没有任何过往可参考,威胁情报自2015年正式进入中国后,就开始一路狂奔:2018年中国第一个威胁情报标准正式发布,2019年等保2.0首次对威胁情报提出要求,威胁情报这个新技术逐渐成为行业标配。在攻击手法越来越高级的网络攻防中,因为对“威胁干预”、“主动防御”更能起到关键作用,威胁情报被更多企业认识并加大投入。临近行业发展第十年,我们看到威胁情报正悄悄发生一些变化。
从威胁到风险,情报应用三大新难题
漏洞大爆发时代,漏洞运营闭环,成为威胁情报之外企业安全运营的头号难题。企业每天都能收到上万“高危漏洞”告警,如果按照CVSS3.1的漏洞评分体系,几乎满屏都是高危漏洞,安全团队根本拿不准哪个漏洞该修。当遇到真正会远程利用,能造成RCE、身份绕过的高危漏洞,或者更危险的0day漏洞,企业却没有最新、最全面的漏洞信息。想要内部推进漏洞修复,由于资产命名混乱,与漏洞情报库不一致,企业也无法自动匹配,不能及时发现内部资产漏洞。
网络环境复杂多变,外部安全态势感知碎片化。随着企业情报应用意识增强,了解外部安全态势越来越成为安全运营的重点。行业最新发生哪些安全事件,是否有相关细节,能否快速收集汇总,内部上传下达?对于安全事件,是否有最新攻击技战法,供企业快速更新自有平台检测能力?当前活跃攻击团伙,是否有详细组织画像及攻击手法?由于人员或技术投入有限,企业大多手动获取这些外部态势,难以快速、全面掌握最新攻击技战法,也缺少自己的威胁知识库。
威胁情报运营门槛高,“告警噪音”严重。威胁情报虽已走进企业安全运营,但在与SIEM、SOC类平台对接过程中,企业威胁情报平台要么需要定制开发,要么缺少应用策略,要么应用场景单一,企业很难把威胁情报真正闭环应用起来。且在应用最多的入站检测与出站失陷检测,企业会收到来自其他安全设备的海量攻击告警,即便是应用了威胁情报,但由于分析维度有限,依旧面临巨大安全运营压力。
11月14日,微步在线基于近十年威胁情报技术积累、企业应用需求与行业发展走向,正式发布“下一代威胁情报平台NGTIP”,以高质量精准的“威胁情报、漏洞情报、态势情报”三重情报为核心,进一步将企业安全左移,把关注视角从“威胁”到“风险”前置,帮助企业解决漏洞运营、安全态势感知、威胁情报告警噪音难题,实现更高效、主动、全面的安全防御。 同时,微步认为下一代威胁情报也将“扩展威胁情报边界,通过更丰富、实时、立体的下一代威胁情报能力,赋能企业威胁和风险的高效运营”。
首款真漏洞情报:全流程高效助力漏洞运营
针对0day未知漏洞难防,漏洞告警“噪音”大,漏洞风险评估难,漏洞信息不完整,漏洞修复无从下手及漏洞影响产品梳理难等问题,下一代威胁情报平台NGTIP提供从漏洞获取-发现-评估-处置-验证闭环的全流程漏洞运营,也是国内首款真正意义上可闭环的漏洞情报产品。
通过NGTIP, 企业可获取最全的一手漏洞威胁信息,及时掌握0day、1day漏洞;有效识别企业内部资产漏洞风险,NGTIP支持自动对接资产平台,能持续匹配漏洞影响厂商、产品及版本范围;帮助企业进行科学可靠漏洞评估,针对不同漏洞,企业可基于利用条件、影响范围、牵连影响、威胁情报等维度进行VPT漏洞科学分级;获得可落地处置建议,NGTIP提供漏洞补丁下载链接、临时缓解措施、漏洞利用攻击IP及漏洞攻击payload,供企业及时进行漏洞处置。
验证闭环环节,NGTIP具备完善的漏洞验证工具库与强大的互联网扫描能力。微步提供自研无损PoC,不影响业务即可高效排查及验证,也提供全网公开漏洞PoC,无需企业额外临时收集。同时,基于微步情报云对企业外部互联网侧暴露面进行PoC验证扫描,可帮助企业及时梳理外部攻击面。最终,只需通过接口对接工单系统,企业内即可进行高效漏洞信息同步与处置闭环。
行业首发态势情报:提供一站式安全情报平台
网络攻防“知己”更要“知彼”,针对外部最新攻击技战法获取难、行业安全事件感知难、缺少知识库积累的问题,此次微步发布的下一代威胁情报平台NGTIP,在行业率先推出态势情报。基于全网测绘、推特等社交媒体及自有数千渠道等公开数据采集,结合自有情报研究成果、各类应急事件等高质量分析结果,同时通过微步安全大模型XGPT融合分析,NGTIP可生成结构化、高质量的全网威胁态势、最新安全事件、黑客画像、重点行业攻击工具与攻击手法等全网态势情报。
通过NGTIP态势情报,企业不仅可以快速获取最新APT、勒索以及数据泄露等安全事件,实时掌握最新黑客组织画像信息,行业威胁态势。同时,基于XGPT自动化处理提取的攻击工具、攻击手法及攻击IoC情报,企业可进行快速排查及检测防御,也可针对性订阅与自身相关的重点行业、黑客组织、攻击工具,建立企业自己的重点风险画像,有针对性地加强安全防御。
威胁情报能力全新升级:三维IP画像,平均降噪80%
针对告警噪音严重的问题,微步下一代威胁情报平台NGTIP对IP情报全新升级,从单一维度升级为具备深度、广度、活跃度的三维IP画像,可为企业安全运营团队提供更深入的分析与信息支持。原本一维的漏洞利用、扫描等属性,丰富后可查看IP背后的攻击路径、攻击应用、反连地址等深度攻击链信息,从而更好判定IP攻击目的;广度上,基于微步全网部署量最大的蜜罐HFish集群的1.2万多个节点,每天探测日志信息上亿,全球累计跟踪平均2000多万活跃攻击IP,可精准掌握测绘、僵尸网络、蠕虫、爬虫等不同IP;活跃度上,全新IP情报提供IP蜜罐出现频率、时间维度等信息,可支撑判断该IP是否为针对性攻击,最终整体从三个维度对IP进行更丰富立体的分析。
基于对IP的多维分析判定与信息掌握,NGTIP内置随机扫描识别、攻击行为与属性识别、地理位置识别三种策略,能更高效、直接地识别IP目的,企业可针对不同情况,实现自动封禁、自动拦截或由人工研判分析,从而实现告警降噪。根据企业实测,入站IP告警平均降噪可达80%。
对于当前企业面临的威胁情报运营门槛高的问题,NGTIP提供从日志接入、内置情报分析场景及策略、联动处置闭环的“一站式”、自动、灵活、高效的情报运营能力。NGTIP不仅支持SIEM、SOC等日志类设备,同时可接入其他数十种安全设备、DNS及应用的原始日志Syslog,部署位置灵活。针对入站攻击检测及失陷检测两大主要应用场景,NGTIP内置多种情报应用落地场景及其默认情报分析策略,无需企业额外研发或研究应用场景,简化情报运营。基于分析结果,NGTIP不仅能联动SIEM、SOC平台,同样也支持数十种安全设备封禁及IM通知,支持更好地融入企业安全运营流程。
“无论是首发态势情报、首款真正可闭环的漏洞情报,还是威胁情报能力大幅增强,我们希望通过下一代威胁情报平台NGTIP,为企业提供一个更场景化、更易用、更闭环的运营、生产情报中心,更好地满足当前企业对于威胁发现、风险识别的迫切需求,让情报应用与漏洞发现及运营真正自动化闭环起来。”微步技术合伙人、微步情报局负责人樊兴华表示。
网络态势动态变幻,威胁情报发展也需持续向前,才能适应越来越复杂的网络攻防。作为威胁情报的探路人,微步将持续关注企业情报运营需求,让情报更好赋能企业安全运营,共同守护网络世界的安全。
