城堡网 >> 安全产品 >> 产品相关文章 

启明星辰安全网关基于威胁情报的实时防御
    1 安全威胁情报衍生
    随着互联网、移动互联网的迅猛发展,网络安全形势变得愈加复杂,网络所面临的风险从单纯的病毒破坏发展到木马、间谍软件等,入侵手段也不断升级,比如匿名网络、网络跳板、僵尸网络(Botnet)、恶意URL地址等方式在网络攻击中大量使用,基于静态检测的设备和方案很难对抗持续变化和升级的攻击手段。
    以动态关联分析为基础的威胁情报在对上述新型威胁的防御中表现出了较好的效果,在整个防御过程中,威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环。所以随着新型威胁的不断增长,网络安全的防御技术也不断进步,出现了新的安全威胁情报,例如僵尸网络地址情报(Zeus/SpyEye Tracker)、0day漏洞信息、恶意URL地址情报等等,这些情报对于防守方进行防御十分有帮助。
    然而威胁情报却不是单一的防护设备能够获取和维护得了的,所以现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报共享给需要威胁信息的企业和组织。
    2 腾讯安全威胁情报
    如果按照技术分类,威胁数据可以分为端点数据(木马后门、恶意代码等)、网络数据(恶意域名、僵尸网络等)、黑客数据(黑客攻击事件、漏洞利用技术等)。腾讯作为互联网行业巨头,在外部威胁数据的采集方面具备先天的数据优势,腾讯云、电脑管家、dnspod等业务都足以捕捉到海量的优质外部威胁数据。另外,在2015年启动的腾讯威胁情报奖励计划,也取得了较好的成绩。通过这种模式,发动了数亿的腾讯用户和数万安全从业者参与其中,实现信息共享,在威胁数据采集方面初步形成了闭环。
    3 安全威胁情报应用场景
    安全威胁情报按照其用途大致可以分为三类
    (1).安全计划:通过对攻击者可能的战术、方法和行为模式(即TTPs)的全面理解,从而对需要保护的关键性资产存在的威胁有足够的了解,依此建构起合理、高效的安全体系结构。
    (2).安全分析与响应:在报警分流中,可以依赖威胁情报来区分不同类型的攻击,从中识别出可能的APT类型高危级别攻击,以保证及时、有效的应对。在攻击范围确定、溯源分析中可以利用预测类型的指标,预测已发现攻击线索之前或之后可能的恶意活动,来更快速的明确攻击范围。
    (3).攻击检测与防御:可以利用安全威胁信息创建IDPs或者AV产品的签名,或者生成NFT(网络取证工具)、SIEM、ETDR(终端威胁检测及响应)等产品的规则,用于攻击检测。单纯的IP、域名、URL等指标,除了以上用途,还可以直接使用在线设备上进行实时阻截防御。
    4 启明星辰安全网关+腾讯威胁情
    面对数量繁多的恶意威胁,原有基于已知IPS、AV特征签名的静态防御方式很难与之持续对抗,而具备数据来源广泛、威胁信息准确、实时更新等特性的威胁情报,则能很好的以动态方式对抗不断变化升级的攻击手段。
    为了增强安全网关对于各种新型攻击手段的防御能力,启明星辰推出了基于腾讯安全威胁情报的网关实时防御解决方案,通过在启明星辰安全网关上集成百万级的腾讯恶意URL威胁信息,同时与威胁信息时时更新的腾讯安全云中心相结合,实现了边界安全网关对于挂马、钓鱼等恶意网站的实时防御,加强了对web站点的挂马检测,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截web威胁。

    方案技术特点
    1. 恶意URL威胁防护
    支持安全网关识别恶意网站。对于恶意网站同时支持IP和多级域名方式进行检测。
    2. 高效的恶意URL威胁识别
安全网关中集成的恶意URL威胁信息均是由腾讯安全中心从海量外部数据中分析提取所得,同时安全云中心对于恶意URL威胁信息进行实时更新,从而保障了威胁信息的准确可靠。
    3.海量恶意URL威胁识别能力
    启明星辰安全网关集成数百万的腾讯恶意URL库,实现了对绝大多数恶意网站的识别。同时,通过腾讯云安全中心对恶意URL库进行实时更新,对于新增的恶意网站第一时间实现有效防御。

分享到:
责任编辑:天涯
我有话说 已有 0 条评论
最新评论 刷新
暂无评论