渐入佳境,再谈TIG威胁情报网关的应用

admin 2022年9月14日15:26:09安全闲碎评论2 views2822字阅读9分24秒阅读模式
渐入佳境,再谈TIG威胁情报网关的应用


什么是TIG威胁情报网关

TIG威胁情报网关并不是一个新的概念和产品,早在2017年Garter就已经给出相关描述。TIG是一种集威胁情报检测+响应处置一体化的产品形态,通过使用大量(百万/千万级)威胁指示器对网络流量进行检测,并由该设备对检测到的威胁进行线速阻断处理


TIG在国内实践的成熟和演进

近年来,随着威胁情报在安全防护体系中应用的不断落地,其价值愈发明显。通过将威胁情报能力融入到各种威胁检测设备及平台当中,可以明显提升现有安全产品和服务的防御、检测以及响应能力,威胁情报系列产品也更加受到用户的青睐。目前市场上基于威胁情报应用为主的产品主要包括云端情报SAAS服务平台、本地威胁情报平台TIP(Threat Intelligence Platform)及威胁情报网关TIG(Threat Intelligence Gateway)等。


我们通过大量的应用案例发现,在情报产品的落地过程中,情报数据的集成和TIP平台产品的应用虽然可以发挥威胁情报的重要价值,但是使用起来往往需要一定的技术门槛,包括对安全团队能力的要求。相对来说,检测原理“简单粗暴”的TIG设备则更加容易引起客户的兴趣,因为它部署简单、检测精准、快速高效,已经逐渐成为补充现有防护体系检测维度的必要产品。


同时,TIG设备部署灵活,既可部署在互联网边界处,作为针对入网流量的第一道防护,及时阻断从外到内的扫描及Web攻击等流量,减轻其他防护设备检测和告警压力,也可部署于办公网、业务网及其他区域的流量汇聚节点,重点识别内部挖矿行为、失陷主机回连、风险站点访问等威胁流量。随着TIG产品在国内实践的成熟和演进,TIP+TIG、SOAR+TIG等产品联合解决方案也逐渐落地与完善,在自动化网络安全防御中发挥着重要作用。


TIG创新者和领导者

天际友盟依托自身专业的威胁情报能力,在2018年就正式发布了威胁情报网关产品Leon。Leon是国内首个基于海量威胁情报应用的高性能TIG产品,通过实时订阅的恶意IP库、恶意URL库、恶意域名库等高价值威胁情报,同时辅以DNS隐蔽隧道检测及DGA域名检测技术,能够实现对威胁的实时发现、实时阻断、全网预警及溯源分析。


渐入佳境,再谈TIG威胁情报网关的应用

图:Leon威胁情报网关


Leon威胁情报网关作为新的产品形态一经面世便广受欢迎,目前已经拥有了大量用户基础,行业覆盖金融、能源、医疗、互联网、政府机构等。随着这几年版本的不断更新迭代,产品功能已经愈发成熟稳定,覆盖场景也愈加丰富,能够帮助客户在日常威胁检测和攻防演练期间,快速利用威胁情报解决实际问题。Leon威胁情报网关已经成为国内TIG领域的创新者和领导者。


TIG应用场景

场景一:利用Leon威胁情报网关识别挖矿行为

Leon威胁情报网关作为基于海量威胁情报应用的高性能TIG产品,内置高品质数字货币相关情报数据,包括交易所情报、矿池情报、Web挖矿情报等,全面涵盖挖矿相关情报数据,涵盖全球数千种数字货币,实现对流量中挖矿行为的有效识别。


渐入佳境,再谈TIG威胁情报网关的应用

图:丰富的挖矿相关情报数据


渐入佳境,再谈TIG威胁情报网关的应用

图:挖矿行为发现及溯源分析


场景二:利用威胁情报精准定位失陷主机

Leon威胁情报网关作为专业的威胁情报应用网关,能够通过海量情报数据碰撞,及时有效地从网络通信流量实时捕捉可疑通信地址,迅速发现失陷主机隐蔽通信行为,定位内部失陷主机。此外,Leon威胁情报网关内置的DGA域名检测引擎可以发现恶意程序利用随机字符来生成C&C回连域名,内置的DNS隐蔽隧道检测引擎可以发现失陷主机利用DNS协议封装非法C&C通信流量,从而帮助企业迅速定位失陷主机,降低安全风险。


渐入佳境,再谈TIG威胁情报网关的应用

图:定位内部失陷主机


场景三:利用威胁情报精准识别风险站点

Leon威胁情报网关通过每日更新云端丰富的威胁情报数据,与客户网络中的出站流量进行碰撞,能够及时发现网络中的各类风险上网行为,包括访问赌博网站、色情网站、钓鱼网站等。同时云端的动态信誉评价机制可保证每日同步情报的有效性,确保告警信息的准确。


渐入佳境,再谈TIG威胁情报网关的应用

图:风险上网行为识别


场景四:攻防演练期间红方IP自动同步及封禁

天际友盟云端情报数据包含攻防演练卡片,在攻防期间会将捕获的红方IP地址实时更新到情报卡片当中。Leon可自动将相关数据同步,通过实时流量解析,实现对红方IP的快速发现和流量自动化阻断。解决客户在面临大量红方IP情报时无法全部应用和快速封禁的难题。


渐入佳境,再谈TIG威胁情报网关的应用

图:Leon在攻防演练期间的应用



关于威胁情报应用解决方案

秉承着“应用安全情报,解决实际问题”的理念,天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力,为政府、行业管理机构和企业用户提供了坚实的情报技术支撑,协助客户构建情报驱动的主动防御体系,抵御网络安全风险,展现了情报应用的价值。


渐入佳境,再谈TIG威胁情报网关的应用


RedQueen安全智能服务平台,是天际友盟情报应用的核心枢纽,不仅是国内首个云端一体化安全智能综合服务平台,也是国内最大的安全情报聚合、分析与交换平台。

更多详情:https://www.tj-un.com/redQueen.html


渐入佳境,再谈TIG威胁情报网关的应用


通过与各类专业安全厂商的解决方案结合,将威胁情报落地应用在客户实际业务场景中来解决安全问题,是威胁情报应用的一种特有方式,我们称之为Threat Intelligence Inside,TI Inside模式。迄今,天际友盟的威胁情报能力,已实现与三十多家安全厂商的集成联动。


渐入佳境,再谈TIG威胁情报网关的应用


SIC安全情报中心(Security Intelligence Center),是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式,SIC可以将云端数据同步到本地,实现情报订阅与威胁溯源,还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中,配合SIC内嵌的流量分析、防护设备、资产引擎等,实现实时精准告警。

更多详情:https://www.tj-un.com/sic.html


渐入佳境,再谈TIG威胁情报网关的应用


Leon威胁情报网关,是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族(RedQueen、SIC、Ada、Alice 等)协同联动,构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报,实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情:https://www.tj-un.com/leon.html



关注「安全营销喵喵站」,后台回复相应【关键词】,即可获取网安行业研究报告精彩内容:


1.【国产化】:《网安供应链厂商成分分析及国产化替代指南》
2.【速查指南】:《网安新兴赛道厂商速查指南》
3.【创业生态图】:《网安创业生态图》
4.【港澳版】:《網安新興賽道廠商速查指南·港澳版》
5.【台湾全景图】:《台湾资安市场地图》

话题讨论,内容投稿,报告沟通,商务合作等,
请联系喵喵 [email protected]

原文始发于微信公众号(安全营销喵喵站):渐入佳境,再谈TIG威胁情报网关的应用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月14日15:26:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  渐入佳境,再谈TIG威胁情报网关的应用 http://cn-sec.com/archives/1296159.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: