传统的防御机制往往是根据以往的“经验”来构建安全防御策略,即使是基于机器学习的检测算法也是如此,都难以应付未知攻击。在网络攻击呈现多样化、复杂化、专业化的趋势下,我们需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段,威胁情报应运而生。
在对威胁情报进行收集及处理后,可以直接将相应的结果以机读的形式分发给安全设备,实现精准的动态防御,达到“未攻先防”的效果,实现从传统“静态被动防御”到“动态积极防御”的转变升级。
什么是威胁情报?
根据Gartner对威胁情报的定义:威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。或者也可以简单来理解,对企业产生危害或者利益损失的信息,就可以称之为威胁情报。
威胁情报的核心价值在于:加快检测和响应、掌握威胁根源、辅助安全决策、让威胁治理更高效。
安恒威胁情报检测平台:动态防御
如何利用威胁情报,实现精准动态防御,达到网络安全“未攻先防”的效果?
安恒信息发布:安恒威胁情报检测平台(TIDP—Threat Intelligence Detection Platform)。
TIDP是一款由威胁情报数据驱动,对网络流量进行实时分析和检测,对可疑网络行为进行告警,旨在全方位发现失陷主机、从海量攻击事件中识别针对性攻击的网络流量检测产品。
下载APP 阅读本文更深度报道
图:产品功能图
TIDP的特色与亮点:
1. 丰富威胁情报数据支撑,日更新高活跃80万条
安恒安全数据大脑丰富的威胁情报数据,是TIDP网络流量分析检测的重要基础。安恒安全数据大脑依托玄武盾SaaS云防护、蜜罐网络、全球资产探测等能力,国内外数百家情报源集成,通过大数据、机器学习与文件自动化分析等技术,提炼形成涵盖C&C、僵尸网络、恶意代理等60余类的情报数据,以及全球的网络资产基础数据,日更新高活跃情报数据80万条。
图:威胁情报驱动
2. 多维度、全方位发现失陷主机
TIDP中不仅内嵌了多种远控类型的情报指标,而且也结合了安恒信息在网络流量分析领域的长期积累,引入了包括利用机器学习检测DGA域名请求、远控工具指纹库、漏洞利用库,以及多个隐蔽信道通信检测模型,可以全方位发现失陷主机。并通过可视化的方式,从失陷主机、威胁类型、黑客组织等多个角度进行关联展示,呈现当前网络环境中所有的失陷和受控情况。
3. 从海量随机性扫描中识别针对性攻击
网络环境中时刻在发生大量自动化随机扫描事件,这些随机扫描事件在传统网络安全设备上,将同步产生大量告警。TIDP通过对网络双向流量进行实时分析,准确识别针对服务器的针对性攻击事件,使安全分析人员能从大量随机性扫描攻击事件中解脱出来,第一时间对针对性攻击事件进行响应,极大提升安全团队对网络攻击事件的响应效率。
4. 对攻击事件双向视角展现和回溯能力
TIDP不仅以受攻击主机(包含失陷主机)为视角,同时也以攻击源为视角,全局展现攻击事件动态过程,无论是攻击源还是受攻击者,都可以多次钻取更为详细的攻击事件信息,并可进一步从安恒数据大脑在线关联获取IP、域名和黑客组织等详细信息,以供进一步取证回溯分析。
图:威胁事件关联分析
5、“以一敌百”超大流量检测能力,可达Tbps级
TIDP能在仅镜像DNS流量时发挥强大检测能力,因DNS流量在整体流量中占比极低,如某城域网项目中的DNS流量占整体流量仅为五万分之一,这使TIDP单设备所对应检测的整体吞吐量达到数百Gbps、甚至Tbps级别,可匹配其他数十甚至数百台全流量检测产品类设备,适用于企事业单位出口、尤其适用于城域网威胁监测。
图:支持超大流量检测
