,获得高质量的多维度威胁情报,全面覆盖作战情报(网络资产基础信息、指纹、漏洞库等)战术情报TTP(战术、技术手段、过程)、战略情报(高级威胁分析报告等)等不同层面,从而帮助用户洞察威胁趋势,预先采取措施防御可能发生的攻击。

热点事件实时预警

绿盟威胁情报中心可以从互联网空间每天发生的海量安全事件提炼最受关注的热点威胁事件,如突发漏洞、恶意样本、数据泄露事件等,并由绿盟科技安全研究团队进行持续跟踪和深度分析,第一时间帮忙用户全面深入了解事件的技术原理,并提供自查和防御解决方案。

互联网资产暴露核查

互联网资产暴露在外部网络,直面互联网上各种安全威胁,因此互联网资产的安全管理对于企业资产管理尤为重要。绿盟威胁情报中心覆盖数亿公网资产(如服务器、DNS、路由器、工控设备、智能设备等),数亿公网web资产(包括域名、服务和应用、版本等),近200种应用(如Apache、OpenSSH、IIS、Nginx等),30多种服务(如SSH、FTP、DNS等),汇集100+端口协议,并与漏洞、IP、URL等进行了深度多重关联分析,可为企业提供资产发现能力,帮助用户秒速快速发现其资产在互联网上的暴露面和安全状况,同时输出完善的报表协助用户处理安全威胁。

情报驱动设备防御

绿盟威胁情报中心支持将最新的威胁情报,如IP情报(扫描IP、僵尸网络、垃圾邮件服务、恶意IP等)、URL情报(钓鱼、欺诈、篡改、挂马等)、漏洞、文件等实时推送给用户本地部署的绿盟设备和平台型安全设施,增强安全设施的检测和防御能力,及时阻断和防御安全威胁,快速提高应急响应速度,进入智能安全防护时代。

攻击事件溯源分析

依托绿盟威胁情报中心的十几种深度关联(如IP关联域名、域名关联IP、IP关联ASN、域名关联whois等)、机器自学习、安全评分机制和多元分析能力等,用户可从海量的事件信息中识别出可能的高危攻击事件,针对安全事件进行追踪溯源,锁定安全事件元凶,并进行可视化展示。

源链接

Hacking more

...