案例分享 | 綠盟科技助力金融機構威脅情報平臺建設

一 背景信息

近年來，隨著信息技術的高速發展，網絡空間安全面臨著新的威脅與挑戰。網絡安全作為數字化轉型的核心保障，在日趨復雜的網絡威脅形勢下，對金融行業的網絡信息安全也提出了更高要求。

結合金融機構自身安全防御體系及情報系統建設需求，綠盟科技為某國有銀行搭建了集行業情報、個性化業務情報和內部歷史事件情報于一體的威脅情報平臺。該平臺能夠提供情報數據的實時更新、維護、使用、共享，并最終為銀行方租戶云、運營云構建威脅情報運營方案。通過威脅情報平臺，最終達到情報數據的更新、維護、使用、共享等服務，從而打造某國有銀行的整體情報運營體系。

二 需求分析

01 多源互聯網威脅情報及分析取證需求

在銀行公有云多租戶(租戶云)環境下，威脅情報平臺需要提供Web信譽、IP信譽、漏洞、攻擊方式等多源互聯網威脅情報信息，并提供應用信譽、移動安全等移動威脅情報，同時還需要對特定情報進行關聯分析、監測應急、溯源取證等。

02 多源互聯網威脅情報種類

威脅情報平臺需要提供以下多種情報種類：  

1）戰術情報：面向安全人員，需要提供失陷情報，用于監測相關資產是否被攻陷。情報信息包括：攻擊者行為意圖、攻擊手法，阻斷策略、應急措施等；

2）作戰情報：情報需要概括出攻擊活動的目的，情報信息需要分析出為什么攻擊者會發起網絡攻擊。

3）戰略情報：威脅情報趨勢分析，幫助企業決策者判斷哪種威脅趨勢能夠對業務及未來產生較大影響，并提供相關對應方案。

03 多租戶情報訂閱

威脅情報平臺需要支持在公有云多租戶環境下對租戶資產進行監測能力，并能夠根據租戶需求提供個性化情報訂閱。

04 情報安全組件管理與情報對接消費

威脅情報平臺需要具備策略管理、日志分析、態勢展示、情報推送等功能，并能夠將相關情報推送給本地相關安全設備，如防火墻、入侵防御、態勢感知平臺等。此外，威脅情報平臺可提供SDK或API接口，能夠將平臺與公有云安全管理組件進行集成，方便情報快速對接與消費。如將情報以可機讀形式推送給本地部署的安全態勢感知平臺、防火墻、入侵檢測設備等；根據失陷情報，推送正確率99.9%的阻斷策略至公有云上其他安全設備；提供SDK或API接口，負責將互聯網威脅情報分析平臺與公有云上安全管理組件集成；提供偽基站、釣魚網站等金融領域相關的情報數據推送。

三 解決方案

綠盟威脅情報平臺（以下簡稱：綠盟NTIP），可實時收集、關聯、分類、整合威脅情報，并能夠與現有安全技術和流程相整合，滿足在多個利益相關人和群體之間快速分享威脅情報的需求；此外該平臺還支持情報查詢、威脅預警、情報訂閱、情報存儲及添加情報源等功能，不僅可以聯通公有云NTI的情報，還可以接收第三方情報，擴展平臺情報能力，使情報覆蓋面更上一個臺階。

01 綠盟威脅情報平臺核心功能

依托公有云NTI的威脅情報數據，無縫積累情報數據(包括已失陷主機、資產測繪與核查信息、受攻擊信息等)，并最終將這些數據導入到NTIP平臺用于情報運營。

綠盟NTIP平臺具備通過插件方式靈活地擴展及納管其它異構情報的能力，可將異構情報與本身情報進行融合，極大地豐富情報質量。

綠盟NTIP平臺提供豐富的情報消費接口，平臺可與銀行內部安全設備聯動進行情報共享，從而提升整體安全能力，降低安全運營成本。

02 綠盟威脅情報平臺數據結構

在本項目中，綠盟科技為某國有銀行搭建的威脅情報平臺可以支持多種情報上傳，包括公有云威脅態勢數據、設備告警數據、熱點數據等。

03 綠盟威脅情報平臺接口設計

1) 情報接口服務包括：權限管理、情報管理、情報運營、情報統計分析

2) 情報管理服務包括：情報接入、情報監控

3) 情報運營服務包括：情報存儲、情報查詢

4) 情報查詢服務包括：情報查詢、情報統計

四 方案價值

01 長期積累行內自有數據

在本項目中，依托于綠盟科技多年來的技術創新與研究成果，以及長期積累跟蹤的國內外最新網絡安全動向，持續搜集漏洞情報、逆向攻擊、未知威脅、惡意代碼等相關情報信息。同時，當銀行方發現威脅攻擊時，也可將攻擊樣本、入侵手段，威脅漏洞、攻擊IOC等信息上傳到威脅情報平臺，演化成銀行自有情報，有助于提升用戶后期對情報的分析、共享、消費。

02 為業務資產提供持續的安全監測

綠盟NTIP擁有持續資產監測能力。在提供威脅情報的同時，可為用戶互聯網租戶提供資產監測服務，平臺可將威脅情報與銀行資產準確關聯，最終達到資產監測目的。

03 威脅情報量化評分

綠盟NTIP提供多維度量化評分功能，主要包括威脅性評分、脆弱性評分和置信度評分。威脅性評分指情報中對應的IP等資產信息對銀行其他資產造成的威脅程度進行評分，脆弱性評分指情報描述的IP等資產信息對自身脆弱性進行評分，置信度評分指每條情報的可信度。