《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 威脅情報網(wǎng)關與其他安全產品如何協(xié)同聯(lián)動?

威脅情報網(wǎng)關與其他安全產品如何協(xié)同聯(lián)動?

2021-06-30
來源:網(wǎng)絡安全應急技術國家工程實驗室

微信圖片_20210630170244.jpg

  威脅情報網(wǎng)關(Threat Intelligence Gateway, TIG)作為網(wǎng)絡安全的新生代產品,與我們熟知的其他安全解決方案的怎樣做到優(yōu)勢互補?

  威脅情報網(wǎng)關是什么?

  威脅情報網(wǎng)關Threat Intelligence Gateway(TIG),是一種集威脅情報檢測+響應處置一體化的產品形態(tài),通過使用大量威脅指示器對網(wǎng)絡流量進行檢測,并由該設備對檢測到的威脅進行線速阻斷處理;TIG參與組織的安全事件應急響應流程,且針對實例(use case)利用能自動進行處置。

  TIG + TIP,最佳拍檔

  威脅情報平臺支持多源情報落地聚合、資產發(fā)現(xiàn)、漏洞掃描、流量分析、威脅檢測等多種本地化情報應用場。支持情報在用戶本地的明文落地和基于情報的安全管理,本地化威脅情報應用。構建基于情報的內部共享機制,支持安全設備聯(lián)動,通過API接口獲取情報。

  威脅情報平臺生產及共享威脅情報,這些已經驗證的威脅情報可以直接作用于TIG威脅情報網(wǎng)關,直接阻斷或者過濾。同專業(yè)的威脅情報平臺進行協(xié)同工作,威脅情報網(wǎng)關成為威脅情報的消費者和使用者。

  TIG + SIEM,偵察兵與參謀部

  SIEM( Security Information and Event Management) 安全信息和事件處理 ,通過進行日志及流的關聯(lián)分析,發(fā)現(xiàn)安全事件的潛在聯(lián)系。SIEM可以廣泛使用FW、NGFW、IDS、IPS等安全設備的日志,TIG和以上設備一樣,可以作為SIEM的輸入。

  同時,SIEM平臺在集成威脅情報能力之后,可以快速驗證和生產威脅情報。這些已經驗證的威脅情報可以利用TIG威脅情報網(wǎng)關進行威脅阻斷和實時響應。

  TIG + SOAR,尖兵與指揮部

  SOAR 解決方案支持將安全運營相關的團隊、工具和事件處理流程通過安全編排和自動化技術集成,最終完成安全事件的響應及處置。

  TIG是執(zhí)行單元之一。經過驗證的情報通過SOAR的編排與調度, 可分發(fā)至TIG進行威脅阻斷和實時響應。

  TIG + Situational Awareness,偵察兵與“水晶球”

  態(tài)勢感知解決方案體現(xiàn)組織的綜合安全運營能力,提供風險實時感知、安全合規(guī)評估和脆弱性威脅管理。采用流量分析技術對全網(wǎng)流量實現(xiàn)威脅可視化,利用大數(shù)據(jù)技術進行關聯(lián)分析,利用機器學習能力進行行為分析建模,并通過日志和網(wǎng)絡流量匯總結合威脅情報對。掌握網(wǎng)絡安全整體運行狀況,并能夠精準預測網(wǎng)絡安全形勢的發(fā)展趨勢。

  TIG威脅情報網(wǎng)關支持海量威脅情報直接消費,來自態(tài)勢感知系統(tǒng)產生和確認的威脅情報可以直接用于威脅情報網(wǎng)關進行自動化阻斷網(wǎng)絡攻擊。針對組織當前面臨的威脅態(tài)勢,動態(tài)進行自動化阻斷和防護。快速響應威脅態(tài)勢發(fā)展,在脆弱性威脅發(fā)生時,阻斷網(wǎng)絡攻擊降低網(wǎng)絡安全風險。

  TIG + SOC,前哨部隊與統(tǒng)帥部

  SOC(安全運營中心)作為組織的安全大腦,體現(xiàn)了組織的綜合安全運營能力,從安全運維到安全運營。安全管理中心提供組織全方位的安全策略及運營情況管理,實現(xiàn)安全運營閉環(huán)管理。

  安全運營過程中,威脅情報能夠結合威脅檢測,支持響應、溯源、部署調整(修復,優(yōu)化)等系列過程。威脅情報網(wǎng)關能夠執(zhí)行預案和腳本,支持人工干預,和自動化部署,可以作為企業(yè)網(wǎng)絡安全的縱深防御體系中重要的一環(huán)。

  TIG + XDR,跨兵種協(xié)同模范

  擴展后的檢測和響應能力,極大擴展組織的威脅檢測能力,結合威脅情報及檢測手段,可以更快的發(fā)現(xiàn)那些攻擊和安全事件。XDR包含專業(yè)的調查工具,提供網(wǎng)絡安全可視化,讓組織更加清楚發(fā)現(xiàn)安全事件的全貌。XDR工具中內置和可操作的支持響應和處置能力,一體化的檢測和響應解決方案,提升響應能力,帶來更可靠的安全體系。

  MDR ,XDR ,EDR 將檢測和響應解決方案更加完善,還可充分利用威脅情報的能力。威脅情報網(wǎng)關將在威脅情報消費和安全事件響應中,發(fā)揮巨大作用。

  TIG 可以直接利用XDR安全分析的結果,利用威脅情報平臺的輸出能力,對接這些安全威脅的響應過程,直接采用這些海量威脅情報,阻斷網(wǎng)絡攻擊行為 。

  結語

  網(wǎng)絡安全彈性能力建設,任重道遠。我們永遠不知道下一個面臨的對手是誰,網(wǎng)絡安全架構的自適應,需要各安全設備在統(tǒng)一指揮下的協(xié)同,而TIG是這些設備之一,形成基于差異能力的協(xié)同。





本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。