有一种攻击,和长期潜伏的间谍类似,默默等待时间,蛰伏着等待一击致命,它就是APT攻击;
有一种攻击,特别知道招兵买马,最爱控制僵尸大军,对一个或多个目标发动,它了解成倍地提高拒绝服务攻击的威力,它就是DDoS攻击 ;
有一种攻击,它知道你要什么,但它给你的多得多——多到淹没你,它就是溢出攻击 ;
还有还有,僵尸、木马、蠕虫……
只有想不到,没有做不到。
道高一尺,魔高一丈?
攻防对抗永无止境,有了一种防护技术,就会出现针对性的攻击技术。 越来越多的攻击者会在发起攻击前,会测试是否可以绕过目标网络的安全检测,因此会使用新型的攻击手段,零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击,这些新的攻击方式,即是所谓的新一代威胁。
由于它们是传统安全机制无法有效检测和防御的,因此往往会造成更大的破坏,成为当前各方关注的焦点。
有没有可能,能在声东击西、蛛丝马迹中提前预知这些危险的信号,在这种恐怖的、日益先进的攻击发动前,就能成功地将其斩于马下?
绿盟科技早就嗅到了这丝危险的气味,这也是上个月美国落幕的RSA 2017 大会上,最引人注目,也是让国内外各大安全厂商不断拼火力的焦点。
无论是传统的安全攻击,如DDoS、溢出攻击、僵木蠕等,亦或是先进的APT攻击,所有的攻击行为都会在网络或者系统中留有痕迹。
运用火眼金睛,将所有蛛丝马迹组合起来,发现敌人在哪,攻击手法是什么,从而有预防地针对攻击做出准备,或者提前作战,这就是态势感知和威胁情报的意义。
国际上曾有一份调查,70%的受访者表示,在没有相应平台的情况下定义威胁情报优先级别非常困难。如果他们没有威胁情报平台,71%受访者的安全团队不能及时传递相关的领导层。79%的受访者认为,威胁情报平台被认为是最大化威胁情报数据价值所必需的。
资本市场总是最敏锐的。
传统安全、新生态安全厂商纷纷将业务扩展到威胁情报领域,争相推出自己的威胁情报平台,威胁情报从理念到产品再到客户投入使用也仅用了短短几年时间。
今年的RSA大会上也能看出一二。
虽然连续3年来,新锐厂商zscale都在砸硬件盒子。但是今年显然不能再吸引眼球,随着这几年威胁情报的兴起,通过威胁情报把各个盒子连接起来,已经成为业界的共识。今年除了Fortinet等少数厂家外,整个会场没有了盒子展示,全部是大屏平台。
还有一个特点是,小厂商关注创新,大厂商关注整合、分析和运维,比如,IBM就将著名的Watson学习经验以威胁情报方式发放,并推出了QRadar平台。卡巴斯基也提供情报数据机器可读,能和SIEM, Splunk, IBM Qrader等设备整合。
IDG旗下国际权威媒体 Network World也报道点评了RSA 2017 48款热点产品,绝大部分为美国本土产品,涵盖了威胁情报、大数据、云安全、SSH安全等多个领域。
而在威胁情报领域,仅有绿盟科技一家国内厂商与Sumo Logic(美国)、Anomali(美国) 的威胁情报产品被同时收录其中,绿盟威胁情报中心(NTI)成为这48款产品中,唯一被推荐的中国产品。
NTI在2016年被正式推出,有这样三个重要特征:
1.不仅包含绿盟漏洞库、样本库、高级威胁分析数据、产品运营反馈数据等绿盟科技特有的数据源,同时也涵盖了全面的互联网情报采集和广泛的第三方情报合作服务。
2.基于绿盟大数据分析平台,结合安全情报专家对情报数据进行深度挖掘分析,获得高质量的多维度威胁情报,覆盖网络资产基础信息、指纹、漏洞库、安全信誉、TTP、高级威胁分析结果等不同层面;
3.通过NTI portal查询、API接口、订阅推送等不同输出方式将威胁情报与安全设备、客户和安全厂商进行共享,有效保护客户的安全。
数十年海量监测数据和顶尖的威胁分析与攻防研究成果,都成为了其威胁情报强大的数据源,这也是绿盟科技区别于其他厂商广受关注的最大优势。
也就是说,这位军师,正在帮你提供战略和战术情报,并为组织机构提供完整的全球威胁形式,提前构建看不见却重要非凡的“铜墙铁壁”。
当然,没有案例说个XX。
2016年年末,绿盟科技成功签约了一家日本跨国电信运营商,项目为其日常运营的 1.7 亿IP提供威胁情报及相关咨询服务,该企业是日本最大的三家运营商之一。
在此项目中,该运营商对多家国际主流TI厂商的威胁情报平台,进行了多轮严格的情报数据对比测试,最终给出评价认为,绿盟NTI威胁情报中心具有比其他平台更为高质量的威胁情报。
最新资讯
新闻热点
