云地協同 智行合一丨綠盟威脅情報平臺(NTIP)助力政府客戶情報運營體系建設
當前,網絡威脅情報作為高級威脅對抗能力的基石,已經成為彌補傳統安全手段不足,構建更加高效和自動化的攻擊檢測和防御體系,有效應對規模化網絡犯罪和0day等高級持續性威脅的重要基礎;是安全機構和部門間促進威脅信息共享,在更廣泛的時空邊界采取更加積極主動的防御策略,提高整體安全防護能力的關鍵。隨著情報應用的逐步深入,越來越多的政府客戶發現,外部安全廠商和情報廠商提供的情報數據和服務已無法完全滿足其安全業務需求,亟需構建自己的威脅情報平臺來支撐內部的情報應用需求。
綠盟威脅情報平臺(NSFOCUS Threat Intelligence Platform,以下簡稱:NTIP)是綠盟科技依托其威脅情報中心(NTI)多年的威脅情報運營和應用經驗研發的威脅情報平臺產品,著重于滿足客戶快速構建自有情報平臺、實現安全可靠的威脅情報管理和消費的核心需求。
NTIP聚焦多源威脅情報管理,全面提供多源情報接入、融合存儲、情報生命周期管理、情報共享輸出、威脅預警、情報查詢展示等能力。作為威脅情報體系的關鍵組件,NTIP支持客戶在離線、在線、云計算等不同環境下,融匯多方情報數據并整合應用到自身安全體系中,全面提升威脅檢測和響應能力。
綠盟科技依托強大的安全研究團隊,在全球各子公司部署威脅傳感器、蜜罐系統、沙箱系統,以及利用綠盟SaaS服務的脫敏運營數據,系統性的進行知識采集、處理、分析并最終輸出威脅情報。同時,綠盟威脅情報也接入了外部開源情報和第三方情報數據,增強了綠盟威脅情報的豐富度和覆蓋度。為更好的服務政府客戶,綠盟威脅情報體系及威脅情報平臺主要具備以下優勢:
一、強大的情報運營體系
依托多個安全技術研究中心和安全實驗室,綠盟科技安全技術團隊始終致力于跟蹤國內外最新網絡安全研究動向,持續開展漏洞挖掘分析、逆向工程、入侵檢測和防御、抗分布式拒絕服務、惡意軟件、攻擊行為分析和檢測、蜜罐和蜜網等安全專項研究,在威脅指示器(IOC)、安全漏洞、APT事件、APT組織、攻擊工具等方面積累了大量業內情報數據。
綠盟威脅情報中心將這些特色情報數據作為重要來源,綜合產品探針、公網數據及其他多家商業情報源和開源情報源。
二、 豐富的威脅情報數據
依托綠盟威脅情報中心強大的研究能力,綠盟威脅情報在情報種類、數量上都非常豐富,NTIP可以無縫對接綠盟云端優質的威脅情報。綠盟威脅情報分為四大類,分別是:
數億級失陷檢測類情報
威脅指示器(以下簡稱IOC)是重要的失陷檢測類情報,一般供安全設備或安全設備機讀使用,常用于失陷主機檢測、本地設備聯防等場景。
綠盟威脅情報中心輸出的IOC含千萬惡意IP、數億惡意文件、千萬C&C、數億惡意域名/惡意URL。威脅類型包括但不限于:僵尸網絡主控端(C&C)、IP攻擊源(僵尸主機、DDoS攻擊源、Web攻擊源、掃描源、垃圾郵件源等)、惡意域名和URL(釣魚網址、黃賭毒網址等)、惡意文件(勒索軟件、蠕蟲、木馬、病毒、廣告軟件等),以及云沙箱動態和靜態分析結果。當發生安全事件時,可通過IOC下發給本地設備,實現全網的快速聯防。
三十萬高質量漏洞
綠盟云端威脅情報中心依托于綠盟科技強大的漏洞研究能力,漏洞庫目前共有數十萬條,兼容NVD/CNVD/CNNVD等主要的漏洞發布源,涵蓋了各主要廠商的漏洞。漏洞庫中包含了漏洞描述、漏洞編號、風險等級、熱度、解決方案、是否有POC等多方面信息。
當高危漏洞大規模爆發時,綠盟威脅情報中心在第一時間提供高危漏洞預警、漏洞技術分析和相關處置建議報告,便于客戶及時進行防御。通過綠盟威脅情報平臺的API接口可以將綠盟云端的漏洞情報與客戶本地漏洞管理平臺進行對接,以便實現漏洞和本地資產的關聯和精確匹配,以及漏洞的全生命周期管理。
數千條APT事件情報
綠盟威脅情報中心輸出的APT(Advanced Persistent Threat,高級持續性威脅)事件情報,包括事件的概述、關聯的漏洞、關聯的APT組織、關聯的IOC等諸多信息,不僅可以幫助客戶進行威脅檢測,還可以跟蹤到該事件的全貌。
上百個APT組織和攻擊工具情報
綠盟威脅情報中心已跟蹤到活躍的數百個攻擊組織,含攻擊者描述、別名、所屬國家或地區、針對的國家、針對的行業及關聯事件等,并可持續進行跟蹤。此類情報可用于攻擊者畫像,幫助客戶有針對性的防御所面對的真實攻擊者。
全球網絡空間測繪情報
全球網絡空間測繪情報是重要的支撐類情報,常用于互聯網資產暴露面梳理和核查,為攻擊者畫像和溯源提供重要線索。
綠盟云端威脅情報中心的資產發現能力可搜集和分析網絡空間的互聯網資產數據,通過分布式探測引擎對全球42億IPv4主機進行7*24小時不間斷探測分析,從而獲得IP指紋和Web指紋,包括:操作系統、開放端口、服務(如SSH、FTP、DNS等)、應用(如Apache、OpenSSH、IIS、Nginx等)及版本、設備類型(物聯網設備、工控設備等)、網絡標簽(CDN、寬帶出口、專用網絡等)、行業標簽、所屬運營商、ASN等信息;對于域名可提供banner、子域名、域名Whois等信息。同時,綠盟云端威脅情報中心擁有地理信息庫、歷史PDNS庫和ICP備案庫,便于這些信息進行深度多重關聯分析。并可通過API接口與SOC/SIEM、漏洞管理平臺、網站監測平臺等平臺進行對接,方便實現資產管理和可視化安全評估。
戰略層面的安全報告
近年來,隨著攻擊手法的高級化和復雜化,安全事件日益凸顯,對安全事件的防范已成為重中之重。綠盟安全事件情報可為客戶提供事件預警和處置,并對安全趨勢的發展提出分析和預測。
當重要安全事件爆發時,綠盟威脅情報中心在第一時間提供事件預警、事件技術分析和相關處置建議報告,便于客戶及時進行防御。綠盟云端威脅情報中心可提供半年/年度趨勢分析報告等戰略情報,覆蓋威脅預警報告、網絡安全整體趨勢、DDoS攻擊、物聯網、Botnet專項研究報告、IP慣犯與IP團伙專項研究報告、金融行業報告等,提供戰略層面的安全分析,使組織可以針對其面對的真實威脅,提早進行預防。
三、情報數據準確可溯源
威脅情報質量是體現情報價值,保證可用性的關鍵。綠盟威脅情報中心將威脅情報的質量保證放在情報系統建設的核心位置,將質量管理貫穿整個威脅情報生命周期。綠盟威脅情報中心不僅建立了完整的流程規范體系,同時在情報的規劃、收集、處理、分析、產生和消費等不同階段,分別利用高質量情報源篩查、多源異構情報收集、情報交叉驗證與主動核查、情報置信度評分、更新與老化、情報反饋處理等機制有效保證情報質量。
對于綠盟科技自研(非開源和商業購買)的情報,還可以還原攻擊過程,從而提供該情報的“證據”。例如,綠盟威脅情報中心將某個IP地址判定為攻擊源,可以追溯該IP曾經參與的攻擊詳情,如攻擊的目標IP、攻擊源IP和目標IP的地址位置信息、攻擊峰值、攻擊總流量和持續時間等攻擊詳情。這些“證據”可以充分證明綠盟威脅情報的準確性。為本地安全設備快速攔截攻擊源,提供了極為重要的作用。
四、多源情報接收技術
NTIP在威脅情報采集階段使用了多源情報插件式接入技術,用戶可以接入綠盟情報源、其他商業或開源情報源及本地特色情報源等。因此,NTIP能夠盡最大限度的收集市場范圍內的情報。
市場中的情報消費接口是多種多樣的,為收集不同的威脅情報,NTIP提供了支撐變化多端的市場中出現威脅情報接口的技術——情報源收集插件技術。通過對插件的編寫,可以靈活方便的對多情報源收集服務進行方便的擴展來增強NTIP的情報收集能力,可支撐市場中幾乎所有主流的情報消費接口。
NTIP提供多種收集情報的方式,比如被動接收和主動拉取。通過這些方式覆蓋幾乎所有常用的威脅情報收集場景,保證NTIP存儲的威脅情報的數量。
五、異構情報融合技術
為保證不同的情報源錄入到系統中有一個比較高的情報質量,解決單一維度評估方法存在的結果不全面、數據融合結果無法綜合各方優勢的問題,NTIP引入了情報質量評估和融合技術。情報質量評估體系本著高效、實時、全面、準確的原則,對每一條經過融合的情報進行評估。每一條情報的評估會進而影響情報源本身的評分,使整個融合過程和評估過程形成一個完整的閉環。
NTIP在評估過程中,首先系統會對每條情報進行標準化處理,處理成機器可以理解的統一格式。然后對標準格式的情報進行質量分析和評估,獲得情報本身的準確性評分。其次對情報進行全面性評估,對情報的各個字段進行評估,在評估的過程中需要對歷史情報進行回溯然后進行融合。
多源情報融合時兩個關鍵技術處理:
情報相容時:根據全面性確定基準情報,將其他情報字段并入基準情報;
情報沖突時:多個情報出現沖突,系統根據基于證據排序融合的局部沖突算法及用戶自定義的情報準確度來完成對各個情報源產生情報的融合評估,最終獲取評估后證據準確性高的情報,舍棄評估后準確性低的情報,并對最終融合后的情報生成一個整體的準確性分數。
因此,經過NTIP的異構情報標準化引擎和智能情報融合引擎的處理以后,最終變成統一的情報,情報與情報之間相互補充,取長補短。極大的提升情報的豐富程度和情報的實用性。
六、情報快速檢索技術
NTIP支持用戶對情報的快速檢索,并且提供大量的情報API供機器使用。為能夠最大限度的提升用戶的體驗,NTIP采用了快速檢索技術。NTIP為了能夠使大量的數據快速定位,使用了多級緩存,以及快速索引技術。
一級緩存存放的是新鮮度最高的威脅情報,能夠在用戶搜索這些威脅情報時,快速定位到這些新生成的威脅情報。二級緩存存放的是用戶經常使用的威脅情報。這兩級的緩存比磁盤的速度要快很多個數量級,而且NTIP使用了智能緩存算法對緩存進行合理的分配存儲空間和緩存內容判定,使緩存的命中率極大的提高,從而提升檢索速度。
快速索引技術,會對威脅情報的關鍵部分進行分詞并建立倒排索引,NTIP會對索引進行分段存儲,對索引內容進行位壓縮、位合并操作來加速索引搜索速度,從而加快系統整體的檢索速度。每當外部API觸發搜索動作時,NTIP可以毫秒級的觸發搜索動作并對搜索內容從數據中定位。
七、多類情報關聯技術
NTIP提供了多達10多種威脅情報的處理和存儲能力。單獨種類的威脅情報能夠提供的安全能力有限,但是當這些不同種類的威脅情報經過關聯以后,就能發現更多的事件和情報,對提高客戶網絡的安全能力起著舉足輕重的作用。NTIP具備使這些不同種類的威脅情報進行關聯的能力。NTIP能夠將收集到的所有威脅情報經過處理進行關聯,例如:指示器和惡意軟件進行關聯充分描述惡意軟件的各種行為。漏洞和漏洞利用情報關聯充分描繪事件的路徑等。通過這些威脅情報的關聯,使安全運營者能夠對客戶內部的安全有一個更立體的描述。
八、情報生產歸因技術
NTIP基于BSA底座,結合構建的攻擊團伙檔案庫本體結構進行大數據流式計算引擎的設計,定義了能夠有效支撐海量多模態數據的范式化理解、上下文語義擴充的事件模型和關聯模型,并通過攻擊鏈關聯和威脅語義富化實現了攻擊團伙的自動化歸因,支撐分鐘級的APT組織和其他攻擊團伙的追蹤和監控,可以有效輔助研判人員進行攻擊團伙歸因和追蹤。
為客戶提供多源接入、自主管理、消費管控等一體化解決方案,產品融合了綠盟科技在威脅情報運營和應用方面的豐富經驗和技術成果。借助NTIP,客戶不僅可以無縫對接綠盟云端NTI的高價值情報數據,還能接入業界眾多的符合STIX標準的情報源數據,更可以擴展自定義情報源;同時,可及時獲取綠盟科技應急響應團隊推送的威脅預警信息,指導安全團隊處置威脅。NTIP同時為安全人員、安全設備和平臺提供情報消費接口,可與政府客戶的安全體系深度融合,實現安全可靠的情報管理和應用。NTIP不但能極大增強現有安全產品的防御能力,亦能通過情報共享拉通安全資源,整合安全的專業能力,構建預警、檢測、響應、追溯一體化的立體防御體系,有效實現及時發現和快速響應,應對高級威脅和新型攻擊。
