new WOW().init();
威胁情报是安全防护应对黑客攻击的一个非常重要的环节,安全设备能够根据威胁情报对威胁进行比对识别,辅助决策处理。威胁情报库包括漏洞库,弱点库,IP信誉库等,其中最重要的、应用最多的就是IP信誉库。
四海图宇通过本地威胁分析、各安全产品威胁情报库、四海图宇云情报中心、蜜罐情报系统4个方面进行IP威胁情报的收集与信息提供,帮助用户建设多维度、全面的IP威胁情报库。
(1)本地威胁分析
用户现网的一些设备,能够采集网内资产设备的日志数据及基础流量,进行威胁行为动作的分析,例如威胁感知平台、全流量分析系统、智能聚合平台等,这些安全设备自身具有威胁分析的模型,通过采集的数据能分析出威胁动作及威胁源IP。
(2)安全产品厂商情报库
各类威胁监测设备携带其厂商的威胁情报库,各厂商会定期对产品的威胁情报库进行更新。四海图宇IP威胁情报数据中心能够与各厂商联动共享,分享各安全产品的威胁情报信息。
(3)云威胁情报中心
四海图宇的多源联动平台或威胁探针,能够自行采集数据进行威胁分析,在用户许可的情况下,设备能够将威胁情报数据上传下载到四海图宇云威胁情报平台。云威胁情报平台的数据能够同步到用户的IP威胁情报中心,并定期更新。
(4)蜜罐情报
四海图宇应用自主的蜜罐技术,在全球各大城市节点的云平台上租赁虚拟主机,部署蜜罐系统,诱捕黑客攻击,输出威胁情报。通过这种方式,能够获取全球范围使用各种攻击手段的威胁IP情报。这类情报同步到用户的IP信誉库,扩展威胁情报来源。
帮助用户建设全面的、个性化需求的IP威胁数据中心
提高威胁识别率,联动第三方安全产品,提升整体安全防护效果
(1)提高威胁判断的准确性
IP威胁情报库会比任何单独设备的威胁情报更全面和准确,通过IP信誉库进行威胁源IP的威胁性判断更具权威性,实现对大量庞杂的告警信息的降噪,有效降低误报。
(2)联动第三方安全产品
IP威胁情报数据中心的情报数据可以分享给第三方的安全设备,赋予其更强大的威胁分析检测或阻断能力。
(3)提高预警防御能力
IP信誉库是IP地址身份识别卡,通过威胁周期统计、TOP-N排行、重大事件记录等细化分析,可建立更精确的威胁风险指导建议,用于提前防御。
(4)威胁历史数据查对
针对检测出的威胁,可以在IP信誉库中查询其历史攻击记录,为工作人员判断其威胁程度提供更客观全面的参考。
(5)全面威胁感知,辅助决策
通过IP信誉库的匹配,能够对全网访问IP进行威胁性判断,从而能够实时的感知系统内的安全态势,并且向安全管理人员提供决策帮助。