助力关键信息基础设施防护,绿盟科技推出威胁情报中心NTI
作为经济社会运行的中枢,金融、能源、电力、通信、交通等领域的关键信息基础设施是网络安全的重中之重。随着各类网络安全威胁的出现,关键信息基础设施在防范外部攻击过程中亟需依靠充分有效的安全威胁情报作为支撑,以做出更好的响应决策。
绿盟科技基于多年安全经验和情报数据积累推出了一款威胁情报分析和共享平台——绿盟科技威胁情报中心(NTI)。该平台可及时洞悉公网资产面临的安全威胁并进行准确预警,并结合安全数据的深度分析全面掌握安全威胁态势,准确地进行威胁追踪和攻击溯源。
平台主要亮点
大量的数据资源
依托多个安全技术研究中心和安全工程实验室,绿盟科技安全技术团队始终致力于跟踪国内外最新网络安全研究动向,持续开展安全专项研究,在安全漏洞,入侵规则,恶意样本,安全事件等方面积累了大量业内领先的数据资源。绿盟科技NTI将这些数据资源作为重要情报来源,综合产品探针、公网数据和第三方情报为用户提供全面优质的情报服务。
绿盟科技拥有全面丰富的网络安全产品线,为运营商、能源、金融、政府等各领域企业提供专业的安全设备和服务,包括高性能的安全设备,完善的SaaS模式云服务和专业的安全运营服务等。平台可将广泛部署的企业侧设备探针和SaaS服务,在用户允许的前提下将匿名数据处理结果反馈至情报中心,并将发现的恶意威胁情报与其他用户进行共享。
绿盟科技NTI基于持续的资产监测能力,将威胁情报与资产准确关联,以主动推送的方式为用户提供持续的资产安全性监测服务。一方面,依托绿盟远程安全评估RSAS,网站安全监测MSM,极光自助扫描等优势产品对用户资产和漏洞进行持续扫描,结合威胁情报,为用户提供资产威胁告警和针对性的防护方法。另一方面,结合行业高级威胁情报为用户提供威胁通告服务,有效提高用户资产防护的及时性、准确性和针对性。
为直观体现情报相关资产的安全性和情报的准确性,提高威胁情报的可用性,绿盟科技NTI为情报提供了多维度的量化评分,主要包括威胁性评分、脆弱性评分和置信度评分。威胁性评分体现了IP/DNS等资产对网络空间中其他资产的威胁;脆弱性评分体现了IP/DNS等资产自身的脆弱性;置信度评分体现了每条情报的可信度。
绿盟科技NTI预制了多种威胁情报输出和使用模式,以满足不同用户和业务的应用需求。针对安全人员的使用,可提供威胁情报查询web Portal,用户可以输入关键字进行情报检索和各类报告查看;针对第三方安全产品和软件,提供API访问接口并实现可机读情报的输出,包括查询IP或域名的资产属性,了解IP等恶意行为历史等;针对用户定制情报,提供email推送模式,及时推送新出现的威胁情报。
典型应用场景
绿盟科技NTI利用已知的威胁,可通过关联分析,对未知威胁进行预测。例如,可基于已知恶意域名,通过whois分析,发现该注册者注册的其他可疑域名,并进行IP关联分析,若其IP也为恶意,则这些由同一注册者注册的域名需列入黑产档案,同时对黑客常用的域名注册手段及特征进行分析,发现可疑域名。
平台可跟踪网络空间发生的热点事件,并提供绿盟科技安全研究团队对热门事件如漏洞、恶意样本等的深度分析,帮忙用户全面深入了解事件的技术原理和防护措施。
平台覆盖数亿公网资产和公网web资产,200多种应用和30多种服务以及百余种端口协议,可与漏洞、IP、URL等进行深度多重关联分析;通过API接口与漏洞管理、网站监测等平台进行对接,实现资产管理和可视化安全评估。
图1: 基于NTI的企业公网资产安全核查
情报驱动设备防御
绿盟科技NTI支持将最新的威胁情报,如IP情报,URL情报,漏洞,文件等实时推送给部署在本地的绿盟科技设备和平台型安全设施,并利用安全设施及时阻断和防御高级威胁,快速提高应急响应速度。
图2: 基于NTI的3.4.4 情报驱动设备防御
依托十几种深度关联,机器自学习,安全评分机制和多元分析能力等,绿盟科技NTI可针对安全事件进行追踪溯源,锁定安全事件元凶,并进行可视化展示。在报警分流中,平台可依据威胁情报来区分不同类型的攻击,从中识别出可能的APT类型高危级别攻击,以保证及时有效应对。