当前,网络威胁情报作为高级威胁对抗能力的基石,已经成为弥补传统安全手段不足,构建更加高效和自动化的攻击检测和防御体系,有效应对规模化网络犯罪和0day等高级持续性威胁的重要基础;是安全机构和部门间促进威胁信息共享,在更广泛的时空边界采取更加积极主动的防御策略,提高整体安全防护能力的关键。随着情报应用的逐步深入,越来越多的政府客户发现,外部安全厂商和情报厂商提供的情报数据和服务已无法完全满足其安全业务需求,亟需构建自己的威胁情报平台来支撑内部的情报应用需求。
绿盟威胁情报平台(NSFOCUS Threat Intelligence Platform,以下简称:NTIP)是绿盟科技依托其威胁情报中心(NTI)多年的威胁情报运营和应用经验研发的威胁情报平台产品,着重于满足客户快速构建自有情报平台、实现安全可靠的威胁情报管理和消费的核心需求。
NTIP聚焦多源威胁情报管理,全面提供多源情报接入、融合存储、情报生命周期管理、情报共享输出、威胁预警、情报查询展示等能力。作为威胁情报体系的关键组件,NTIP支持客户在离线、在线、云计算等不同环境下,融汇多方情报数据并整合应用到自身安全体系中,全面提升威胁检测和响应能力。
绿盟科技依托强大的安全研究团队,在全球各子公司部署威胁传感器、蜜罐系统、沙箱系统,以及利用绿盟SaaS服务的脱敏运营数据,系统性的进行知识采集、处理、分析并最终输出威胁情报。同时,绿盟威胁情报也接入了外部开源情报和第三方情报数据,增强了绿盟威胁情报的丰富度和覆盖度。为更好的服务政府客户,绿盟威胁情报体系及威胁情报平台主要具备以下优势:
一、强大的情报运营体系
依托多个安全技术研究中心和安全实验室,绿盟科技安全技术团队始终致力于跟踪国内外最新网络安全研究动向,持续开展漏洞挖掘分析、逆向工程、入侵检测和防御、抗分布式拒绝服务、恶意软件、攻击行为分析和检测、蜜罐和蜜网等安全专项研究,在威胁指示器(IOC)、安全漏洞、APT事件、APT组织、攻击工具等方面积累了大量业内情报数据。
绿盟威胁情报中心将这些特色情报数据作为重要来源,综合产品探针、公网数据及其他多家商业情报源和开源情报源。
二、 丰富的威胁情报数据
依托绿盟威胁情报中心强大的研究能力,绿盟威胁情报在情报种类、数量上都非常丰富,NTIP可以无缝对接绿盟云端优质的威胁情报。绿盟威胁情报分为四大类,分别是:
数亿级失陷检测类情报
威胁指示器(以下简称IOC)是重要的失陷检测类情报,一般供安全设备或安全设备机读使用,常用于失陷主机检测、本地设备联防等场景。
绿盟威胁情报中心输出的IOC含千万恶意IP、数亿恶意文件、千万C&C、数亿恶意域名/恶意URL。威胁类型包括但不限于:僵尸网络主控端(C&C)、IP攻击源(僵尸主机、DDoS攻击源、Web攻击源、扫描源、垃圾邮件源等)、恶意域名和URL(钓鱼网址、黄赌毒网址等)、恶意文件(勒索软件、蠕虫、木马、病毒、广告软件等),以及云沙箱动态和静态分析结果。当发生安全事件时,可通过IOC下发给本地设备,实现全网的快速联防。
三十万高质量漏洞
绿盟云端威胁情报中心依托于绿盟科技强大的漏洞研究能力,漏洞库目前共有数十万条,兼容NVD/CNVD/CNNVD等主要的漏洞发布源,涵盖了各主要厂商的漏洞。漏洞库中包含了漏洞描述、漏洞编号、风险等级、热度、解决方案、是否有POC等多方面信息。
当高危漏洞大规模爆发时,绿盟威胁情报中心在第一时间提供高危漏洞预警、漏洞技术分析和相关处置建议报告,便于客户及时进行防御。通过绿盟威胁情报平台的API接口可以将绿盟云端的漏洞情报与客户本地漏洞管理平台进行对接,以便实现漏洞和本地资产的关联和精确匹配,以及漏洞的全生命周期管理。
数千条APT事件情报
绿盟威胁情报中心输出的APT(Advanced Persistent Threat,高级持续性威胁)事件情报,包括事件的概述、关联的漏洞、关联的APT组织、关联的IOC等诸多信息,不仅可以帮助客户进行威胁检测,还可以跟踪到该事件的全貌。
上百个APT组织和攻击工具情报
绿盟威胁情报中心已跟踪到活跃的数百个攻击组织,含攻击者描述、别名、所属国家或地区、针对的国家、针对的行业及关联事件等,并可持续进行跟踪。此类情报可用于攻击者画像,帮助客户有针对性的防御所面对的真实攻击者。
全球网络空间测绘情报
全球网络空间测绘情报是重要的支撑类情报,常用于互联网资产暴露面梳理和核查,为攻击者画像和溯源提供重要线索。
绿盟云端威胁情报中心的资产发现能力可搜集和分析网络空间的互联网资产数据,通过分布式探测引擎对全球42亿IPv4主机进行7*24小时不间断探测分析,从而获得IP指纹和Web指纹,包括:操作系统、开放端口、服务(如SSH、FTP、DNS等)、应用(如Apache、OpenSSH、IIS、Nginx等)及版本、设备类型(物联网设备、工控设备等)、网络标签(CDN、宽带出口、专用网络等)、行业标签、所属运营商、ASN等信息;对于域名可提供banner、子域名、域名Whois等信息。同时,绿盟云端威胁情报中心拥有地理信息库、历史PDNS库和ICP备案库,便于这些信息进行深度多重关联分析。并可通过API接口与SOC/SIEM、漏洞管理平台、网站监测平台等平台进行对接,方便实现资产管理和可视化安全评估。
战略层面的安全报告
近年来,随着攻击手法的高级化和复杂化,安全事件日益凸显,对安全事件的防范已成为重中之重。绿盟安全事件情报可为客户提供事件预警和处置,并对安全趋势的发展提出分析和预测。
当重要安全事件爆发时,绿盟威胁情报中心在第一时间提供事件预警、事件技术分析和相关处置建议报告,便于客户及时进行防御。绿盟云端威胁情报中心可提供半年/年度趋势分析报告等战略情报,覆盖威胁预警报告、网络安全整体趋势、DDoS攻击、物联网、Botnet专项研究报告、IP惯犯与IP团伙专项研究报告、金融行业报告等,提供战略层面的安全分析,使组织可以针对其面对的真实威胁,提早进行预防。
三、情报数据准确可溯源
威胁情报质量是体现情报价值,保证可用性的关键。绿盟威胁情报中心将威胁情报的质量保证放在情报系统建设的核心位置,将质量管理贯穿整个威胁情报生命周期。绿盟威胁情报中心不仅建立了完整的流程规范体系,同时在情报的规划、收集、处理、分析、产生和消费等不同阶段,分别利用高质量情报源筛查、多源异构情报收集、情报交叉验证与主动核查、情报置信度评分、更新与老化、情报反馈处理等机制有效保证情报质量。
对于绿盟科技自研(非开源和商业购买)的情报,还可以还原攻击过程,从而提供该情报的“证据”。例如,绿盟威胁情报中心将某个IP地址判定为攻击源,可以追溯该IP曾经参与的攻击详情,如攻击的目标IP、攻击源IP和目标IP的地址位置信息、攻击峰值、攻击总流量和持续时间等攻击详情。这些“证据”可以充分证明绿盟威胁情报的准确性。为本地安全设备快速拦截攻击源,提供了极为重要的作用。
四、多源情报接收技术
NTIP在威胁情报采集阶段使用了多源情报插件式接入技术,用户可以接入绿盟情报源、其他商业或开源情报源及本地特色情报源等。因此,NTIP能够尽最大限度的收集市场范围内的情报。
市场中的情报消费接口是多种多样的,为收集不同的威胁情报,NTIP提供了支撑变化多端的市场中出现威胁情报接口的技术——情报源收集插件技术。通过对插件的编写,可以灵活方便的对多情报源收集服务进行方便的扩展来增强NTIP的情报收集能力,可支撑市场中几乎所有主流的情报消费接口。
NTIP提供多种收集情报的方式,比如被动接收和主动拉取。通过这些方式覆盖几乎所有常用的威胁情报收集场景,保证NTIP存储的威胁情报的数量。
五、异构情报融合技术
为保证不同的情报源录入到系统中有一个比较高的情报质量,解决单一维度评估方法存在的结果不全面、数据融合结果无法综合各方优势的问题,NTIP引入了情报质量评估和融合技术。情报质量评估体系本着高效、实时、全面、准确的原则,对每一条经过融合的情报进行评估。每一条情报的评估会进而影响情报源本身的评分,使整个融合过程和评估过程形成一个完整的闭环。
NTIP在评估过程中,首先系统会对每条情报进行标准化处理,处理成机器可以理解的统一格式。然后对标准格式的情报进行质量分析和评估,获得情报本身的准确性评分。其次对情报进行全面性评估,对情报的各个字段进行评估,在评估的过程中需要对历史情报进行回溯然后进行融合。
多源情报融合时两个关键技术处理:
情报相容时:根据全面性确定基准情报,将其他情报字段并入基准情报;
情报冲突时:多个情报出现冲突,系统根据基于证据排序融合的局部冲突算法及用户自定义的情报准确度来完成对各个情报源产生情报的融合评估,最终获取评估后证据准确性高的情报,舍弃评估后准确性低的情报,并对最终融合后的情报生成一个整体的准确性分数。
因此,经过NTIP的异构情报标准化引擎和智能情报融合引擎的处理以后,最终变成统一的情报,情报与情报之间相互补充,取长补短。极大的提升情报的丰富程度和情报的实用性。
六、情报快速检索技术
NTIP支持用户对情报的快速检索,并且提供大量的情报API供机器使用。为能够最大限度的提升用户的体验,NTIP采用了快速检索技术。NTIP为了能够使大量的数据快速定位,使用了多级缓存,以及快速索引技术。
一级缓存存放的是新鲜度最高的威胁情报,能够在用户搜索这些威胁情报时,快速定位到这些新生成的威胁情报。二级缓存存放的是用户经常使用的威胁情报。这两级的缓存比磁盘的速度要快很多个数量级,而且NTIP使用了智能缓存算法对缓存进行合理的分配存储空间和缓存内容判定,使缓存的命中率极大的提高,从而提升检索速度。
快速索引技术,会对威胁情报的关键部分进行分词并建立倒排索引,NTIP会对索引进行分段存储,对索引内容进行位压缩、位合并操作来加速索引搜索速度,从而加快系统整体的检索速度。每当外部API触发搜索动作时,NTIP可以毫秒级的触发搜索动作并对搜索内容从数据中定位。
七、多类情报关联技术
NTIP提供了多达10多种威胁情报的处理和存储能力。单独种类的威胁情报能够提供的安全能力有限,但是当这些不同种类的威胁情报经过关联以后,就能发现更多的事件和情报,对提高客户网络的安全能力起着举足轻重的作用。NTIP具备使这些不同种类的威胁情报进行关联的能力。NTIP能够将收集到的所有威胁情报经过处理进行关联,例如:指示器和恶意软件进行关联充分描述恶意软件的各种行为。漏洞和漏洞利用情报关联充分描绘事件的路径等。通过这些威胁情报的关联,使安全运营者能够对客户内部的安全有一个更立体的描述。
八、情报生产归因技术
NTIP基于BSA底座,结合构建的攻击团伙档案库本体结构进行大数据流式计算引擎的设计,定义了能够有效支撑海量多模态数据的范式化理解、上下文语义扩充的事件模型和关联模型,并通过攻击链关联和威胁语义富化实现了攻击团伙的自动化归因,支撑分钟级的APT组织和其他攻击团伙的追踪和监控,可以有效辅助研判人员进行攻击团伙归因和追踪。
为客户提供多源接入、自主管理、消费管控等一体化解决方案,产品融合了绿盟科技在威胁情报运营和应用方面的丰富经验和技术成果。借助NTIP,客户不仅可以无缝对接绿盟云端NTI的高价值情报数据,还能接入业界众多的符合STIX标准的情报源数据,更可以扩展自定义情报源;同时,可及时获取绿盟科技应急响应团队推送的威胁预警信息,指导安全团队处置威胁。NTIP同时为安全人员、安全设备和平台提供情报消费接口,可与政府客户的安全体系深度融合,实现安全可靠的情报管理和应用。NTIP不但能极大增强现有安全产品的防御能力,亦能通过情报共享拉通安全资源,整合安全的专业能力,构建预警、检测、响应、追溯一体化的立体防御体系,有效实现及时发现和快速响应,应对高级威胁和新型攻击。
RacentYY
虹科网络安全
RacentYY
Anna艳娜
安全侠
安全牛
Anna艳娜
安全牛
FreeBuf
Anna艳娜
FreeBuf
Anna艳娜
