威胁情报的私有化生产和级联
|
专业的多源情报,根据每家机构的专业特点进行互补,并在情报冲突时对数据进行研判;行业联盟的威胁情报共享目前正在研究探索中。内部情报、专业机构和行业联盟这三方面的数据聚合后,形成本地库,进行处理后,最终将数据结果反馈给最上层的应用层,推送给后台应用、防御设备或者人工调用。在综合考虑威胁情报库需求后,我们对国内相关厂商进行调研测试,最终选择北京微步在线科技有限公司旗下本地威胁情报管理平台作为银联威胁情报库的载体平台。 威胁情报库的建立,一方面能够协助我们及时察觉黑客或恶意攻击者的各类战术、方法、行为模式,掌握针对支付场景的最新攻击动向,高效预防和处理各类网络风险安全事件;另一方面高质量的情报数据能够为风险防控提供有力支持,实现对外部网络异常访问行为的精确识别。它对于防守方安全风控团队及时掌安全态势并做出正确响应具有重要价值。 二、研究目标 在威胁情报的应用过程中,我们发现仍然有一些问题有待解决。 1. 情报合法有序共享 当情报库建立之后,情报共享的需求马上就被提出。与公司内部、行业机构等进行情报共享,一方面能够快速实现威胁感知能力的提升和风险共担,另一方面情报的合法有序共享,也有利于整个生态的健康持续运转,降低运行成本。 2. 私有情报生产 银联是典型多职场、多组织协同防御的结构,拥有较多安防设备且对攻击敏感,会有海量的告警信息,如何从海量告警信息中获取真实的攻击行为是一个大的挑战。同时来自外部的威胁情报数据无法完全支撑对于真实攻击的检测、阻断和溯源分析,攻击者对于外围资产实施跳跃式攻击时,也可能导致联动防御困难。在这些场景中,我们对威胁情报数据和威胁情报生产均有强需求。
为了实现这两个目标,我们进行了情报共享技术和全流量威胁狩猎的研究。 (编辑:鹤壁站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
