案例分享 | 绿盟科技助力金融机构威胁情报平台建设

一 背景信息

近年来，随着信息技术的高速发展，网络空间安全面临着新的威胁与挑战。网络安全作为数字化转型的核心保障，在日趋复杂的网络威胁形势下，对金融行业的网络信息安全也提出了更高要求。

结合金融机构自身安全防御体系及情报系统建设需求，绿盟科技为某国有银行搭建了集行业情报、个性化业务情报和内部历史事件情报于一体的威胁情报平台。该平台能够提供情报数据的实时更新、维护、使用、共享，并最终为银行方租户云、运营云构建威胁情报运营方案。通过威胁情报平台，最终达到情报数据的更新、维护、使用、共享等服务，从而打造某国有银行的整体情报运营体系。

二 需求分析

01 多源互联网威胁情报及分析取证需求

在银行公有云多租户(租户云)环境下，威胁情报平台需要提供Web信誉、IP信誉、漏洞、攻击方式等多源互联网威胁情报信息，并提供应用信誉、移动安全等移动威胁情报，同时还需要对特定情报进行关联分析、监测应急、溯源取证等。

02 多源互联网威胁情报种类

威胁情报平台需要提供以下多种情报种类：  

1）战术情报：面向安全人员，需要提供失陷情报，用于监测相关资产是否被攻陷。情报信息包括：攻击者行为意图、攻击手法，阻断策略、应急措施等；

2）作战情报：情报需要概括出攻击活动的目的，情报信息需要分析出为什么攻击者会发起网络攻击。

3）战略情报：威胁情报趋势分析，帮助企业决策者判断哪种威胁趋势能够对业务及未来产生较大影响，并提供相关对应方案。

03 多租户情报订阅

威胁情报平台需要支持在公有云多租户环境下对租户资产进行监测能力，并能够根据租户需求提供个性化情报订阅。

04 情报安全组件管理与情报对接消费

威胁情报平台需要具备策略管理、日志分析、态势展示、情报推送等功能，并能够将相关情报推送给本地相关安全设备，如防火墙、入侵防御、态势感知平台等。此外，威胁情报平台可提供SDK或API接口，能够将平台与公有云安全管理组件进行集成，方便情报快速对接与消费。如将情报以可机读形式推送给本地部署的安全态势感知平台、防火墙、入侵检测设备等；根据失陷情报，推送正确率99.9%的阻断策略至公有云上其他安全设备；提供SDK或API接口，负责将互联网威胁情报分析平台与公有云上安全管理组件集成；提供伪基站、钓鱼网站等金融领域相关的情报数据推送。

三 解决方案

绿盟威胁情报平台（以下简称：绿盟NTIP），可实时收集、关联、分类、整合威胁情报，并能够与现有安全技术和流程相整合，满足在多个利益相关人和群体之间快速分享威胁情报的需求；此外该平台还支持情报查询、威胁预警、情报订阅、情报存储及添加情报源等功能，不仅可以联通公有云NTI的情报，还可以接收第三方情报，扩展平台情报能力，使情报覆盖面更上一个台阶。

01 绿盟威胁情报平台核心功能

依托公有云NTI的威胁情报数据，无缝积累情报数据(包括已失陷主机、资产测绘与核查信息、受攻击信息等)，并最终将这些数据导入到NTIP平台用于情报运营。

绿盟NTIP平台具备通过插件方式灵活地扩展及纳管其它异构情报的能力，可将异构情报与本身情报进行融合，极大地丰富情报质量。

绿盟NTIP平台提供丰富的情报消费接口，平台可与银行内部安全设备联动进行情报共享，从而提升整体安全能力，降低安全运营成本。

02 绿盟威胁情报平台数据结构

在本项目中，绿盟科技为某国有银行搭建的威胁情报平台可以支持多种情报上传，包括公有云威胁态势数据、设备告警数据、热点数据等。

03 绿盟威胁情报平台接口设计

1) 情报接口服务包括：权限管理、情报管理、情报运营、情报统计分析

2) 情报管理服务包括：情报接入、情报监控

3) 情报运营服务包括：情报存储、情报查询

4) 情报查询服务包括：情报查询、情报统计

四 方案价值

01 长期积累行内自有数据

在本项目中，依托于绿盟科技多年来的技术创新与研究成果，以及长期积累跟踪的国内外最新网络安全动向，持续搜集漏洞情报、逆向攻击、未知威胁、恶意代码等相关情报信息。同时，当银行方发现威胁攻击时，也可将攻击样本、入侵手段，威胁漏洞、攻击IOC等信息上传到威胁情报平台，演化成银行自有情报，有助于提升用户后期对情报的分析、共享、消费。

02 为业务资产提供持续的安全监测

绿盟NTIP拥有持续资产监测能力。在提供威胁情报的同时，可为用户互联网租户提供资产监测服务，平台可将威胁情报与银行资产准确关联，最终达到资产监测目的。

03 威胁情报量化评分

绿盟NTIP提供多维度量化评分功能，主要包括威胁性评分、脆弱性评分和置信度评分。威胁性评分指情报中对应的IP等资产信息对银行其他资产造成的威胁程度进行评分，脆弱性评分指情报描述的IP等资产信息对自身脆弱性进行评分，置信度评分指每条情报的可信度。