微步在線的NGTIP不僅能為企業(yè)提供高質(zhì)量的情報�����,還可以幫助企業(yè)應(yīng)對在當(dāng)前安全運(yùn)營中普遍存在的三大關(guān)鍵問題:漏洞管理難����、安全態(tài)勢感知碎片化、以及告警噪音過高��。
如今�����,威脅情報在企業(yè)安全戰(zhàn)略中的重要性已有共識���,饒是研發(fā)實力超強(qiáng)的國內(nèi)一線互聯(lián)網(wǎng)公司也都在采用微步在線的威脅情報服務(wù)�,足見其重要性�。然而,隨著攻擊手法的升級����,傳統(tǒng)的威脅情報產(chǎn)品逐漸暴露一些不足。
問題一:漏洞管理難��,如何實現(xiàn)高效閉環(huán)����?
漏洞情報是企業(yè)安全運(yùn)營的核心之一,但在現(xiàn)實中,企業(yè)每天都會接收到數(shù)以萬計的高危漏洞告警���,這些告警中哪些需要優(yōu)先修復(fù)����?哪些漏洞會對核心業(yè)務(wù)帶來實際威脅��?這一直是困擾安全團(tuán)隊的難題�����。
NGTIP打造了漏洞情報閉環(huán)管理功能����,從漏洞發(fā)現(xiàn)到驗證形成了一套完整的解決方案����。它不僅能夠及時獲取0day和1day漏洞的最新信息,還通過與企業(yè)內(nèi)部資產(chǎn)庫自動匹配來及時發(fā)現(xiàn)內(nèi)部資產(chǎn)漏洞���,科學(xué)地評估漏洞風(fēng)險����,然后生成可落地的漏洞處置建議。
此外��,NGTIP還通過漏洞驗證工具庫和互聯(lián)網(wǎng)掃描能力實現(xiàn)驗證閉環(huán)�����。利用自研無損PoC�,不影響企業(yè)業(yè)務(wù)即可驗證漏洞。在對企業(yè)外網(wǎng)暴露面進(jìn)行PoC掃描后��,能梳理出攻擊面���。最后����,通過與工單系統(tǒng)對接���,實現(xiàn)漏洞的高效處置閉環(huán)���。
問題二:告警噪音過高,如何優(yōu)化情報應(yīng)用��?
安全運(yùn)營中����,告警噪音是企業(yè)面臨的另一個普遍痛點��。傳統(tǒng)情報產(chǎn)品在與SIEM�����、SOC平臺對接時存在很多現(xiàn)實問題����,容易導(dǎo)致告警過于泛濫�,苦于分析能力有限,經(jīng)常導(dǎo)致安全團(tuán)隊難以快速識別真正的威脅����。
NGTIP通過全新的三維IP畫像技術(shù),從深度����、廣度和活躍度三個方面為告警信息賦予更多上下文�。
在深度上,通過分析IP的攻擊鏈路�����、攻擊路徑等信息來更好地判斷攻擊意圖;在廣度上��,通過全球1.2萬多個蜜罐網(wǎng)絡(luò)�,探測大量的日志信息,跟蹤大量的活躍攻擊IP����;在活躍度上,結(jié)合IP的歷史行為和出現(xiàn)頻率�,判斷攻擊是否具有針對性。
基于這些能力�����,NGTIP能夠大幅減少告警噪音��,據(jù)企業(yè)實際測試�����,平均降噪率可達(dá)80%以上��。這種大幅優(yōu)化的情報應(yīng)用能力�,為企業(yè)安全團(tuán)隊減輕了負(fù)擔(dān),同時提升了威脅情報的使用效率�����。
問題三:安全態(tài)勢感知碎片化,如何掌握全局動態(tài)�?
在網(wǎng)絡(luò)攻防中,“知己”之外���,“知彼”同樣重要�����。外部的安全態(tài)勢�����,包括活躍的攻擊團(tuán)伙���、最新的攻擊手法,以及行業(yè)內(nèi)的重大安全事件���,都影響著企業(yè)的防御策略。然而��,目前大多數(shù)企業(yè)依賴手動方式獲取這些情報���,不僅效率低下�,往往還難以形成全局視角。
NGTIP通過整合全網(wǎng)測繪���、社交媒體和自有渠道數(shù)據(jù)�,結(jié)合高質(zhì)量的分析結(jié)果以及微步安全大模型XGPT的分析能力���,NGTIP可以生成詳細(xì)的全網(wǎng)威脅態(tài)勢情報�。在行業(yè)率先推出了一站式態(tài)勢情報功能���。
這一功能能幫助企業(yè)快速了解外部的安全動態(tài)��,包括獲取最新的攻擊事件信息���,掌握黑客組織畫像等。同時����,企業(yè)可以自行訂閱重點關(guān)心的行業(yè)、黑客組織���、攻擊工具等信息����,進(jìn)行有針對性的防御。這種能力顯著提高了企業(yè)的安全運(yùn)營效率�。
NGTIP推動威脅情報行業(yè)發(fā)展
NGTIP的一大價值是顯著降低了情報運(yùn)營門檻。作為“一站式”威脅情報運(yùn)營解決方案��,它不僅兼容多種設(shè)備�����,而且部署靈活���,無需額外開發(fā)即可快速落地使用��。通過聯(lián)動平臺和安全設(shè)備�,NGTIP支持封禁�、通知等操作,輕松融入企業(yè)安全流程�����。
微步在線技術(shù)合伙人�、微步情報局負(fù)責(zé)人樊興華表示,“我們希望通過NGTIP����,為企業(yè)提供一個更場景化、更易用�����、更閉環(huán)的運(yùn)營��、生產(chǎn)情報中心���,更好地滿足當(dāng)前企業(yè)對于威脅發(fā)現(xiàn)�����、風(fēng)險識別的迫切需求��,讓情報應(yīng)用與漏洞發(fā)現(xiàn)及運(yùn)營真正自動化閉環(huán)起來��?���!?/p>
NGTIP代表了安全運(yùn)營管理理念的一次進(jìn)步���。由于現(xiàn)實環(huán)境中不可能解決所有漏洞風(fēng)險���,只能優(yōu)先修復(fù)高風(fēng)險漏洞��。而NGTIP將原來的威脅管理轉(zhuǎn)變?yōu)轱L(fēng)險管理��,幫企業(yè)識別風(fēng)險的同時����,也對風(fēng)險的優(yōu)先級進(jìn)行排序����,從而幫企業(yè)優(yōu)先處理影響最大的風(fēng)險。
關(guān)于微步在線其實有三個有趣的事實����。第一個,它是靠威脅情報起家����,其威脅情報最大的特點就是“準(zhǔn)”。第二����,微步在線的情報社區(qū)是國內(nèi)最大、最活躍的情報社區(qū)。第三個事實是�,微步在線會花重金收購高危漏洞。
這三個事實相互間有不言自明的關(guān)系�����,過程中沉淀的寶貴數(shù)據(jù)和安全實踐經(jīng)驗讓微步在線在AI時代獲得更大優(yōu)勢�。我們都知道����,AI模型需要好的數(shù)據(jù)作為支撐,這些支撐著去年發(fā)布的安全大模型XGPT����,以及現(xiàn)在新發(fā)布的NGTIP。
樊興華在采訪中表示�,AI可以用來解決數(shù)據(jù)量大、惡意行為識別難的問題��,也能用來優(yōu)化告警�����,提升威脅情報的質(zhì)量與效率����。同時�,在情報風(fēng)險排序����,決策支持,以及挖掘APT組織的行為模式等過程中提供幫助��。
微步在線對AI的定位不僅是工具���,更是安全能力的核心驅(qū)動力���。通過情報數(shù)據(jù)、算法和行業(yè)需求的結(jié)合�,微步在線成功地將AI從理論落地到實踐,在情報生成����、風(fēng)險管理、產(chǎn)優(yōu)化中展現(xiàn)出了顯著的價值和優(yōu)勢��。這一模式對于威脅情報行業(yè)具有很強(qiáng)的示范意義����。
