预知风险掌控全局-绿盟威胁情报平台

　　伴随网络威胁的日益升级，企业要想在网络攻防战场上成功抵御入侵，必须要做到“知己知彼”，因此如何规划、收集、处理、分析安全威胁情报就变得相当重要。针对传统网络安全被动防御带来的防护瓶颈问题，绿盟科技依托多年安全经验和情报数据积累，推出绿盟威胁情报平台（NTI）。NTI提供互联网资产类、威胁类、漏洞类、热点资讯类情报，数量已达数亿；并利用多源情报清洗与归并技术、互联网资产画像技术、大数据关联分析技术和机器学习技术等，结合威胁预警、设备联动智能防御、热点事件应急处理、关联情报追踪溯源、攻击者画像定位反制，助力构建下一代预警、检测、响应、追溯一体化的立体协同防御生态。

　　那么什么是威胁情报呢？

　　威胁情报是基于证据的知识，包括上下文、机制、指标、可能的结果和可操作的建议，涉及资产面临的现有或新出现的威胁或危害，可为主体威胁或危害的响应决策提供依据。

　　威胁情报应包括安全威胁相关的五方面信息：

　　1、 上下文（context）：亦可理解为条件或环境，指具体威胁存在的环境或起作用的场景。

　　2、 机制（mechanism）：指情报所涉及威胁所采用的方法和途径。

　　3、 指标（indicator）：主要指威胁目前是否正在作用于目标的识别特征。

　　4、 可能结果（implication）：指威胁可能对目标造成的破坏性结果。

　　5、 可操作建议（actionable advice）：指可用于指导安全人员采取措施阻止或避免被威胁影响的有效建议。

　　威胁情报根据获取的难易程度、应用场景和价值的不同，主要分为如下三种类型的情报：作战情报、战术情报和战略情报。如从威胁情报的生命周期来看，一般包括情报的规划、收集、处理、分析、产出和消费六大阶段。

　　绿盟威胁情报平台

　　绿盟威胁情报平台（NSFOCUS Threat Intelligence center，NTI）是绿盟科技依赖多年的安全经验和情报数据积累推出的一款威胁情报分析和共享平台，可为用户提供及时准确的威胁情报数据。借助NTI的威胁情报支撑，用户可及时洞悉公网资产面临的安全威胁进行准确预警，了解最新的威胁动态，实施积极主动的威胁防御和快速响应策略，结合安全数据的深度分析全面掌握安全威胁态势，并准确地进行威胁追踪和攻击溯源。

　　依托绿盟科技设备网络的海量监测数据和先进威胁分析与攻防研究成果，以及在网络安全领域的丰富经验和威胁情报积累，成就了绿盟科技在威胁情报领域强大的数据源，也是一个区别其他厂商的重要优势。

　　NTI依托绿盟在安全领域的长期积累，情报来源不仅包含绿盟漏洞库、样本库、安全分析数据、产品运营反馈数据等绿盟特有的数据源，同时也涵盖全面的互联网情报采集和广泛的第三方情报合作机构；基于绿盟大数据分析平台，结合安全情报专家对情报数据进行深度挖掘分析，获得高质量的多维度威胁情报，覆盖网络资产基础信息、指纹、漏洞库、安全信誉、TTP、高级威胁分析结果等不同层面；通过NTI portal界面、API接口、订阅推送等不同输出方式将威胁情报与安全设备、客户和安全厂商进行共享，可有效保护了客户的网络安全。

　　NTI的体系架构

　　绿盟威胁情报中心（NTI）体系架构主要包括四层：情报收集、情报分析处理、情报存储、情报输出、情报使用。

绿盟威胁情报中心（NTI）体系架构

　　威胁情报体系第一步是要收集来自各种渠道的数据，用以获得的保护系统核心资产的安全线索的总和。绿盟威胁情报安全专家会收集来自如下三方面的数据：内部数据、互联网数据和第三方数据。

　　在情报分析处理上，NTI主要基于绿盟大数据分析平台和安全专家对原始数据和威胁情报进行处理和分析。

　　在情报存储上，NTI可基于大数据分析平台的数据存储功能，实现威胁情报的存储，存储的情报类型包括基础情报，高级威胁情报，定制情报等。

　　在情报输出上，绿盟威胁情报中心支持在线情报搜索，用户可交互式查询了解IP威胁、Web威胁、恶意文件、漏洞威胁信息，并可对查询结果进行统计分析，展示威胁态势。

　　在情报使用上，目前绿盟多款产品，包括绿盟抗拒绝服务系统（NSFOCUS ADS）、新一代绿盟网络入侵检测系统 （NSFOCUS NIDS）、绿盟态势感知平台等均消费了相应类型的信誉情报数据用以增强安全防御能力。使用威胁情报提高安全性的场景，则包括：产品联动、安全服务、安全运维、威胁响应、资产监控、安全预警、情报共享等。

　　关键技术与亮点

　　在关键技术上，绿盟威胁情报中心具有多源数据分布式采集技术、多源情报清洗与归并技术、基于情景感知的威胁情报提取技术、基于大数据分析的威胁情报挖掘技术、威胁评分技术、情报生命周期管理体系等。

　　作为国内最早从事网络安全业务的企业之一，经过十余年的发展，绿盟科技在安全漏洞、入侵规则、恶意样本、安全事件等方面积累了大量业内领先的自有数据，更支持全面的企业侧网络探针，持续的资产安全性监测能力，基于威胁情报的量化评分，灵活的威胁情报使用模式以及情报质量的全生命周期管理等方案亮点。

　　绿盟威胁情报平台可以做什么？

　　根据SANS的网络安全滑动标尺模型，威胁情报是继结构安全、被动防御、积极防御后更为高阶的网络安全方法。绿盟的威胁情报能有效增强现有结构安全、被动防御、积极防御体系的防御能力。绿盟威胁情报中心解决方案可为企业提供安全威胁事前预测、热点事件实时预警、企业公网资产安全核查、情报驱动设备防御、攻击事件溯源分析等技术支持。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!