威胁情报中心是安恒信息设立的致力于安全数据归集共享和开发利用、研究和生产高质量核心威胁情报的团队。其威胁情报服务基于安全数据大脑对外输出,秉承“数据赋能,智慧安全”的理念,通过多维度多渠道的安全数据汇聚融合,利用大数据和人工智能技术进行高质量价值提取,实现对自身产品和客户应用的数据赋能,提升产品和应用的智能化水平。
团队成绩
2019年参与编写
2018年参与编写
安全数据大脑概念
自动化威胁检测专利
全球ip资产探测
玄武盾日访问量
高质量ioc情报数据
集成情报源
全球黑客团伙动态追踪
安全数据大脑拥有30余项自动化威胁检测专利,结合sumap全球40亿ip资产探测、玄武盾60亿日访问量、80万活跃高质量ioc情报数据,集成200余个情报源,实现对全球150余个黑客团伙的动态追踪,从云到端提供基于威胁情报驱动的智能安全检测、分析和溯源情报管理,构成面向服务器安全的威胁情报体系。
产品架构
云端互联 威胁尽览
安全数据大脑的云端威胁情报,通过提供情报库订阅、api查询接口,可将情报数据落地应用在用户现场。通过与情报产品tip/tdp的联动协同体系,从云到端提供基于威胁情报驱动的智能安全检测、分析和溯源能力,全方位协同区域安全态势感知、未知威胁检测、攻击溯源分析及主动威胁防御等场景的智能化管理服务。
平台概述
平台概述
ailpha威胁情报平台依托安恒“安全数据大脑”提供的威胁情报,支持集成多源情报,自有情报管理,情报关联分析以及提供情报协同等能力,为用户建立自有的威胁情报中心。该平台可感知单位内部最新威胁态势,全球最新威胁动态,从海量告警中聚焦高威胁事件,协助用户建设情报驱动的动态安全监测防御体系。
平台功能及特点
依托“安全数据大脑”自有威胁情报
安全数据大脑依托玄武盾saas云防护,蜜罐网络,全球资产探测等能力,国内外数百家情报源集成,通过大数据,机器学习与自动化分析等技术,提炼形成面向服务器安全的威胁情报中心。中心对服务器遭受的攻击,最新的威胁动态进行追踪研究,形成涵盖c&c,僵尸网络,恶意代理等60余类的情报数据,以及全球的网络资产基础数据,日更新高活跃情报数据80万。
多源情报智能关联分析能力
依托安恒多年来在大数据与机器学习领域的积累,通过建立多源情报分析模型,信誉模型,关联模型,可为用户提供在多源情报数据环境下更为精准/丰富的情报内容,解决多源情报数据不一致给用户带来情报决策的烦恼。
支持与多类安全设备协同对接
安恒拥有丰富的设备日志与接口对接经验,截至目前已经积累数百个品牌的设备对接经验。威胁情报平台支持提供标准的stix情报数据标准,已经支持安恒全系列产品线的接口对接,也可依据用户现场设备情况快速灵活地开展接口定制联调,真正用情报数据驱动安全设备智能化分析能力。
● 集中的情报中心,推动情报共享协同
有效管理外部情报与内部情报,并通过情报关联分析,形成自有的情报中心,可供单位内部安全分析人员与各类安全设备进行情报共享,协同,检索与分析。
● 精准的攻击溯源情报,有效评估攻击影响
能够基于威胁情报分析攻击者历史攻击意图,确定是否针对性入侵行为,从而为某次攻击产生的影响进行精确评估。
● 日更新威胁情报,增强主动防御机制
通过平台中日更新的情报数据协同各类安全设备,可更新防御最新的攻击行为,抵御由于传统设备对加密流量,未知攻击,0day利用,隐蔽信道等缺乏有效检测手段而疏漏的入侵,更快速灵敏防御最新的各类攻击行为,减少损失。
● 自动化分析与聚焦,降低分析师的精力投入
据gartner统计在各组织中,安全分析师每日最多仅能对30%的告警进行应对处理,因此而错过的问题可能造成企业的损失。威胁情报平台可提供数据接口,应用在socsiem等产品中,可发挥重要作用,能够自动化分析高威胁事件,降低分析师的海量排查精力投入,并为攻击事件提供外部情报分析,更精准决策与下发响应动作。
tidp(threat intelligence detection platform)
基于威胁情报数据驱动的威胁检测平台
依赖于安恒数据大脑,tidp是一款基于威胁情报数据对网络流量进行实时分析和检测,以及对可疑网络行为进行告警的软硬件一体化产品。该平台基于多种不同类型的威胁情报数据,再结合机器学习、远控指纹库、漏洞利用库,以及多个隐蔽信道通信检测模型,不仅能全面发现网络环境中的失陷主机,还能够精准区分随机扫描和针对性攻击,通过第一时间关注针对性攻击,极大提升安全团队对网络攻击事件的响应效率。
平台功能及特点
-
丰富又高质的威胁情报数据支撑
安恒数据大脑丰富的威胁情报数据,是tdp检测失陷主机的重要基础。安恒数据大脑依托玄武盾saas云防护、蜜罐网络、全球资产探测等能力,国内外数百家情报源集成,通过大数据、机器学习与文件自动化分析等技术,提炼形成涵盖c&c、僵尸网络、恶意代理等60余类的情报数据,以及全球的网络资产基础数据,日更新高活跃情报数据80万条。
-
多维度、全方位发现失陷主机
tdp中不仅内嵌了多种远控类型的情报指标(ioc,indicator of compromise),而且也结合了安恒信息在网络流量分析领域的长期积累,引入了包括利用机器学习检测dga域名请求、远控工具指纹库、漏洞利用库,以及多个隐蔽信道通信检测模型,可以全方位发现失陷主机。并通过可视化的方式,从失陷主机、威胁类型、黑客组织等多个角度进行关联展示,呈现当前网络环境中所有的失陷和受控情况。
-
从海量随机性扫描中识别针对性攻击
网络环境中时刻在发生大量自动化随机扫描事件,这些随机扫描事件在传统网络安全设备上,将同步产生大量告警。tdp通过对网络双向流量进行实时分析,准确识别针对服务器的针对性攻击事件,使安全分析人员能从大量随机性扫描攻击事件中解脱出来,第一时间对针对性攻击事件进行响应,极大提升安全团队对网络攻击事件的响应效率。
-
对攻击事件双向视角展现和回溯能力
tdp不仅以受攻击主机(包含失陷主机)为视角,同时也以攻击源为视角,全局展现攻击事件动态过程,无论是攻击源还是受攻击者,都可以多次钻取更为详细的攻击事件信息,并可进一步从安恒数据大脑在线关联获取ip、域名和黑客组织等详细信息,以供进一步取证回溯分析。
