网络安全 频道

三重情报赋能企业安全运营 微步NGTIP打造下一代威胁情报平台

  【IT168评论】随着全球网络攻防对抗的日益激烈,攻击方的攻击手段不断升级,0day漏洞的利用频繁,勒索软件、数据窃取和隐私泄密等攻击事件层出不穷,成为防守方必须警惕的“隐形陷阱”。在实战较量中,防守方一旦出现滞后则可能带来严重的安全风险。风险驱动之下,企业安全运营对于威胁情报(TI)的需求愈发迫切。

  一方面,整个行业的安全建设思路发生了翻天覆地的变化。传统的防火墙、入侵防御系统(IPS)等防御手段,在面对如高级持续性威胁(APT)、勒索软件等新兴威胁时显得力不从心。威胁的演进速度和手法的高明程度,促使企业必须转变传统思维,加强威胁情报的应用,以提升自身的安全防御能力。

  另一方面,企业的安全建设意识与监管要求密切相关。随着国家各层级攻防演练的常态化,通过模拟黑客攻击的方式,让众多企业意识到原有防御措施的不足,开始重视实战化的情报能力和威胁检测。

  在此背景下,企业对于威胁情报产品和服务的需求持续增长,低估威胁情报的价值或未能正确应用威胁情报,将难以防御迫在眉睫以及潜在的威胁。据Gartner预测,2024年全球威胁情报支出将达到21.7%的年增长率,到2028年预计支出将达到46亿美元。这一数据充分表明,威胁情报市场已经进入成熟主流阶段,并持续稳定增长。

  ▲微步技术合伙人、微步情报局负责人 樊兴华

  NGTIP赋能企业威胁和风险的高效运营

  作为威胁情报的代表厂商,微步在线自2015年起便涉足威胁情报领域,不断推陈出新。公司先后推出了X情报社区(国内最活跃的威胁情报社区)、云API产品、互联网安全接入服务产品OneDNS、威胁感知平台TDP、本地情报管理平台TIP、威胁防御系统OneSIG、S云沙箱、终端安全管理平台OneSEC等。

  近期,微步在线更是创新性提出下一代威胁情报(NGTI)能力,并发布“下一代威胁情报平台NGTIP”,持续引领行业发展潮流。何为NGTI?微步情报局负责人樊兴华解释道,“相比于扩展威胁情报(XTI),微步的NGTI更专注于威胁本身,尤其是漏洞情报和态势情报。”

  NGTI依托于大数据分析、大模型、知识图谱等技术,深度融合蜜罐、告警日志、漏洞库、全网公开安全事件等各类威胁数据,建立各类威胁实体(攻击IP、C&C、漏洞、黑客组织、病毒木马等)实时和立体的监测能力,通过更丰富、实时、立体的下一代威胁情报能力,赋能企业威胁和风险的高效运营。

  下一代威胁情报平台NGTIP定位为“企业威胁和风险运营的情报中心”,以高质量精准的“威胁情报、漏洞情报、态势情报”三重情报为核心,进一步将企业安全左移,把关注视角从“威胁”到“风险”前置,帮助企业解决漏洞运营、安全态势感知、威胁情报告警噪音难题,实现更高效、主动、全面的安全防御。

  该平台的设计理念围绕“场景化”展开,旨在通过内置的多种情报应用场景和分析策略,实现威胁情报的开箱即用,从而简化企业的安全运营流程。NGTIP在关注威胁的同时,更加注重“风险”管理,致力于协助企业高效地缓解真实威胁带来的潜在风险,识别和优先处理那些可能造成最大损害的风险点。

  樊兴华指出,“企业修复漏洞的成本很高,需要花费大量的时间和精力。因此,NGTIP不仅关注威胁的发现和检测,还进一步帮助企业进行风险排序,确定哪些漏洞应该优先修复,促使企业能够集中资源处理高风险问题,从而减少潜在的安全损失。”

  不同于传统的单向查询和消费模式,NGTIP平台从情报的查询、分析、生产、共享,到后续的处置和狩猎,形成了一个闭环,实现了情报的全生命周期管理。这种闭环管理确保了情报的持续更新和优化,使企业能够持续适应和应对不断变化的威胁环境。

  此外,NGTIP强调从机读到人读的全方位信息处理能力。该平台不仅能够自动收集和处理大量的机读数据,还能将这些数据转化为对决策者有用的人读信息。通过内外部威胁信息的挖掘和订阅,NGTIP为企业的资源投入和安全建设方向提供科学的决策依据。

  三重情报,NGTIP重塑企业安全防线

  下一代威胁情报平台NGTIP通过“威胁情报、漏洞情报和态势情报”三大核心能力,不仅强化了告警降噪效果,还提升了漏洞运营效率,增强了风险感知能力。这些创新功能使NGTIP成为国内首 创真正意义上的漏洞情报产品,以及全网汇聚、实时感知威胁、高效缓解风险的态势情报平台。

  一、威胁情报

  针对告警噪音严重的问题,微步下一代威胁情报平台NGTIP上线了IP信誉2.0,对IP情报全新升级,从单一维度升级为具备深度、广度、活跃度的三维IP画像,通过自动化攻击识别和更全面的证据信息,大幅提升了对网络攻击的识别和处置效率,同时强化了告警降噪效果,网络攻击告警降噪比例达到80%以上。

  深度上,原本一维的漏洞利用、扫描等属性,丰富后可查看IP背后的攻击路径、攻击应用、反连地址等深度攻击链信息,从而更好判定IP攻击目的。

  广度上,基于微步全网部署量最大的蜜罐HFish集群的1.2万多个节点,每天探测日志信息上亿,全球累计跟踪平均2000多万活跃攻击IP,可精准掌握测绘、僵尸网络、蠕虫、爬虫等不同IP。

  活跃度上,全新IP情报提供IP蜜罐出现频率、时间维度等信息,可支撑判断该IP是否为针对性攻击,最终整体从三个维度对IP进行更丰富立体的分析。

  二、漏洞情报

  针对0day未知漏洞难防,漏洞告警“噪音”大,漏洞风险评估难,漏洞信息不完整,漏洞修复无从下手及漏洞影响产品梳理难等问题,下一代威胁情报平台NGTIP提供从漏洞获取-发现-评估-处置-验证闭环的全流程漏洞运营,也是国内首款真正意义上可闭环的漏洞情报产品。

  微步在线针对未公开漏洞向白帽子推出了奖金丰厚的“0day奖励计划”,先后收录了数百个0day,进一步丰富了NGTIP平台的漏洞情报库,确保企业能够及时了解和应对最新的安全威胁。同时,NGTIP的漏洞情报能力依托于微步在线的X情报社区,能够获取高价值的漏洞情报,为企业提供最前沿的安全洞察。

  樊兴华认为,“将威胁情报纳入评级体系能够更有效地反映漏洞的实际风险。”因此,NGTIP采用了微步在线VPT(漏洞评估模型),这种方法不仅考虑漏洞的技术特征,还考虑漏洞被利用的实际情况,如活跃度和严重性,大幅提升企业漏洞修复效率高达95%。

  通过强大的漏洞收集和自动化处理能力,NGTIP建立了业内极具规模的漏洞情报库。其中10%以上的漏洞早于官方漏洞库80天以上,可以为企业提供更全面、更及时的漏洞情报。NGTIP通过微步安全大模型XGPT解决了漏洞情报与资产版本匹配的行业难题,极大地提高了漏洞情报的准确性和实用性。

  樊兴华透露道,“微步的漏洞收录工作始于2022年,至今已有三年时间。我们主要关注那些高危漏洞,即那些能够直接对系统造成威胁的漏洞。除了常用的CNNVD漏洞库外,我们还与其他官方漏洞库进行合作,收录更多的国内漏洞信息。”

  三、态势情报

  针对外部最新攻击技战法获取难、行业安全事件感知难、缺少知识库积累的问题,下一代威胁情报平台NGTIP在行业率先推出态势情报。基于全网测绘、推特等社交媒体及自有数千渠道等公开数据采集,结合微步情报局的研究成果、各类应急事件等,全面覆盖了潜在的威胁信息。

  情报更新速度呈现小时级,确保企业能够及时获取最新的威胁数据。通过NGTIP态势情报,企业不仅可以快速获取最新APT、勒索以及数据泄露等安全事件,还能实时掌握最新黑客组织画像信息,行业威胁态势。

  同时,NGTIP利用XGPT大模型进行知识抽取,实现自动化和高效的处理。基于XGPT自动化处理提取的攻击工具、攻击手法及攻击IoC情报,企业可进行快速排查及检测防御,也可针对性订阅与自身相关的重点行业、黑客组织、攻击工具,建立企业自己的重点风险画像,有针对性地加强安全防御。

  NGTIP从各种来源抽取非结构化数据,包括IP地址、域名等节点信息,并将其存储在图数据库中,从而构建了一套网络安全的知识图谱。樊兴华在采访中提到,“威胁知识图谱是一个基础,它会不断地自动更新,以反映最新的信息。通过图谱,我们可以解决用户在不同场景下的各种需求和问题。”

  结语

  微步在线始终坚持“TI+AI”的核心战略,以精准数据和先进算法为基石,不断精进产品实战能力和用户体验,从而在安全GPT领域保持领先地位。通过下一代威胁情报能力,NGTIP正助力企业构建更为坚固的安全防线。展望未来,微步在线将携手各界共同应对网络安全挑战,共创安全、可信的数字世界。

1
相关文章