新一代的网络安全产品,应该具备威胁情报能力,进行主动防御或监测。
威胁情报网关(Threat Intelligence Gateway,TIG)正是这一共识下发展出来的专用设备,是威胁情报能力的延伸,威胁情报消费(有效利用)的一种典型模式,威胁响应处置和攻击阻断的有效手段。
威胁情报是海量的。TIG是内置千万级威胁情报的网络安全防护设备,可以通过有效利用已知的威胁,将未知的威胁手段(例如:各种绕过技术、新网络武器、0day漏洞利用等)及网络攻击拒之于门外。
作为网络安全的新生代产品,TIG有哪些核心技术特点呢?
![新生代产品:威胁情报网关的核心技术特点]( "新生代产品:威胁情报网关的核心技术特点")
TIG可以直接通过在线更新威胁情报,第一时间将网络攻击拦截。TIG还支持扩展威胁情报策略类别能力,采用有针对性的威胁情报及相关的检测和防御规则。
TIG还同时支持STIX和TAXII,依托多源情报架构,对接多家威胁情报供应商(商业,开源社区,行业级和政府)的威胁情报指示器。
TIG不是必须通过SaaS才能获取实时威胁情报,特别是在一些敏感的网络区域,无需互联网更新服务。TIG需要支持与本地威胁情报平台集成,直接利用明文威胁情报特征。
TIG可以支持多种情报更新和自定义情报集成功能,支持进行自定义细粒度防御策略管理,支持组织内部生成的威胁情报,支持自定义威胁,动态手动修改和生成威胁情报。如果遇到自研软件的零日漏洞,或者自定义情报(未公开发布)的威胁情报,TIG可以实时应对。
组织的安全团队通过工作流程自动化,可以提升安全防御效率,利用安全工具或平台,进行自动化响应和阻断攻击。
在安全威胁发现和安全事件管理平台中,进行事件关联分析,生产威胁情报,这些由组织的安全团队和安全分析师进行验证和确认的威胁情报,可以通过TIG进行自动化的防护和阻断。
得益于运行在设备中的海量本地情报数据和更高的处理性能,与其它基于SaaS服务的威胁情报解决方案相比, TIG可提供近乎最低的初始查找延迟。
TIG在威胁情报消费(有效利用)方面更加专业。组织可针对性利用掌握的已验证的威胁情报,自动化阻断及防护,通过威胁情报将防护策略具体化,而无需再使用防火墙及IPS这些设备去处理已知的威胁,将有限的设备性能用于发现更多未知威胁。
TIG阻断已知的威胁后,会减少流经其它网络安全设备的流量,缩减网络安全设备的告警数量,缓解组织安全团队面临的告警疲劳,节约组织宝贵的安全分析师资源。
-
TIG支持旁路部署,不一定非要串联进入网络。旁路部署可以开启监听模式,也支持旁路进行阻断命令下发和联动。
-
TIG支持在组织的业务关键节点部署。比如,部署在互联网出口区域,防火墙设备前侧,利用TIG在威胁情报信息指标数量级优势,应用特殊威胁情报指标,快速阻断和检查网络流量。
-
TIG支持部署在机构和分支互联节点,主动阻断向僵尸网络及C2C网络的连接请求。在一些分支机构灵活部署TIG,利用设备自动化防护能力,减少网络安全专业分析师依赖,自适应当前网络架构,过滤那些危险的访问请求,提升网络整体效率,获取更高安全性。
-
TIG可以随时上线,即时防护,无需等待大规模上线的态势感知平台等系统建设进程。TIG可以在组织的安全防御体系建设阶段进行动态部署调整,快速融入安全体系架构,并在TIG上线即可开始利用威胁情报信息指标动态防御,达到关口前移的战略目标。
TIG将会成为组织网络安全防御的第一道防线(入站方向),东西向的安全防线(内部横向移动)及最后一道防线(出站方向)
基于威胁情报信息指标,匹配预置策略,阻断来自入站的恶意访问请求。联动威胁情报平台,针对于已验证威胁情报,快速进行响应处置,阻断网络攻击。
对违规外联(僵尸网络)、失陷主机(外联)、后门利用等场景,进行自动化响应处置,阻断出站访问请求。
对网络内部访问流量进行检测和阻断,关键节点的访问、失陷主机(外联)、后门利用等场景,进行自动化响应处置,阻断出站访问请求。
![新生代产品:威胁情报网关的核心技术特点]( "新生代产品:威胁情报网关的核心技术特点")
-
组织需要回顾审视当前网络安全产品的能力,通过部署TIG,扩展更多威胁情报消费(有效利用)场景;
-
关注组织的最后一道防线,使用TIG对组织的外部访问恶意行为进行阻断;
-
利用威胁情报平台,自定义威胁情报内容,将多源威胁情报整合进入组织防护体系;
-
综合利用现有安全能力各平台,生产威胁情报,将已验证的威胁情报进行整理和发布,高效利用威胁情报进行网络安全防护和攻击阻断;
![新生代产品:威胁情报网关的核心技术特点]( "新生代产品:威胁情报网关的核心技术特点")
TIG的差异化和颠覆性由此可见一斑。终于有一种方式,能让用户通过内置的方式,便捷灵活的使用大规模威胁情报指示器,完成组织的安全运营工作。
当前威胁情报数量已达千万级别,在海量的威胁情报面前,组织需要主动式安全,而不是被动式安全,面对海量威胁情报,自动化进行网络攻击阻断,是当前组织的首要目标。组织应当以威胁情报技术为驱动,构建综合威胁防御体系。
本文始发于微信公众号(互联网安全内参):新生代产品:威胁情报网关的核心技术特点
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/422828.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论