《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 威脅情報網(wǎng)關(guān)與其他安全產(chǎn)品如何協(xié)同聯(lián)動?

威脅情報網(wǎng)關(guān)與其他安全產(chǎn)品如何協(xié)同聯(lián)動?

2021-06-30
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室

微信圖片_20210630170244.jpg

  威脅情報網(wǎng)關(guān)(Threat Intelligence Gateway, TIG)作為網(wǎng)絡(luò)安全的新生代產(chǎn)品,與我們熟知的其他安全解決方案的怎樣做到優(yōu)勢互補(bǔ)?

  威脅情報網(wǎng)關(guān)是什么?

  威脅情報網(wǎng)關(guān)Threat Intelligence Gateway(TIG),是一種集威脅情報檢測+響應(yīng)處置一體化的產(chǎn)品形態(tài),通過使用大量威脅指示器對網(wǎng)絡(luò)流量進(jìn)行檢測,并由該設(shè)備對檢測到的威脅進(jìn)行線速阻斷處理;TIG參與組織的安全事件應(yīng)急響應(yīng)流程,且針對實例(use case)利用能自動進(jìn)行處置。

  TIG + TIP,最佳拍檔

  威脅情報平臺支持多源情報落地聚合、資產(chǎn)發(fā)現(xiàn)、漏洞掃描、流量分析、威脅檢測等多種本地化情報應(yīng)用場。支持情報在用戶本地的明文落地和基于情報的安全管理,本地化威脅情報應(yīng)用。構(gòu)建基于情報的內(nèi)部共享機(jī)制,支持安全設(shè)備聯(lián)動,通過API接口獲取情報。

  威脅情報平臺生產(chǎn)及共享威脅情報,這些已經(jīng)驗證的威脅情報可以直接作用于TIG威脅情報網(wǎng)關(guān),直接阻斷或者過濾。同專業(yè)的威脅情報平臺進(jìn)行協(xié)同工作,威脅情報網(wǎng)關(guān)成為威脅情報的消費(fèi)者和使用者。

  TIG + SIEM,偵察兵與參謀部

  SIEM( Security Information and Event Management) 安全信息和事件處理 ,通過進(jìn)行日志及流的關(guān)聯(lián)分析,發(fā)現(xiàn)安全事件的潛在聯(lián)系。SIEM可以廣泛使用FW、NGFW、IDS、IPS等安全設(shè)備的日志,TIG和以上設(shè)備一樣,可以作為SIEM的輸入。

  同時,SIEM平臺在集成威脅情報能力之后,可以快速驗證和生產(chǎn)威脅情報。這些已經(jīng)驗證的威脅情報可以利用TIG威脅情報網(wǎng)關(guān)進(jìn)行威脅阻斷和實時響應(yīng)。

  TIG + SOAR,尖兵與指揮部

  SOAR 解決方案支持將安全運(yùn)營相關(guān)的團(tuán)隊、工具和事件處理流程通過安全編排和自動化技術(shù)集成,最終完成安全事件的響應(yīng)及處置。

  TIG是執(zhí)行單元之一。經(jīng)過驗證的情報通過SOAR的編排與調(diào)度, 可分發(fā)至TIG進(jìn)行威脅阻斷和實時響應(yīng)。

  TIG + Situational Awareness,偵察兵與“水晶球”

  態(tài)勢感知解決方案體現(xiàn)組織的綜合安全運(yùn)營能力,提供風(fēng)險實時感知、安全合規(guī)評估和脆弱性威脅管理。采用流量分析技術(shù)對全網(wǎng)流量實現(xiàn)威脅可視化,利用大數(shù)據(jù)技術(shù)進(jìn)行關(guān)聯(lián)分析,利用機(jī)器學(xué)習(xí)能力進(jìn)行行為分析建模,并通過日志和網(wǎng)絡(luò)流量匯總結(jié)合威脅情報對。掌握網(wǎng)絡(luò)安全整體運(yùn)行狀況,并能夠精準(zhǔn)預(yù)測網(wǎng)絡(luò)安全形勢的發(fā)展趨勢。

  TIG威脅情報網(wǎng)關(guān)支持海量威脅情報直接消費(fèi),來自態(tài)勢感知系統(tǒng)產(chǎn)生和確認(rèn)的威脅情報可以直接用于威脅情報網(wǎng)關(guān)進(jìn)行自動化阻斷網(wǎng)絡(luò)攻擊。針對組織當(dāng)前面臨的威脅態(tài)勢,動態(tài)進(jìn)行自動化阻斷和防護(hù)。快速響應(yīng)威脅態(tài)勢發(fā)展,在脆弱性威脅發(fā)生時,阻斷網(wǎng)絡(luò)攻擊降低網(wǎng)絡(luò)安全風(fēng)險。

  TIG + SOC,前哨部隊與統(tǒng)帥部

  SOC(安全運(yùn)營中心)作為組織的安全大腦,體現(xiàn)了組織的綜合安全運(yùn)營能力,從安全運(yùn)維到安全運(yùn)營。安全管理中心提供組織全方位的安全策略及運(yùn)營情況管理,實現(xiàn)安全運(yùn)營閉環(huán)管理。

  安全運(yùn)營過程中,威脅情報能夠結(jié)合威脅檢測,支持響應(yīng)、溯源、部署調(diào)整(修復(fù),優(yōu)化)等系列過程。威脅情報網(wǎng)關(guān)能夠執(zhí)行預(yù)案和腳本,支持人工干預(yù),和自動化部署,可以作為企業(yè)網(wǎng)絡(luò)安全的縱深防御體系中重要的一環(huán)。

  TIG + XDR,跨兵種協(xié)同模范

  擴(kuò)展后的檢測和響應(yīng)能力,極大擴(kuò)展組織的威脅檢測能力,結(jié)合威脅情報及檢測手段,可以更快的發(fā)現(xiàn)那些攻擊和安全事件。XDR包含專業(yè)的調(diào)查工具,提供網(wǎng)絡(luò)安全可視化,讓組織更加清楚發(fā)現(xiàn)安全事件的全貌。XDR工具中內(nèi)置和可操作的支持響應(yīng)和處置能力,一體化的檢測和響應(yīng)解決方案,提升響應(yīng)能力,帶來更可靠的安全體系。

  MDR ,XDR ,EDR 將檢測和響應(yīng)解決方案更加完善,還可充分利用威脅情報的能力。威脅情報網(wǎng)關(guān)將在威脅情報消費(fèi)和安全事件響應(yīng)中,發(fā)揮巨大作用。

  TIG 可以直接利用XDR安全分析的結(jié)果,利用威脅情報平臺的輸出能力,對接這些安全威脅的響應(yīng)過程,直接采用這些海量威脅情報,阻斷網(wǎng)絡(luò)攻擊行為 。

  結(jié)語

  網(wǎng)絡(luò)安全彈性能力建設(shè),任重道遠(yuǎn)。我們永遠(yuǎn)不知道下一個面臨的對手是誰,網(wǎng)絡(luò)安全架構(gòu)的自適應(yīng),需要各安全設(shè)備在統(tǒng)一指揮下的協(xié)同,而TIG是這些設(shè)備之一,形成基于差異能力的協(xié)同。





本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。